Ihre
Suche

    21.03.2024

    Der Cyber Resilience Act: Was Sie (schon) jetzt wissen sollten!


    Fast unbemerkt im Schatten der KI-Verordnung wurde letzte Woche am 12. März 2024 der sogenannte Cyber Resilience Act („CRA“) vom Europäischen Parlament verabschiedet. Dieser umfangreiche Rechtsakt bringt weitreichende Sicherheitsanforderungen für Hersteller, Importeure und Händler von Hard- und Softwareprodukten, die diese in der Europäischen Union anbieten wollen. Ziel der CRA ist es, die Cybersicherheit zu erhöhen und weit verbreitete Schwachstellen zu bekämpfen, die unter anderem durch uneinheitliche Bereitstellung von Sicherheitsupdates und mangelndes Verständnis der Nutzer weitreichende Folgen haben können. Das Gesetz ergänzt damit die NIS-2-Richtlinie, die insbesondere auf die unternehmensbezogene Cyber-Sicherheit abzielt.

     

    Was umfasst der Cyber Resilience Act?

     

    Der Anwendungsbereich ist damit sehr weit gefasst und umfasst alle möglichen Arten von Hard- und Software mit niedrigem bis hohem Risikoprofil. Der CRA unterscheidet zunächst zwischen drei Produktkategorien:

     

    • den „einfachen“ Produkten mit digitalen Elementen,
    • den wichtigen Produkten mit digitalen Elementen der Klasse I und II und
    • den kritischen Produkten mit digitalen Elementen.

     

    Je nach Produktkategorie sind die Anforderungen an die Produkte unterschiedlich.

     

    Wichtige Produkte der Klasse I umfassen

     

    • Identitätsmanagementsysteme,
    • eigenständige und eingebettete Browser,
    • Passwort-Manager,
    • Anti-Malware,
    • Netzmanagementsysteme,
    • Systeme für die Verwaltung von Sicherheitsinformationen und -ereignissen,
    • Bootmanager,
    • Public-Key-Infrastrukturen und Software für die Ausstellung digitaler Zertifikate,
    • physische und virtuelle Netzschnittstellen,
    • Betriebssysteme,
    • Router, Modems und Switches,
    • Mikroprozessoren,
    • Mikrocontroller,
    • Anwendungsspezifische integrierte Schaltungen und Field Programmable Gate Arrays,
    • Produkte mit Sicherheitsfunktionen für die intelligente häusliche Umgebung,
    • internetfähiges Spielzeug,
    • Smart Home Assistenten,
    • Wearables für die Gesundheitsüberwachung.

     

    In die Klasse II fallen

     

    • Hypervisoren,
    • Container-Laufzeitsysteme,
    • Firewalls,
    • Angriffserkennungs- und/oder -präventionssysteme sowie
    • Manipulationssichere Mikroprozessoren und Mikrocontroller.

     

    Der Anhang mit den kritischen Produkten umfasst derzeit Hardwaregeräte mit Sicherheitsboxen, Smart-Meter-Gateways in intelligenten Messsystemen sowie Smartcards oder ähnliche Geräte. Beide Listen sollen von der EU-Kommission künftig durch delegierte Rechtsakte erweitert und präzisiert werden.

     

    Grundlegende Anforderungen an die Cybersicherheit

     

    Um ein Produkt mit digitalen Elementen in Verkehr bringen zu können, muss es einige grundlegende Anforderungen erfüllen.

     

    In einem ersten Schritt müssen die Hersteller eine Bewertung der Cybersicherheitsrisiken ihrer Produkte durchführen und dokumentieren, deren Ergebnisse sie von der Planung über die Herstellung bis hin zur erwarteten Produktlebensdauer berücksichtigen müssen.

     

    Auf der Grundlage dieser Bewertung müssen die Produkte insbesondere

     

    • frei von bekannten Sicherheitslücken sein,
    • über sichere Standardeinstellungen verfügen und
    • grundsätzlich kostenlose Sicherheitsupdates, auch automatisch, ermöglichen.

