ThinkTank_Logo_black
Das Warten hat ein Ende
Ailance™ ThinkTank ist da!

Cyber Resilience Act – Europäischer Rat gibt grünes Licht

Welche Folgen der Cyber Resilience Act für Unternehmen hat und warum diese nicht unterschätzt werden sollten.
Kategorien:

Der Rat der Europäischen Union hat am 10. Oktober 2024 den Cyber Resilience Act (CRA) beschlossen. Nach den neuen Regelungen des CRA werden erstmals verbindliche Cybersicherheitsanforderungen für alle vernetzten Geräte gelten. Dazu gehören etwa per App gesteuerte Kaffeemaschinen, Smart-Watches oder intelligente Babyphones. Bisher gibt es solche IT-Sicherheitsanforderungen nur für einzelne Produktkategorien. Unternehmen sollten die Folgen nicht unterschätzen.

Hier greift der Cyber Resilience Act

Der CRA schreibt vor, dass künftig alle vernetzten Produkte das CE-Zeichen tragen müssen. Das CE-Zeichen signalisiert nach außen, dass das vernetzte Produkt einen ausreichenden Schutz vor Cybergefahren gewährleistet. Verbraucherinnen und Verbraucher können so auf einen Blick erkennen, dass das Produkt auch unter Cybersicherheitsaspekten geprüft wurde.

„Ziel ist es, sich überschneidende Anforderungen aufgrund unterschiedlicher Rechtsvorschriften in den EU-Mitgliedstaaten zu vermeiden“, so der Rat in seiner Mitteilung.

Die Verordnung gilt für alle Produkte, die direkt oder indirekt mit einem anderen Gerät oder einem Netzwerk verbunden sind. Es gibt einige Ausnahmen für Produkte, für die bereits in bestehenden EU-Rechtsvorschriften Cybersicherheitsanforderungen festgelegt sind, z. B. Medizinprodukte, Luftfahrtgeräte und Kraftfahrzeuge.

Die neuen Vorschriften nehmen alle beteiligten Wirtschaftsakteure in die Pflicht. Das betrifft Hersteller, Importeure und den Handel. Sie müssen künftig sicherstellen, dass die von ihnen vertriebenen Produkte die Cybersicherheitsanforderungen erfüllen und mit einem CE-Kennzeichen versehen sind. Darüber hinaus müssen Hersteller künftig IT-Schwachstellen und Cybervorfälle an eine zentrale Meldestelle melden und regelmäßig Sicherheitsupdates anbieten.

Lese-Tipp: NIS-2-Richtlinie tritt bald in Kraft – diese Unternehmen sind betroffen

Diese Folgen hat der Cyber Resilience Act für Unternehmen

  1. Strengere Sicherheitsanforderungen an Produkte
    Unternehmen, die Produkte mit digitalen Komponenten herstellen oder vertreiben, müssen sicherstellen, dass ihre Produkte den Anforderungen des CRA entsprechen. Dies gilt sowohl für die Hardware als auch für die Software.
    – Security-by-Design-Ansatz: Produkte müssen von Anfang an so entwickelt werden, dass Sicherheitsrisiken minimiert werden. Das bedeutet, dass Unternehmen mehr in Forschung und Entwicklung investieren müssen, um sicherzustellen, dass Sicherheitsfunktionen in die Produkte integriert werden.
    – Regelmäßige Updates und Wartung: Hersteller sind verpflichtet, Sicherheitsupdates über einen bestimmten Zeitraum zur Verfügung zu stellen, um Schwachstellen zu beheben. Dies kann zu höheren Kosten und einer längeren Verantwortung für die Wartung der Produkte führen.

  2. Verschärfte Haftung und Sanktionen
    Eine der wichtigsten Auswirkungen des Cyber Resilience Act ist die Einführung strengerer Haftungsregeln für Hersteller und Anbieter. Unternehmen, die die Sicherheitsanforderungen des CRA nicht erfüllen, müssen mit erheblichen Sanktionen rechnen.
    – Geldstrafen: Unternehmen, die gegen die Vorschriften verstoßen, können mit empfindlichen Bußgeldern belegt werden. Dies ähnelt dem Ansatz der Datenschutz-Grundverordnung (DSGVO), wo Verstöße mit hohen Bußgeldern geahndet werden können.
    – Rechtliche Konsequenzen für unsichere Produkte: Wenn Produkte aufgrund von Cybersicherheitsmängeln Schäden verursachen, können Unternehmen haftbar gemacht werden. Dies könnte zu einer Welle von Produkthaftungsklagen führen.

