Cyber Resilience Act (CRA) heisst die neue EU-Verordnung zur Stärkung der Cybersicherheit von Smart Devices. Die Verordnung definiert verbindliche Anforderungen an die Cybersicherheit, die von Herstellern, Importeuren und Händlern von IoT-Produkten für den europäischen Markt zu erfüllen sind. Die Verordnung ergänzt bestehende rechtliche Vorschriften und soll demnächst formell verabschiedet werden. Beschäftigt sich Ihr Unternehmen kommerziell mit vernetzten Produkten? Dann erfahren Sie hier, welche Sicherheitsanforderungen zu erfüllen sind und wie Sie Ihre smarten Geräte auf die strengen Standards vorbereiten.
Mit dem Cyber Resilience Act (CRA) tritt 2024 das bisher umfassendste Gesetz zur Regelung der Cybersicherheit von IoT-Produkten in Europa in Kraft. Am 12. März hat das Europäische Parlament den CRA angenommen. Der EU-Rat verabschiedet den CRA noch im zweiten Quartal und verankert ihn mit seiner Amtshandlung im Gesetz. Es gilt zu beachten, dass im Unterschied zur NIS2-Richtlinie zu seiner nationalen Gültigkeit keine Umsetzung in nationales Recht notwendig ist. Die Anforderungen treten nach einer Übergangsfrist von 36 Monaten im Laufe des Jahres 2027 in Kraft. Die Übergangsfrist für die Meldung von Sicherheitsvorfällen und Schwachstellen beträgt 21 Monate.
Die Übergangsfrist von 36 resp. 21 Monaten kann zu einer erheblichen Herausforderung werden, da die Entwicklung neuer Produkte und Software in der Regel mehrere Jahre in Anspruch nimmt. Insbesondere die nachträgliche Anpassung von Produktkomponenten der Hard- und Software an die neuen Anforderungen kann im Einzelfall überaus aufwändig sein. Ohne die notwendigen Grundlagen, wie ein solider Entwicklungsprozess oder die Berücksichtigung von Security-by-Design oder Security-by-Default, kann eine nachträgliche Umsetzung der Anforderungen gar unmöglich sein oder zu unverhältnismässig hohen Aufwänden und Kosten führen. Aus diesem Grund haben einige Hersteller, insbesondere in der Autoindustrie, mit der Abkündigung älterer Fabrikate begonnen.
Mit der anstehenden Verabschiedung des CRA durch den EU-Rat und dem damit verbundenen Inkrafttreten der Übergangsfristen ist es wichtig, dass Unternehmen prüfen, ob sie die Anforderungen der EU-Verordnung erfüllen. Massnahmen zur Korrektur identifizierter Abweichungen sind vor Ablauf der Übergangsfristen umzusetzen.
Zur Einhaltung der Verordnung aus dem Cyber Resilience Act der EU sind sämtliche im EU-Raum aktiven Hersteller, Importeure oder Händler von Produkten verpflichtet, die mit einem externen Gerät oder einem Netzwerk direkt oder indirekt kommunizieren bzw. verbunden werden können.
In unserem Alltag begleiten uns mittlerweile eine beinahe unendlich lange Produkteliste, die über eben diese Eigenschaften verfügen. Sei es der digitale Backofen, die Bewegungsmelder für die Beleuchtung für Ihr Zuhause, der Fitness-Tracker am Arm, das Auto in der Garage oder alle Smart-Home-Geräte – nur um ein paar wenige Beispiele zu nennen.
Wollen Sie wissen, ob Ihr Produkt auch unter den Cyber Resilience Act (CRA) fallen? Kontaktieren Sie uns, wir sagen es Ihnen. Zudem unterstützen Sie unsere Expert*innen bei der Identifikation möglicher Lücken und Abweichungen mit einem CRA-Gap-Assessment.
Wichtigstes Ziel des CRA ist ein verbesserter Schutz der Verbraucher*innen und Unternehmen, die Produkte mit digitalen Komponenten kaufen und nutzen. Insbesondere geht es darum, den Standard im Bereich Cybersicherheit für die auf dem EU-Markt erhältlichen IoT-Produkte zu gewährleisten. Ebenso soll der CRA für eine erhöhte Transparenz hinsichtlich der Sicherheit von Hard- und Softwareprodukten schaffen.
Um diese Ziele zu erreichen, werden mit dem CRA die Vorschriften für das Inverkehrbringen von Produkten mit digitalen Komponenten in der EU definiert. Die zu erfüllenden Cybersicherheitsanforderungen und die Sorgfaltspflicht der Hersteller erstrecken sich über den gesamten Lebenszyklus der Produkte.
Welche Mindestanforderungen sind im CRA verankert?
Aufgrund von Bedenken mit den ursprünglichen Regeln zur Haftung bei der Verwendung von Open Source Code/Software wurden Anpassungen am CRA vorgenommen. In den bisherigen Entwürfen wurde die Einhaltungspflicht den Erstellern der Software auferlegt. Die aktuelle Fassung schliesst jedoch Open-Source-Organisationen sowie natürliche Personen als Mitwirkende an Open-Source-Projekten explizit von der Haftung aus. Somit liegt die Verantwortung für die Einhaltung der Vorgaben bei den Unternehmen, die Open Source Code/Software kommerziell nutzen oder als Teil ihrer Produkte in den Verkehr bringen.
Um die Verantwortlichkeit für «Open Source Code/Software»-verwendende Lösungen wahrnehmen zu können, ist ein Inventar aller eingesetzter Komponenten unabdingbar. Das deutsche Bundesamt für Sicherheit in der Informationstechnik empfiehlt hierzu das Erstellen einer «Software Bill of Materials » (SBOM).
Sie möchten einen Überblick erhalten, ob Sie für CRA bereits gut aufgestellt sind oder was noch zu tun ist? Lassen Sie sich mit einem CRA-Gap-Assessment von unseren Expert*innen aufzeigen, ob und welche Abweichungen zu den EU-Anforderungen in Ihrer Sicherheitsstrategie bestehen.
Wenn wir Sie bei der Erfüllung der CRA-Vorgaben unterstützen können, dann stehen Ihnen bei InfoGuard über 230 Expert*innen zur Verfügung, sei es mit unseren Risk Management & Compliance Services oder 24/7 Cyber Defence & Incident Response Services aus unserem ISO 27001-zertifizierten Cyber Defence Center in der Schweiz. Nehmen Sie Kontakt mit uns auf – unsere Cyber-Sicherheitsexpert*innen helfen Ihnen gerne.