InfoGuard AG (Hauptsitz)
Lindenstrasse 10
6340 Baar
Schweiz
InfoGuard AG
Stauffacherstrasse 141
3014 Bern
Schweiz
InfoGuard Deutschland GmbH
Landsberger Straße 302
80687 München
Deutschland
Zukünftig soll die Cyber-Resilienz von digitalen Produkten erhöht werden. Die notwendigen Vorbereitungen für Hardware-Hersteller, Software-Entwickler, Händler und Importeure von digitalen Produkten auf dem EU-Markt werden erhöht. Die Europäische Kommission hat dazu im September 2022 den Entwurf des Cyber Resilience Act (CRA) vorgelegt. Der CRA soll die Cyber-Sicherheit von Produkten verbessern, die miteinander oder mit dem Internet verbunden werden können. Was der CRA genau ist und wieso CRA das Potenzial hat, zu einem der wichtigsten EU-Gesetze zur Cyber-Sicherheit zu werden, erfahren Sie in diesem Artikel.
Der Cyber Resilience Act (CRA) für Produkte mit digitalen Elementen stärkt die Vorschriften der Cyber-Sicherheit, um sicherere Hardware- und Software-Produkte zu gewährleisten. Mit dem CRA und den darin formulierten verbindlichen Anforderungen an die Cyber-Sicherheit werden unter anderem folgende Ziele verfolgt:
Der CRA gilt für Produkte: die an Endverbraucher verkauft werden, die in Unternehmen für die Produktion eingesetzt werden, als Vorprodukte bezogen und weiterverarbeitet werden oder ein Teil von Lieferketten sind. Der Entwurf des CRA sieht eine Reihe von Massnahmen vor, um die Cyber-Sicherheit von Produkten zu erhöhen.
Der CRA ist eng mit anderen Cyber-Sicherheitsgesetzen wie der Netzwerk- und Informationssicherheits-(NIS2-)Richtlinie, dem Cyber-Sicherheitsgesetz (Cyber Security Act), dem Gesetz über Künstliche Intelligenz (AI-Act) und der Datenschutz-Grundverordnung (GDPR, insbesondere mit den Elementen «Datenschutz durch Technik» und «Cyber-Sicherheit») verbunden.
Zudem enthält der CRA eine Reihe grundlegender Anforderungen für Hardware-Hersteller, Software-Entwickler, Händler und Importeure, die digitale Produkte oder Dienstleistungen auf dem EU-Markt anbieten. Zu den Anforderungen des CRA gehören unter anderem:
Nach dem Inverkehrbringen der Produkte auf dem EU-Markt müssen deren Hersteller mindestens fünf Jahre lang eine Sorgfaltspflicht erfüllen. Der CRA deckt eine breite Palette von Hardware und Software ab. Für alle Produkte gelten dieselben Anforderungen an die Cyber-Sicherheit, aber die Art der Konformitätsbewertung wird an das jeweilige Risikoniveau angepasst.
Der CRA teilt die Produkte in drei Kategorien ein: Klasse I; Klasse II; Nicht klassifiziert (Standardkategorie).
Die zwei Kategorien für kritische Produkte sind:
Quelle: Europäische Kommission
Die Kategorien Klasse I und Klasse II unterscheiden sich hauptsächlich im vorgeschriebenen Konformitätsprozess. Klasse I muss sich an die Anwendung einer Norm halten oder eine Bewertung durch einen Dritten durchführen, um die Konformität nachzuweisen. Klasse II muss zwingend eine Konformitätsbewertung durch einen Dritten durchführen.
Ausgenommen vom Cyber Resilience Act sind Produkte, die bereits von anderen EU-Verordnungen erfasst werden. Dazu gehören Kraftfahrzeuge, Luftfahrtsysteme und medizinische Geräte für den menschlichen Gebrauch sowie SaaS-Produkte (Software-as-a-Service), die unter die NIS2-Richtlinie fallen. Die Europäische Kommission ist zur Aktualisierung und Präzisierung der Liste der unter das Gesetz fallenden Produkte befugt.
Zur Vorbereitung auf den Cyber Resilience Act sollten unter anderem folgende Schritte unternommen werden:
Obschon die genannten Punkte recht umfangreich scheinen, ist der CRA noch in Arbeit. Das Europäische Parlament und der Rat prüfen derzeit den Entwurf. Aktuell sieht der CRA nach dessen Verabschiedung für die Wirtschaftsteilnehmenden und Mitgliedstaaten zwei Jahre Zeit vor, um sich auf die neuen Anforderungen einzustellen. Die Meldepflicht für aktiv ausgenutzte Schwachstellen und Vorfälle wird bereits nach einem Jahr gelten.
Sanktionen sind in Anlehnung an die GDPR gestaltet. Bei Verstössen können die zuständigen Aufsichtsbehörden Produkte vom Markt nehmen lassen und Bussgelder in Höhe von bis zu 15 Mio. Euro oder 2.5 % des globalen Umsatzes des verletzenden Unternehmens verhängen (je nachdem, was höher ist).
Sind auch Sie betroffen vom Cyber Resilience Act? Sollten Sie noch nicht ready sein: keine Sorge. Unsere Consulting-Spezialist*innen stehen Ihnen fachkundig zur Seite und unterstützen Sie, beispielsweise in den Bereichen NIST CSF, Security Assessments, Architecture usw. Kontaktieren Sie uns für ein unverbindliches Gespräch und eine Offerte. Mehr zu unseren Security Consulting Services finden Sie hier: