Cyber Resilience Act (CRA)

Der Cyber Resilience Act (CRA) auf einen Blick

Vom Babyphone über die Smartwatch bis zum Smart Speaker – das Internet der Dinge (IoT) wächst und viele Unternehmen produzieren Produkte mit digitaler Komponente. Das Problem dabei: IoT-Geräte sind zunehmend Gegenstand erfolgreicher Cyberangriffe und weisen gleichzeitig häufig keine ausreichenden Vorkehrungen für eine angemessene Cybersicherheit auf. Der European Cyber Resilience Act (CRA) schließt diese Lücke mit neuen Vorschriften für die Produktion sicherer Hard- und Software. Unternehmen, die sich nicht an die Regelungen halten, werden künftig mit empfindlichen Strafen rechnen müssen. Hier erfahren Sie alles, was Sie über den CRA wissen müssen.  

Definition: Was ist der CRA?

Der Cyber Resilience Act der EU definiert verbindliche Anforderungen für die Cybersicherheit von Produkten mit digitaler Komponente. Die Vorschriften gelten für Hersteller und Einzelhändler über den gesamten Lebenszyklus der Software oder Geräte.  

Der Cyber Resilience Act verfolgt dabei zwei Ansätze, um Privatpersonen und Unternehmen zu schützen, die solche Produkte kaufen oder nutzen:  

  1. Aktuell bieten viele Produkte von Grund auf ein unzureichendes Maß an Cybersicherheit und Sicherheitsupdates. Das Gesetz soll diesen Mangel beheben. 
  2. Verbrauchende sowie Unternehmen sollen cybersichere Produkte klar erkennen und die Geräte oder Software so einrichten können, dass deren Cybersicherheit gewährleistet ist.  

Die Europäische Kommission hatte den Vorschlag für den CRA im Rahmen der EU-Cybersicherheitsstrategie 2020 angekündigt, am 15. September 2022 eingereicht und sich am 1. Dezember 2023 auf einen Gesetzesentwurf geeinigt. Das Europäische Parlament und der Europäische Rat müssen die Verordnung formell genehmigen, bevor sie in Kraft treten kann. Sobald das der Fall ist, haben Hersteller 36 Monate Zeit, um die Vorschriften anzuwenden.  

Für wen gilt der Cyber Resilience Act?

Der Cyber Resilience Act betrifft Hersteller, Importeure und Händler von Software und Hardware wie Mobil-, Netzwerk oder IoT-Geräten. Anders gesagt: Der CRA gilt für Produkte, die sich direkt oder indirekt mit einem anderen Gerät oder Netzwerk verbinden lassen. Für sie müssen Hersteller künftig risikoangemessene Cybersecurity-Maßnahmen für den kompletten Lebenszyklus etablieren. Das umfasst alle Phasen vom Design, über die Entwicklung und Produktion bis hin zur Markteinführung und Nutzung über einen Zeitraum von bis zu fünf Jahren.  

Importeure und Händler müssen prüfen und sicherstellen, dass die von ihnen vertriebenen Produkte die gesetzlichen Vorgaben erfüllen. Zur Prüfungspflicht zählt auch die CE-Kennzeichnung durch den Hersteller. Ausnahmen bilden Open-Source-Software sowie Dienste, die bereits unter geltende Vorschriften wie die NIS2-Richtlinie oder den Artificial Intelligence Act (AIA) fallen. Dazu gehören beispielsweise Medizinprodukte und Systeme für die Fahrzeugsicherheit.  

Erläuterung von kritischen vs. nicht-kritischen Produkten

Der Cyber Resilience Act unterteilt Produkte mit digitalen Elementen abhängig von ihrer Funktion, dem Verwendungszweck und Kriterien wie dem Ausmaß möglicher Auswirkungen in vier Risikoklassen.  

  • Unkritische Produkte wie Speichermedien und Grafikprogramme 
  • Kritische Produkte der Klasse I wie Browser, Passwortmanager oder Firewalls 
  • Kritische Produkte der Klasse II wie Router, IoT-Geräte oder Firewalls für den industriellen Einsatz 
  • Hochkritische Produkte: Sie sind für die Resilienz der gesamten Lieferkette relevant. Die EU-Kommission definiert derzeit noch Kriterien und Beispiele für diese Kategorie.   

Für jede Kategorie gelten bestimmte rechtliche Anforderungen: Während für unkritische Produkte künftig eine Selbsteinschätzung der Hersteller genügen wird, gelten für kritische Produkte strengere Anforderungen. Das betrifft vor allem die Konformitätsbewertung, die auf EU-weit harmonisierten Normen beruht und durch CE-Kennzeichnung angezeigt wird. So müssen Erzeugnisse der Klasse II grundsätzlich eine Bewertung durch zertifizierte Dritte durchlaufen.  

