Mit dem Cyber Resilience Act plant die EU neue Cybersicherheitsanforderungen an Produkte mit digitalen Elementen zu etablieren. Denn vernetzte Geräte und Services nehmen geschäftlich wie privat eine immer größere Rolle in unserem Alltag ein. Die Verabschiedung des Entwurfs wird für 2024 erwartet und dann mit einer Übergangsfrist von 36 Monaten schrittweise in Kraft treten. Da sich Produktentwicklungszyklen aber traditionell über mehrere Jahre erstrecken können, sollten betroffene Unternehmen schon jetzt handeln, denn viele Produkte, die sich im Augenblick bereits in der Entwicklung befinden, werden bis zu ihrem Marktstart Konformität mit dem Cyber Resilience Act nachweisen müssen, um in der EU angeboten werden zu dürfen.
Wenn Sie sich frühzeitig mit der Kategorisierung und Überprüfung Ihres Portfolios beschäftigen, sind Sie der Regulierung einen Schritt voraus und sichern sich wichtige Zeit zum Handeln.
In unserem Whitepaper betrachten wir detailliert, welche Produkttypen auf welche Weise betroffen sind, was es dabei zu beachten gilt und was Unternehmen jetzt schon tun können.
Hersteller und Händler in der Pflicht
Der Cyber Resilience Act (CRA) zielt auf Produkte mit digitalen Bestandteilen, die darauf ausgelegt sind, eine direkte oder indirekte Datenverbindung mit anderen Geräten oder Netzwerken herzustellen. Diese Produkte können sowohl Software als auch Hardware umfassen. Die entscheidende Indikation für die Anwendbarkeit des CRA liegt insbesondere in der grundsätzlichen Fähigkeit eines Produkts zur Kommunikation mit anderen Produkten oder Komponenten.
Die konkreten Verpflichtungen für Unternehmen variieren je nach Einstufung der Produkte durch den Gesetzgeber. „Normale“ Produkte mit digitalen Elementen, die als Teil der Standardkategorie betrachtet werden, weisen beispielsweise nur eine begrenzte Sicherheitsrelevanz auf. Produkte mit höherer Sicherheitsrelevanz, wie beispielsweise Antivirensoftware oder Smart-Home-Produkte, fallen dagegen in die wichtige Klasse 1. In diesem Fall gilt es, eine externe Prüfung der Konformität durch eine Prüfstelle durchführen zu lassen, oder einen harmonisierten Standard heranzuziehen. Für Produkte der wichtigen Klasse 2, die häufig industriell eingesetzt werden, wie sichere Microcontroller oder Hypervisors, ist eine externe Prüfung obligatorisch. Wenn ein Produkt Teil von Anhang IV ist und z. B. Komponenten mit Sicherheitsrelevanz für kritische Infrastrukturen beinhaltet, müssen Unternehmen – sofern vorhanden – ein Zertifizierungssystem anwenden. Andernfalls gelten hier die Vorgaben der wichtigen Klasse 2.
Jetzt das Whitepaper herunterladen
Der EU Cyber Resilience Act – Produktsicherheit im digitalen Zeitalter
Unternehmen, deren Produkte einer der genannten Kategorien angehören, müssen zukünftig sicherstellen, dass ein hohes Niveau an Cybersicherheit während des gesamten Lebenszyklus ihrer Produkte gewährleistet ist. Hierbei ist es entscheidend, den Sicherheitsaspekt von Anfang an in den Entwicklungsprozess neuer Produkte einzubeziehen – die Stichworte lauten Risiko Assessments und Security-by-Design. Darüber hinaus muss das Produkt aber auch bei Auslieferung, Wartung und Entsorgung sicher sein. Es ist erforderlich, potenzielle Risiken umfassend zu dokumentieren und ausgenutzte Schwachstellen eines Produkts innerhalb eines Zeitraums von 24 Stunden zu melden. Hersteller tragen die Verantwortung, Sicherheitslücken über die erwartete Lebensdauer eines Produkts zu identifizieren, zu beheben und entsprechende Sicherheits-Updates kostenfrei bereitzustellen. Dazu gehört es, innerhalb der eigenen Organisation rechtzeitig die erforderlichen Ressourcen und Prozesse zu schaffen, um diesen Anforderungen gerecht werden zu können.
Angesichts dieses umfassenden Pflichtenkatalogs ist es unabdingbar, dass betroffene Unternehmen jetzt mit der Bewältigung des regulatorischen Drucks beginnen und ihr Produktportfolio sorgfältig überprüfen. Wer es versäumt, den Zeitpuffer bis zum Inkrafttreten des CRA zu nutzen, riskiert Bußgelder, Rückrufaktionen oder aufwendige Nachbesserungen. Auch die Verweigerung der CE-Kennzeichnung für neue Produkte ist möglich, was einem Verkaufsverbot in der EU gleichkommt. Daher ist es ratsam, Produkte bereits jetzt entsprechend der Regulierung zu prüfen, Risiko Assessments durchzuführen und entsprechende Dokumentation für den Nachweis der Konformität zu erstellen.