     

    Sie müssen

     

    • vor unberechtigtem Zugriff schützen,
    • die Vertraulichkeit und Integrität der Daten wahren,
    • die Datenverarbeitung minimieren und
    • die Kernfunktionen auch nach Störfällen sicherstellen.

     

    Das Produktdesign muss Angriffe minimieren, Auswirkungen begrenzen und transparente Sicherheitsinformationen bereitstellen.

     

    Damit verbunden ist die Verpflichtung, Schwachstellen zu identifizieren und zu dokumentieren, die Produktsicherheit regelmäßig zu überprüfen und Vorsorgemaßnahmen zu treffen, einschließlich einer Strategie für die koordinierte Offenlegung von Schwachstellen.

     

    Der Unterstützungszeitraum für Produkte mit digitalen Elementen, in dem auch Sicherheitsupdates bereitgestellt werden müssen und die technische Dokumentation zu erstellen ist, soll grundsätzlich mindestens fünf Jahre betragen. Das Ende des Unterstützungszeitraums soll beim Kauf klar und verständlich angegeben werden.

     

    Gleichzeitig werden Importeure und Händler von Produkten in die Pflicht genommen, sicherzustellen, dass die Produkte den Anforderungen der Verordnung entsprechen.

     

    Konformitätsverfahren und Kennzeichnung (CE-Kennzeichnung)

     

    Für Produkte mit digitalen Komponenten muss eine EU-Konformitätserklärung des Herstellers vorliegen, die die Einhaltung der grundlegenden Anforderungen gewährleistet. Die entsprechende CE-Kennzeichnung muss gut sichtbar, leserlich und dauerhaft auf dem Produkt angebracht sein. Bei Softwareprodukten ist die Software entweder auf der Konformitätserklärung oder auf der das Softwareprodukt begleitenden Website anzugeben.

     

    Das vorgesehene Konformitätsbewertungsverfahren kann bei Produkten, die nicht als wichtig oder kritisch eingestuft sind, vom Hersteller in eigener Verantwortung durchgeführt werden. Die Einschaltung einer unabhängigen benannten Stelle ist für wichtige Produkte der Klasse I freiwillig, für wichtige Produkte der Klasse II jedoch verpflichtend.

     

    Zentrale Meldestelle

     

    Die Hersteller sollen eine zentrale Meldestelle einrichten, bei der die Anwender Schwachstellen melden und Informationen darüber erhalten können. Diese Meldestelle sollte nicht nur automatisiert betrieben werden, sondern auch den Kontakt zu einem menschlichen Ansprechpartner ermöglichen.

     

    Meldepflichten

     

    Hersteller müssen Sicherheitsverletzungen durch böswillige Akteure sowie Cybersicherheitsvorfälle, die zu einem erhöhten Risiko für Nutzer oder andere Personen führen, melden. Hierfür wird von der ENISA eine einheitliche Meldeplattform eingerichtet. Diese Meldungen müssen in der Regel unverzüglich erfolgen, können aber im Einzelfall aus Sicherheitsgründen für einen erforderlichen Zeitraum aufgeschoben werden. Behobene Schwachstellen werden im Einvernehmen mit dem Hersteller in einer europäischen Schwachstellendatenbank erfasst.

     

    Überwachung und Durchsetzung

     

    Die Überwachung und Durchsetzung erfolgt im Wesentlichen durch Marktüberwachungsbehörden, die nun in jedem Mitgliedstaat benannt werden müssen. Diese können bei Bedarf auch Zugang zu internen Daten der Hersteller verlangen, um die Konformität der Produkte zu beurteilen.

     

    Bei Verstößen drohen - wie auch bei anderen EU-Rechtsakten - je nach Art und Schwere empfindliche Bußgelder. Im Falle des Cyber Resilience Act können sie bis zu 15 Millionen Euro oder 2,5 % des gesamten weltweit erzielten Jahresumsatzes des Unternehmens im vorangegangenen Geschäftsjahr betragen. Die konkrete Ausgestaltung obliegt den EU-Mitgliedstaaten.

