Das bedeutet das Cyberresilienzgesetz für Sie: Leitfaden für Hersteller zur Einhaltung der Vorschriften
Nach Angaben des Weltwirtschaftsforums (WEF) wäre die weltweite Cyberkriminalität die drittgrößte Wirtschaftsmacht der Welt – nach den USA und China. Schätzungen auf Basis der Daten von Cybersecurity Ventures verdeutlichen, dass die Cyberkriminalität im Jahr 2025 weltweit Kosten von 10,5 Billionen US-Dollar verursachen wird.
Als Reaktion auf diese rasant wachsenden Bedrohungen hat die EU das Cyberresilienzgesetz (Cyber Resilience Act - CRA) und andere Richtlinien wie NIS2, DORA und RCE auf den Weg gebracht, um die zunehmende Zahl der digitalen Systeme zu schützen.
In jeden Fall ist klar, dass die EU mit dem neuen Gesetz dem aktuellen Trend folgt.
„Die Kombination von Cyber und Resilienz ist heute in aller Munde“, sagt Pär Torstensson, Product Manager of IoT bei Nexus. „Während ‚Cyber‘ in der Regel nur einen Bezug zur IT hat, wird ‚Resilienz‘ in verschiedenen Zusammenhängen verwendet, insbesondere seit der Pandemie. Resilienz steht auch für die Notwendigkeit, sich in schwierigen Zeiten anzupassen. Das ist ein etwas anderer Fokus als bei der ‚Cybersicherheit‘."
Lesen Sie auch: Vorbereitung auf NIS2 – Checkliste für betroffene Organisationen
Welches Ziel verfolgt die EU mit dem neuen Gesetz?
Es handelt sich dabei um eine EU-Verordnung, die derzeit vom Europäischen Parlament beraten wird und die darauf abzielt, die Cyberresilienz von Hardware- und Softwareprodukten mit vernetzten digitalen Elementen zu verbessern. Um auf die wachsenden Herausforderungen und Kosten der Cybersicherheit zu reagieren und Schwachstellen zu beseitigen, verfolgt die Verordnung vier spezifische Ziele:
- Sicherstellen, dass Hersteller die Cybersicherheit von Produkten mit einer vernetzten digitalen Komponente über den gesamten Lebenszyklus verbessern;
- Schaffung eines einheitlichen, kohärenten Rahmens für die Einhaltung der Cybersicherheitsvorschriften in der EU;
- Verbesserung der Transparenz der Cybersicherheitsmethoden und -eigenschaften von Produkten und ihren Herstellern
- Bereitstellung von sicheren und gebrauchsfertigen Produkten für Verbraucher
Kommt es zur Verabschiedung der EU-Verordnung in ihrer jetzigen Form, wird es beispielsweise eine CE-Kennzeichnung für Produkte mit vernetzten digitalen Elementen geben, die entsprechende Sicherheitsanforderungen erfüllen. Folglich könnten dann Produkte ohne diese CE-Kennzeichnung nicht mehr in der EU verkauft werden.
Wer ist für die Einhaltung der neuen Regeln verantwortlich?
Im Kern gilt die Verordnung für alle Hersteller von Produkten mit vernetzten digitalen Elementen, die in der EU angeboten werden, und zwar unabhängig davon, ob sie in der EU ansässig sind oder nicht. Zu den Produkten mit vernetzten digitalen Elementen gehören alle Software- oder Hardwareprodukte, die eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netzwerk haben.
Bisher richteten sich die europäischen Cybersicherheitsverordnungen in erster Linie an die Betreiber, die auch die Risikoträger für ihre „kritischen Dienste“ sind. Somit müssen hier die Betreiber die Verantwortung für die Cybersicherheit übernehmen. Die steigende Zahl von Sicherheitsvorfällen in den Lieferkette und die zunehmende Verbreitung des Internets der Dinge (IoT) haben in den letzten Jahren jedoch ein kritisches Problem verdeutlicht: Die Betreiber haben Schwierigkeiten, die verschiedenen Hardware- und Softwarekomponenten zu überwachen, für die sie verantwortlich sind. Das liegt oft daran, dass ihnen das technische Fachwissen fehlt und sie sich daher hauptsächlich auf die Hersteller verlassen müssen. Die neue Verordnung hat daher das Ziel, die Cyberresilienz der Betreiber in der EU zu verbessern, indem sie die Verantwortung zu einem beträchtlichen Teil direkt auf die Hersteller überträgt.
Maßnahmen zur Konformität und Fristen für Hersteller
Die Hersteller müssen die Einhaltung der Verordnung über den gesamten Herstellungsprozess sicherstellen, d. h. in der Planungs-, Entwicklungs- und Produktionsphase. Darüber hinaus ist es Aufgabe der Importeure und Händler, die Einhaltung der Vorschriften durch die Hersteller zu überprüfen.
Für die Hersteller ergeben sich dadurch folgende Verpflichtungen:
- Integration von Cybersicherheitsmaßnahmen in die Entwicklung und Herstellung digitaler Produkte. Dazu gehören Verschlüsselung, Zugangskontrolle und regelmäßige Sicherheits-Updates.
- Bereitstellung technischer Unterlagen, in denen die Sicherheitsmerkmale, Schwachstellen und potenziellen Risiken der Produkte ausführlich beschrieben sind.
- Kooperation mit Behörden, z. B. bei der Meldung von Vorfällen und von Schwachstellen, die bei Vorfällen genutzt wurden. So müssen Hersteller die Agentur der Europäischen Union für Cybersicherheit (ENISA) innerhalb von 24 Stunden nach Bekanntwerden einer aktiv ausgenutzten Schwachstelle informieren. Auch Benutzer der Produkte müssen informiert werden, gegebenenfalls auch über verfügbare Gegenmaßnahmen. Der Hersteller ist für die regelmäßige Sicherheitsprüfung und Inspektion der Produkte verantwortlich.
Der Entwurf des Cyberresilienzgesetzes befindet sich noch in einer frühen Phase. Nach der Verabschiedung haben die Hersteller zwei Jahre Zeit, die Vorgaben zu erfüllen. Die Meldepflichten gelten jedoch bereits 12 Monate nach Inkrafttreten (Artikel 57). Ausgehend von früheren Verordnungen und Richtlinien wird die vollständige Einhaltung der Vorgaben nicht vor 2025 oder 2026 erforderlich sein.
Die Vorbereitung dafür sollte jedoch nicht aufgeschoben werden. Als die Datenschutzgrundverordnung (DSGVO) in der EU in Kraft trat, mussten die Unternehmen umfassende Veränderungen ihrer Abläufen vornehmen, insbesondere im Umgang mit Kundendaten, in der Werbung, mit Cookies usw. Das Cyberresilienzgesetz könnte ähnlich umfangreiche Auswirkungen haben. So wird es die Art und Weise verändern, wie IoT-Hersteller und Softwareanbieter die Sicherheit ihrer Produkte managen.
Wie können wir helfen?
Nexus ist Ihr zuverlässiger Partner, wenn es um komplexe Cybersicherheitslösungen und die Einhaltung des Cyberresilienzgesetzes geht. Mit unserem Expertenwissen können wir Sie umfassend beraten und sicherstellen, dass Ihre Produkte und Services die neuesten Anforderungen erfüllen. Mit unseren innovativen Sicherheitslösungen, die auf modernster PKI-Technologie (Public Key Infrastructure) basieren, verbessern wir die Cyberresilienz Ihrer IoT-Geräte, gewährleisten die Einhaltung von Vorgaben und schützen Ihre Geschäftsprozesse.
Published
16/02 2024