Nach Schätzungen der Europäische Kommission zählen circa 90 Prozent der Produkte zur unkritischen Kategorie. Marktaufsichtsbehörden überwachen die ordnungsgemäße Umsetzung. In Deutschland übernimmt das Bundesamt für Sicherheit und Informationstechnik (BSI) diese Aufgabe.  

Was ist für die Einhaltung des CRA erforderlich?

Der Cyber Resilience Act definiert verschiedene Pflichten für Hersteller und Händler, die Produkte mit digitalen Elementen auf dem europäischen Markt einführen und vertreiben wollen:  

  • Informations- und Instruktionspflicht gegenüber Verbrauchern und Anwenderinnen 
  • Produktüberwachung: Kontrolle der Anfälligkeit für Sicherheitslücken und andere Risiken sowie die Bereitstellung von Security-Patches 
  • Zugekaufte Komponenten prüfen: Was in einem Produkt zum Einsatz kommt, muss dem CRA entsprechen.  
  • Gewährleistung der Sicherheitsstandards für den gesamten Lebenszyklus eines Produkts über einen Zeitraum von fünf Jahren – von der Entwicklung und Produktion über die Lieferung bis zur Nachvermarktung 
  • Melde- und Mitwirkungspflichten: Unternehmen müssen die Marktüberwachungsbehörden über Sicherheitslücken in Kenntnis setzen und aktive Angriffe auf diese innerhalb von 24 Stunden an die EU-Cybersicherheitsagentur ENISA melden.  

Die Compliance mit dem CRA erfordert also eine kontinuierliche Überwachung und Anpassung der Sicherheitspraktiken über regelmäßige Sicherheitsaudits, aktualisierte Sicherheitsrichtlinien und schnelles Handeln bei entdeckten Sicherheitslücken. Das übergeordnete Ziel für die Vorgaben des Cyber Resilience Acts ist es, Risiken, Vorfälle und die Folgen potenzieller Sicherheitsvorfälle während des gesamten Wertschöpfungsprozesses auf ein Minimum zu reduzieren.  

Wie beurteilen Unternehmen ihre CRA-Compliance?

Das zentrale Mittel für die Compliance mit dem Cyber Resilience Act ist die bereits erwähnte Konformitätsbewertung. Sie überprüft, ob ein Produkt die Anforderungen an die Sicherheit und zum Umgang mit Schwachstellen erfüllt. Bei unkritischen Produkten genügt eine Selbstbewertung der Hersteller. Für kritische Produkte greift ein strengeres Nachweisprozedere: in der Klasse 1 mindestens gemäß einer standardisierten Konformitätsbewertung oder durch unabhängige Prüfung einer dritten Partei. Dieser Sicherheitsaudit von zertifizierten Dritten ist für kritische Produkte der Klasse II grundsätzlich verpflichtend. Konforme Produkte erhalten das CE-Kennzeichen und erfüllen damit die erforderliche Compliance.  

Mit welchen Schritten können Unternehmen die Einhaltung des CRA gewährleisten?

Bis der Cyber Resilience Act in Kraft tritt, können sich Unternehmen folgendermaßen auf die künftig geltenden Anforderungen vorbereiten und ihre Compliance überprüfen und sicherstellen:  

  1. Informationen sammeln und Regularien verstehen: Halten Sie sich über den CRA auf dem Laufenden und sorgen Sie dafür, dass Sie alle Anforderungen und mögliche Auswirkungen auf Ihr Unternehmen verstehen. Verfolgen Sie Updates und Diskussionen zum Cyber Resilience Act und konsultieren Sie juristische Berater und Branchenverbände.
  2. Prozesse prüfen und Risiken analysieren: Prüfen Sie, ob bestehende Prozesse und Protokolle für die Entwicklung, den allgemeinen Betrieb sowie die Cybersicherheit den Regularien entsprechen. Analysieren Sie die gesamte Wertschöpfungskette auf Risiken. Identifizieren Sie Bereiche, die Sie für die Compliance mit den CRA verbessern oder anpassen müssen.
  3. Neue Standards und Best Practices implementieren: Auf die Analyse folgt die Implementierung von Industriestandards und Best Practices für die Cybersicherheit.
  4. Mitarbeitende schulen: Holen Sie Ihre Belegschaft mit ins Boot und sorgen Sie dafür, dass sie die Bedeutung des Cyber Resilience Acts und ihre Rolle für dessen Einhaltung verstehen.
  5. System für Transparenz- und Reportingpflichten einführen: Richten Sie Prozesse ein, die Ihnen bei der Einhaltung der Regularien helfen. Das beinhaltet die erforderliche Transparenz, Reporting sowie einen Incident-Response-Plan. Letzterer definiert einen möglichst schnellen und effizienten Umgang bei Sicherheitsvorfällen oder Verstößen gegen den CRA. 
  6. Strategie überprüfen und anpassen: Kontrollieren Sie regelmäßig, ob Ihre Prozesse, Systeme und Sicherheitsmaßnahmen den Anforderungen weiter entsprechen. Passen Sie Ihre Strategien an, wenn neue Bedrohungen auftreten oder die Gesetzgebung sich verändert. 
  7. Externe Experten konsultieren: Nutzen Sie Expertise außerhalb des Unternehmens und arbeiten Sie mit Fachleuten für Cybersicherheit und Rechtsfragen zusammen.  

