In einer zunehmend digitalisierten Welt stellen Cyberangriffe und Datenlecks eine immer größere Gefahr dar. Mit dem Cyber Resilience Act (CRA) will die EU Unternehmen und Verbraucher, die insbesondere vernetzte Produkte nutzen, vor diesen Gefahren schützen. Die wichtigsten Inhalte des CRA im Überblick.
Ziel des Cyber Resilience Act
In der heutigen digitalen Welt sind Produkte mit digitalen Komponenten allgegenwärtig, vom Babyphone bis zur Smartwatch. Diese Produkte bergen jedoch erhebliche Sicherheitsrisiken, die oft nicht sofort erkennbar sind. Denn Geräte, die in irgendeiner Form mit dem Internet verbunden sind, können Schwachstellen aufweisen, die von Cyberkriminellen ausgenutzt werden. Diese Schwachstellen betreffen nicht nur klassische IT-Systeme, sondern zunehmend auch Geräte des Internets der Dinge (Internet of Things, IoT), die in Haushalten, Unternehmen und sogar in kritischen Infrastrukturen wie der Energieversorgung oder dem Gesundheitswesen eingesetzt werden.
Um diesen Herausforderungen besser begegnen zu können, wurde der Cyber Resilience Act entwickelt. Das Hauptziel des Gesetzes ist es sicherzustellen, dass Produkte mit digitalen Elementen während ihres gesamten Lebenszyklus hinweg sicher gestaltet, entwickelt und betrieben werden. Dadurch soll nicht nur die Sicherheit der Nutzer verbessert, sondern auch das Vertrauen in digitale Produkte und Dienstleistungen gestärkt werden.
Hauptelemente des Cyber Resilience Act
Der Cyber Resilience Act legt eine Reihe von Anforderungen fest, die Hersteller, Importeure und Händler von digitalen Produkten erfüllen müssen. Diese Anforderungen umfassen sowohl technische als auch organisatorische Maßnahmen, die sicherstellen sollen, dass die Produkte resistent gegen Cyber-Bedrohungen sind.
- Sicherheitsanforderungen während des gesamten Lebenszyklus:
Hersteller müssen sicherstellen, dass ihre Produkte sicher entwickelt werden und während des gesamten Lebenszyklus hinweg sicher bleiben. Dazu gehören regelmäßige Software-Updates und Sicherheits-Patches während der voraussichtlichen Nutzungsdauer, um auf neu entdeckte Schwachstellen zu reagieren. - Transparenz und Informationspflichten:
Unternehmen müssen detailliertüber die Sicherheitsmerkmale ihrer Produkte informieren. Dazu gehört auch die Offenlegung von Sicherheitslücken und Maßnahmen zu deren Behebung. Nutzer sollen über mögliche Risiken und die Sicherheitspraxis des Herstellers informiert werden. - Sicherheitsbewertungen und Zertifizierungen:
Der CRA sieht vor, dass bestimmte Produkte strengen Sicherheitsbewertungen unterzogen werden müssen, bevor sie auf den Markt gebracht werden dürfen. Die Verordnung definiert die Voraussetzungen für den Zugang zum EU-Binnenmarkt und erweitert damit den Geltungsbereich. Tritt der CRA in Kraft, steht das bereits bekannte CE-Kennzeichen erstmals nicht nur für Safety, also die Betriebssicherheit, sondern auch für Security, also die Informationssicherheit. - Strenge Sanktionen bei Verstößen:
Um die Einhaltung der Vorschriften sicherzustellen, sieht der Cyber Resilience Act empfindliche Strafen für Unternehmen vor, die gegen die Sicherheitsanforderungen verstoßen. Bei Verstößen kann die Bereitstellung eines Produkts auf dem Markt untersagt oder eingeschränkt werden. Die zuständige Aufsichtsbehörde kann anordnen, dass das Produkt vom Markt genommen oder zurückgerufen wird. Darüber hinaus werden Geldbußen festgelegt, die in den nationalen Rechtsvorschriften für Fälle der Nichtkonformität vorgesehen werden sollen. Damit soll für die Unternehmen ein Anreiz geschaffen werden, in die Sicherheit ihrer Produkte zu investieren und dafür zu sorgen, dass diese den neuesten Sicherheitsstandards entsprechen.
Auswirkungen des CRA auf Unternehmen und Verbraucher
Der Cyber Resilience Act wird erhebliche Auswirkungen auf Unternehmen haben, die Produkte mit digitalen Komponenten herstellen, importieren oder vertreiben. Diese Unternehmen müssen sicherstellen, dass sie über die notwendigen technischen und organisatorischen Ressourcen verfügen, um die neuen Anforderungen zu erfüllen. Dies kann zusätzliche Investitionen in Forschung und Entwicklung sowie in Sicherheitsinfrastrukturen erfordern.
Für Verbraucher bedeutet der Cyber Resilience Act mehr Sicherheit und Transparenz. Sie können darauf vertrauen, dass die von ihnen gekauften Produkte strenge Sicherheitsanforderungen erfüllen und dass Schwachstellen schnell behoben werden. Dies soll das Vertrauen in digitale Produkte stärken und könnte auch zu einem Wettbewerbsvorteil für Unternehmen führen, die besonders sichere Produkte anbieten.
CRA und NIS-2-Richtlinie
Wie die Europäische Kommission betont, soll der Cyber Resilience Act die NIS-2-Richtlinie ergänzen. Mit der NIS-2-Richtlinie werden Cybersicherheitsanforderungen festgelegt. Dazu gehören Sicherheitsmaßnahmen in der Lieferkette, und Verpflichtungen zur Meldung von Sicherheitsvorfällen für wesentliche und kritische Einrichtungen, um die Widerstandsfähigkeit der von ihnen erbrachten Dienste zu erhöhen.
Die Kommission hofft, dass ein höheres Cybersicherheitsniveau von Produkten mit digitalen Elementen auch die Einhaltung der Vorschriften durch Einrichtungen, die in den Anwendungsbereich der NIS-2-Richtlinie fallen, erleichtern und die Sicherheit der gesamten Lieferkette erhöhen wird.
Lese-Tipp: Umsetzung der NIS-2-Richtlinie in der EU – der aktuelle Stand
Der Cyber Resilience Act wurde im März 2024 vom Europäischen Parlament verabschiedet und soll nach Zustimmung des Rates in der zweiten Jahreshälfte 2024 in Kraft treten. Hersteller haben dann bis 2027 Zeit, konforme Produkte in der EU auf den Markt zu bringen.