EU Cyber Resilience Act
Ihre Expertin für Fragen
Siri Oberpottkamp
Senior Managerin bei PwC Deutschland
Tel.: +49 1516 4500068
E-Mail
Neue Anforderungen an die digitale Produktsicherheit
Vernetzte Geräte und Services nehmen im digitalen Zeitalter eine immer größere Rolle ein. Mit dem EU Cyber Resilience Act (CRA) hat die EU neue Cybersicherheitsanforderungen an Produkte mit digitalen Elementen gestellt, um diese besser gegen Cyberangriffe zu schützen und ein einheitliches Vorgehen der Cyber Security zu harmonisieren. Produkte, für die bereits einschlägige Cyber-Security-Regularien seitens der EU existieren, sind vom CRA ausgenommen, so bspw. Automotive-Produkte. Der CRA wurde am 10.10.2024 verabschiedet und tritt nach Veröffentlichung im Amtsblatt der EU in Kraft. Ab dann greift die neue Verordnung schrittweise mit einer Übergangsfrist von 36 Monaten. Bereits nach 21 Monaten gelten für Produkthersteller jedoch Vorgaben zur Meldepflicht bei Sicherheitsvorfällen.
CRA in 90 Sekunden
Kategorien des Cyber Resilience Act
Der Cyber Resilience Act betrifft Produkte mit digitalen Elementen – also Produkte, die eine direkte oder indirekte Verbindung mit anderen Geräten oder Netzwerken herstellen können. Dies beinhaltet sowohl Software als auch Hardware. Der entscheidende Indikator für die Anwendbarkeit des CRA liegt in der grundsätzlichen Fähigkeit eines Produkts zur Kommunikation mit anderen Produkten oder Komponenten.
Die konkreten Verpflichtungen für Unternehmen sind abhängig von der Einstufung der Produkte. Der Gesetzgeber unterscheidet die Produkte mit aufsteigendem Sicherheitsrisiko in folgende Kategorien:
„Default“-Produkte mit digitalen Elementen
Smart-Home-Systeme oder Industrial-IoT-Sensoren gehören zu dieser Kategorie. Diese erfordert eine interne Konformitätsprüfung, die belegt, dass die Cybersicherheitsanforderungen aus dem CRA erfüllt werden.
Wichtige Produkte mit digitalen Elementen der Klasse 1
Produkte dieser Kategorie, wie beispielsweise Mikroprozessoren oder Antivirensoftware, müssen eine der folgenden Bedingung erfüllen:
- haben eine cybersicherheitsrelevante Aufgabe
- stellen eine Funktion bereit, die das Risiko birgt, eine große Anzahl anderer Produkte zu beeinträchtigen,
- oder stellen ein Risiko für die Sicherheit einer großen Anzahl von Menschen dar.
Gefordert ist hier die Verwendung eines harmonisierten Standards oder alternativ eine externe Prüfung der Konformität durch eine Prüfstelle.
Wichtige Produkte mit digitalen Elementen der Klasse 2
Produkte wie Firewalls oder Hypervisors erfordern verpflichtend eine externe Konformitätsprüfung. Es müssen zwei oder mehr der zuvor genannten Bedingungen aus Klasse 1 erfüllt sein.
Kritische Produkte mit digitalen Elementen
Betroffen sind kritische Produkte mit digitalen Elementen, die Teil des Anhangs IV sind und in kritischen Infrastrukturen eingesetzt werden, wie z. B. Smart-Meter-Gateways oder Smart Cards. Hier ist die Anwendung eines Zertifizierungssystems als Konformitätsnachweis erforderlich.
Haben Sie Fragen zum CRA?
Kontaktieren Sie uns gerne
Was müssen Produkthersteller jetzt tun?
Unternehmen, deren Produkte in eine der Kategorien eingeordnet werden, müssen zukünftig sicherstellen, dass ein hohes Niveau an Cybersicherheit entlang des gesamten Produktlebenszyklus gewährleistet ist.
Auch kleinere Unternehmen, die Produkte mit digitalen Elementen herstellen, müssen sicherstellen, dass ihre Produkte die CRA-Anforderungen erfüllen. Besonders bei limitierten Ressourcen ist es wichtig, frühzeitig auf standardisierte Konformitätsprüfungen und Security-by-Design zu setzen. KMUs sollten zudem prüfen, ob sie auf bestehende Zertifizierungen und Sicherheitslösungen zurückgreifen können. Da die EU die Herausforderungen für KMUs erkannt hat, werden diese gesondert betrachtet, bspw. erhalten sie zusätzliche Unterstützung und Anforderungen wurden angepasst.
Die CE-Kennzeichnung für Produkte mit digitalen Elementen ist zukünftig an die Erfüllung des Cyber Resilience Act gekoppelt. Hierbei ist entscheidend, den Security-Aspekt von Anfang an in den Entwicklungsprozess neuer Produkte mit einzubeziehen. Insbesondere Risiko Assessments und Security-by-Design sind hier elementare Bestandteile. Darüber hinaus muss das Produkt auch bei Auslieferung, Wartung und Entsorgung sicher sein.
Das hat zur Folge, dass potenzielle Risiken umfassend dokumentiert und regelmäßig überprüft werden müssen. Dies gilt auch für Schwachstellen eines Produkts. Angenommen, ein Hersteller entdeckt, dass ein Hacker eine Schwachstelle in der Software eines Smart-Home-Systems ausgenutzt hat: Der Hersteller ist verpflichtet, die Schwachstelle innerhalb von 24 Stunden den zuständigen Behörden zu melden, um weiteren Schaden zu verhindern. Zusätzlich müssen Kunden zeitnah über das Problem und verfügbare Patches informiert werden.
Damit tragen Hersteller die Verantwortung, Sicherheitslücken für die erwartete Lebensdauer eines Produktes zu identifizieren und zu beheben. Dies umfasst auch die Bereitstellung kostenloser Security-Updates.
Um diesen Anforderungen gerecht werden zu können, sollten innerhalb der eigenen Organisation rechtzeitig die erforderlichen Ressourcen und Prozesse geschaffen werden. Dabei sollten sowohl technische als auch prozessuale Maßnahmen berücksichtigt werden.
Was passiert bei Nichteinhaltung des Cyber Resilience Act?
Unternehmen, die den CRA nicht einhalten, riskieren hohe Geldstrafen und können ihre Produkte möglicherweise nicht mehr auf den EU-Markt bringen. Im Falle von schweren Verstößen drohen Strafen von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Dies unterstreicht die Bedeutung der frühzeitigen Umsetzung der Sicherheitsanforderungen.
Zum Download: Cyber Resilience Act Asset Library
Webcastaufzeichnungen, unser neuestes Whitepaper und Handlungempfehlungen – das gibt's hier zum Download. Registrieren Sie sich einmalig für den Zugang zu all unseren CRA-Assets und sichern Sie sich alle relevanten Insights.
