Mit dem Cyber Resilience Act plant die EU neue Cybersicherheitsanforderungen an Produkte mit digitalen Komponenten zu etablieren. Denn vernetzte Geräte und Services nehmen geschäftlich wie privat eine immer größere Rolle in unserem Alltag ein. Die Verabschiedung des Entwurfs wird für 2024 erwartet und dann mit einer Übergangsfrist von 36 Monaten vollständig in Kraft treten. Weil sich Produktentwicklungszyklen aber traditionell über mehrere Jahre erstrecken können, sollten betroffene Unternehmen schon jetzt handeln, denn viele Produkte, die sich im Augenblick bereits in der Entwicklung befinden, werden bis zu ihrem Marktstart Konformität mit dem Cyber Resilience Act nachweisen müssen.
Wenn Sie sich frühzeitig mit der Kategorisierung und Überprüfung Ihres Portfolios beschäftigen, sind Sie der Regulierung einen Schritt voraus und sichern sich wichtige Zeit zum Handeln.
In unserem Whitepaper betrachten wir detailliert, welche Produkttypen auf welche Weise betroffen sind, was es dabei zu beachten gilt und was Unternehmen jetzt schon tun können.
Der Cyber Resilience Act (CRA) zielt auf Produkte mit digitalen Bestandteilen, die darauf ausgelegt sind, eine direkte oder indirekte Datenverbindung mit anderen Geräten oder Netzwerken herzustellen. Diese Produkte können sowohl Software als auch Hardware umfassen. Die entscheidende Indikation für die Anwendbarkeit des CRA liegt insbesondere in der grundsätzlichen Fähigkeit eines Produkts zur Kommunikation mit anderen Produkten oder Komponenten.
Die spezifischen Anforderungen an Unternehmen im Rahmen des Cyber Resilience Act hängen von der Klassifizierung ihrer Produkte ab. Produkte der „Standardkategorie“, die eine grundlegende Sicherheitsrelevanz aufweisen, umfassen beispielsweise alltägliche Verbraucherelektronik wie Smartphones oder Laptops. In der höheren Sicherheitskategorie, der „kritischen Klasse 1“, finden sich Produkte wie Netzwerk-Firewalls oder Datenverschlüsselungssoftware, die eine wichtigere Rolle in der Sicherheitsinfrastruktur spielen und daher strengeren Anforderungen unterliegen. Für diese Kategorie ist es oft notwendig, eine Konformitätsprüfung durch externe Stellen durchführen zu lassen oder harmonisierte Standards zu verwenden. Produkte der „sehr kritischen Klasse 2“, die in industriellen Kontexten eingesetzt werden, wie SCADA-Systeme (Supervisory Control and Data Acquisition) für die Steuerung von Produktionsprozessen, erfordern zwingend eine externe Prüfung ihrer Sicherheitsstandards. Produkte, die unter Anhang III(a) fallen und Komponenten beinhalten, die für die Sicherheit kritischer Infrastrukturen von Bedeutung sind, müssen – sofern verfügbar – ein spezifisches Zertifizierungssystem nutzen, andernfalls gelten die strengen Vorgaben der Klasse 2.
Unternehmen, deren Produkte einer der genannten Kategorien angehören, müssen zukünftig sicherstellen, dass ein hohes Niveau an Cybersicherheit während des gesamten Lebenszyklus ihrer Produkte gewährleistet ist. Hierbei ist es entscheidend, den Sicherheitsaspekt von Anfang an in den Entwicklungsprozess neuer Produkte einzubeziehen – Stichwort Security-by-Design. Darüber hinaus muss das Produkt aber auch bei Auslieferung, Wartung und Entsorgung sicher sein. Es ist erforderlich, potenzielle Risiken umfassend zu dokumentieren und ausgenutzte Schwachstellen eines Produkts innerhalb eines Zeitraums von 24 Stunden zu melden. Hersteller tragen die Verantwortung, Sicherheitslücken über mindestens fünf Jahre oder während der erwarteten Lebensdauer eines Produkts zu identifizieren, zu beheben und entsprechende Sicherheits-Updates bereitzustellen. Dazu gehört es, innerhalb der eigenen Organisation rechtzeitig die erforderlichen Ressourcen und Prozesse zu schaffen, um diesen Anforderungen gerecht werden zu können.
Angesichts dieses umfassenden Pflichtenkatalogs ist es unabdingbar, dass betroffene Unternehmen jetzt mit der Bewältigung des regulatorischen Drucks beginnen und ihr Produktportfolio sorgfältig überprüfen. Wer es versäumt, den Zeitpuffer bis zum Inkrafttreten des CRA zu nutzen, riskiert Bußgelder, Rückrufaktionen oder aufwendige Nachbesserungen. Auch die Verweigerung der CE-Kennzeichnung für neue Produkte ist möglich. Daher ist es ratsam, Produkte bereits jetzt entsprechend der Regulierung zu prüfen, Risiko Assessments durchzuführen und entsprechende Dokumentation für den Nachweis der Konformität zu erstellen.