Wie kann Nexus helfen?

Nexus bietet schon heute moderne Lösungen für Ihre IoT-Plattform und CRA-konforme Cybersicherheit in verschiedenen Sektoren. Wir können Unternehmen unter anderem dabei helfen, die im CRA geforderten Sicherheitsupdates für IoT-Geräte zu liefern. Außerdem sind unsere Smart IDs für IoT-Anwendungen beispielsweise bereits in der Automobilindustrie, im Gesundheitssektor und für die kritische Infrastruktur des Energiesektors im Einsatz. Also in Bereichen, für die bereits so strenge Richtlinien für die Cybersicherheit gelten, dass sie deshalb – wie bereits erwähnt – nicht vom Cyber Resilience Act betroffen sind.   

Nexus GO IoT Identities besteht aus einem Service zur Ausgabe und Verwaltung von sogenannten PKI-Zertifikaten. Die Public Key Infrastructure (PKI) ermöglicht eine sichere Identifizierung von IoT-Geräten über Zertifikate und bietet folgende Vorteile:  

  • Schutz vor Produktfälschungen in der Lieferkette 
  • Sichere Registrierung und Bereitstellung von Geräten 
  • Authentifizierte und verschlüsselte Kommunikation zwischen Gerät und Cloud sowie von Gerät zu Gerät 

All das ermöglicht die Wahrung der Integrität, Sicherheit sowie des Datenschutzes für die gesamte Nutzungsdauer des Geräts und somit die Compliance mit den Anforderungen des CRA.  

Zusammenfassung

Die technologische Entwicklung schreitet rasant voran und die Bedrohungslage durch Cyberangriffe wächst: Allein Ransomware-Attacken haben 2021 weltweit Kosten von 20 Milliarden Euro verursacht. Immer mehr Produkte haben digitale Elemente und immer mehr Geräte lassen sich mit dem Internet verbinden. Die meisten davon allerdings ohne ausreichende Vorkehrungen für die Cybersicherheit. Der EU Cyber Resilience Act nimmt Hersteller und Händler in die Pflicht, um bestehende Mängel zu beheben und mehr Transparenz und Sicherheit für Produkte auf dem europäischen Markt zu schaffen. Auch wenn Unternehmen die Regularien zunächst einführen und erfüllen müssen, auch sie sollen von der neuen Gesetzgebung profitieren.  

Häufig gestellte Fragen (FAQ)


Was ist der Cyber Resilience Act und was will er erreichen?

Der Cyber Resilience Act ist die erste EU-weite Gesetzgebung dieser Art und führt verbindliche Cybersicherheitsanforderungen für Hard- und Softwareprodukte während ihres gesamten Lebenszyklus ein. Der CRA soll sicherstellen, dass Produkte mit digitalen Elementen auf dem EU-Markt weniger Schwachstellen und mehr Transparenz bei der Sicherheit aufweisen. Hersteller sollen während des gesamten Lebenszyklus eines Produkts für die Cybersicherheit verantwortlich bleiben. Als übergeordnetes Ziel solle Geschäftskunden, Verbraucher und Verbraucherinnen von dem besseren Schutz profitieren.  

Was ist ein kritisches Produkt im Sinne des CRA?

Produkte mit digitalen Elementen gelten abhängig von ihrer Funktion, dem Verwendungszweck und Kriterien wie dem Ausmaß möglicher Auswirkungen als unkritisch oder kritisch. Für kritische Produkte gelten strengere Regularien. Sie sind in zwei Klassen unterteilt: Zur Klasse I zählen beispielsweise Browser, Passwortmanager und Firewalls. Hersteller von kritischen Produkten der Klasse II wie Router oder Firewalls für den Einsatz von IoT-Geräten müssen deren Konformität mit dem CRA von unabhängigen, zertifizierten Dritten prüfen lassen.