     

    Zeitlicher Horizont

     

    Der CRA muss nun noch formell vom Rat der Europäischen Union verabschiedet werden. Dies geschieht voraussichtlich im April 2024. Wie bei anderen EU-Rechtsakten üblich, tritt der CRA dann am zwanzigsten Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. Die Verordnung wird 36 Monate nach ihrem Inkrafttreten in vollem Umfang anwendbar sein, wobei einige Teilaspekte, darunter die Meldepflicht für Sicherheitsvorfälle, bereits früher gelten werden.

     

    Produkte mit digitalen Elementen, die vor dem vollständigen Inkrafttreten der Verordnung in Verkehr gebracht wurden, sind von den Anforderungen nicht betroffen, sofern sie nach diesem Zeitpunkt nicht wesentlich geändert werden. Dies gilt jedoch nicht für die Meldepflicht von Sicherheitsvorfällen.

     

    Einschätzung

     

    Der Cyber Resilience Act verpflichtet Wirtschaftsakteure zu besonderer Sorgfalt im Kontext der Cybersicherheit. Dies führt einerseits zu einem beachtlichen Mehraufwand, gewährleistet aber eine gewisse Rechtssicherheit, da die Verordnung unionsweit gilt. Damit können Produkte, die die Anforderungen der Verordnung erfüllen, grundsätzlich auch in jedem andere EU-Mitgliedsstaat auf den Markt gebracht werden, ohne dass striktere Anforderungen an die Cybersicherheit das wirtschaftliche Tätigwerden verhindern. Auch wenn die Anforderungen des Cyber Resilience Act erst in gut 36 Monaten in vollem Umfang anwendbar sind, müssen sie bei Produkten mit langen Entwicklungszyklen und bei Verträgen mit langer Laufzeit frühzeitig mitgedacht werden.

     

    Aus rechtlicher Sicht werden neben der Einhaltung von Pflichtinformationen neue Aspekte bei der Verhandlung von IT-Verträgen eine tragende Rolle spielen. So sollten Hersteller, die Komponenten von Dritten für ihre Produkte beziehen, Absicherungen fordern, dass diese Komponenten im Einklang mit der Verordnung stehen.

     

    Daniel Trunk

     

    Goodbye OS-Plattform: Was (nicht mehr) zu tun ist
    Vor gut einem Jahr hat die Europäische Kommission eine Reform zur alternativen S…
    Weiterlesen
    Tattoos in Videospielen - und was das Fototapeten-Urteil des BGH damit zu tun haben könnte
    Die Abbildung von Tätowierungen realer Personen, zumeist Sportlern, in Videospie…
    Weiterlesen
    Orientierungshilfe der DSK zum neuen Onlinezugangsgesetz
    Mit dem 2017 in Kraft getretenen Onlinezugangsgesetz („OZG“) wurden alle Behörde…
    Weiterlesen
    Cyberangriff: Wer kommt für den Schaden auf?
    In der heutigen digitalisierten Welt sind Unternehmen zunehmend Ziel von Cyberan…
    Weiterlesen
    Einführung des Leistungsempfängerortsprinzips für das Streaming von Veranstaltungen im B2C- und B2B-Bereich
    Die zunehmende Bedeutung digitaler Dienstleistungen macht auch vor dem Umsatzste…
    Weiterlesen
    BGH gewährt immateriellen Schadensersatz bei Kontrollverlust über Daten (Facebook-Scraping)
    Seit geraumer Zeit ziehen sich datenschutzrechtliche Schadensersatzansprüche inf…
    Weiterlesen
    EU regelt Recht auf Zugang zu Maschinendaten – die Gewinner und die Verlierer
    Mit dem neuen Data Act schafft die EU erstmals gesetzliche Rahmenbedingungen für…
    Weiterlesen
    Cyberangriffe und die Haftungsfrage: Wer trägt die Kosten?
    In einer zunehmend vernetzten Welt sind Unternehmen mehr denn je Bedrohungen dur…
    Weiterlesen
    ADVANT Beiten berät Amphenol bei Übernahme der Luetze-Gruppe
    Berlin, 16. Oktober 2024 – Die internationale Wirtschaftskanzlei ADVANT Beiten h…
    Weiterlesen