  1. Erweiterte Dokumentationspflichten
    Unternehmen müssen umfangreiche technische Dokumentationen und Nachweise darüber führen, wie sie die Cybersicherheitsanforderungen erfüllen. Diese Dokumentation muss den Aufsichtsbehörden zur Verfügung gestellt werden.
    – Konformitätserklärungen: Unternehmen müssen eine EU-Konformitätserklärung vorlegen, aus der hervorgeht, dass das Produkt den Sicherheitsstandards entspricht.
    – Technische Dokumentation: Unternehmen sind verpflichtet, eine technische Dokumentation zu führen, aus der die Einhaltung der Sicherheitsanforderungen und die Maßnahmen zur Risikominderung hervorgehen.

  1. Auswirkungen auf Lieferketten und Drittanbieter
    Da Unternehmen zunehmend auf globale Lieferketten und Drittanbieter angewiesen sind, müssen sie sicherstellen, dass auch diese Partner die Anforderungen des CRA erfüllen.
    – Lieferanten und Dienstleister: Unternehmen müssen sicherstellen, dass alle Zulieferer und Dienstleister, die an der Herstellung oder Bereitstellung eines Produkts beteiligt sind, ebenfalls die Sicherheitsanforderungen einhalten.
    – Sicherheitsrisikomanagement: Unternehmen müssen ein umfassendes Sicherheitsrisikomanagementsystem implementieren, das auch Risiken in der Lieferkette und bei Drittanbietern abdeckt.

  1. Produktprüfung und -zertifizierung
    Der CRA wird voraussichtlich auch Anforderungen an die Prüfung und Zertifizierung von IT-Produkten einführen. Das bedeutet, dass Unternehmen ihre Produkte vor der Markteinführung unabhängigen Sicherheitstests unterziehen müssen.
    – Zertifizierungen: Unternehmen müssen ihre Produkte möglicherweise zertifizieren lassen, um zu bestätigen, dass sie den geltenden Sicherheitsanforderungen entsprechen. Dies kann insbesondere für kleinere Unternehmen eine zusätzliche finanzielle Belastung darstellen.
    – Audits durch Dritte: In einigen Fällen können unabhängige Prüfungen und Audits erforderlich sein, um die Einhaltung der CRA-Anforderungen zu gewährleisten.

  1. Internationale Auswirkungen
    Unternehmen, die ihre Produkte international vertreiben, müssen sicherstellen, dass sie die CRA-Anforderungen nicht nur innerhalb der EU, sondern auch weltweit erfüllen. Dies könnte dazu führen, dass globale Unternehmen ihre Cybersicherheitsstandards an die strengen EU-Vorschriften anpassen.
    – Globale Compliance: Unternehmen müssen möglicherweise ihre globalen Compliance-Strategien überdenken, um sicherzustellen, dass sie sowohl die CRA als auch andere internationale Cybersicherheitsanforderungen erfüllen.

Cyber Resilience Act mit Übergangszeit von drei Jahren

Nach der Annahme im Europäischen Rat wird der Rechtsakt in den kommenden Wochen vom Präsidenten des Rates und der Präsidentin des Europäischen Parlaments unterzeichnet und anschließend im Amtsblatt der EU veröffentlicht. Die neue Verordnung tritt 20 Tage nach dieser Veröffentlichung in Kraft.  

Für den Cyber Resilience Act ist ein Übergangszeitraum von drei Jahren vorgesehen. Spätestens dann müssen auf dem Markt vertriebene Produkte die neuen Cybersicherheitsanforderungen erfüllen und dies mit einem CE-Kennzeichen dokumentieren. Andere Verpflichtungen des CRA wie zum Beispiel die Meldepflicht der Hersteller bei Kenntnis von ausgenutzten IT-Schwachstellen werden bereits in 21 Monaten gelten.

Zusammenfassung: Der Cyber Resilience Act wird erhebliche Auswirkungen auf Unternehmen haben, da er strengere Sicherheitsanforderungen und höhere Haftungspflichten einführt. Während die Einhaltung des CRA für viele Unternehmen mit Kosten und zusätzlichem Aufwand verbunden sein wird, bietet die Verordnung auch Chancen für Unternehmen, die in Cybersicherheit investieren und den Wandel frühzeitig umsetzen. Langfristig wird der CRA dazu beitragen, den europäischen Markt für digitale Produkte sicherer und widerstandsfähiger gegen Cyberbedrohungen zu machen.

Quelle: Verordnung über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (Cyberresilienzgesetz), 10. Oktober 2024

Tags:
Share this post :
de_DEGerman