Ihre
Suche

    21.03.2024

    Der Cyber Resilience Act: Was Sie (schon) jetzt wissen sollten!


    Fast unbemerkt im Schatten der KI-Verordnung wurde letzte Woche am 12. März 2024 der sogenannte Cyber Resilience Act („CRA“) vom Europäischen Parlament verabschiedet. Dieser umfangreiche Rechtsakt bringt weitreichende Sicherheitsanforderungen für Hersteller, Importeure und Händler von Hard- und Softwareprodukten, die diese in der Europäischen Union anbieten wollen. Ziel der CRA ist es, die Cybersicherheit zu erhöhen und weit verbreitete Schwachstellen zu bekämpfen, die unter anderem durch uneinheitliche Bereitstellung von Sicherheitsupdates und mangelndes Verständnis der Nutzer weitreichende Folgen haben können. Das Gesetz ergänzt damit die NIS-2-Richtlinie, die insbesondere auf die unternehmensbezogene Cyber-Sicherheit abzielt.

     

    Was umfasst der Cyber Resilience Act?

     

    Der Anwendungsbereich ist damit sehr weit gefasst und umfasst alle möglichen Arten von Hard- und Software mit niedrigem bis hohem Risikoprofil. Der CRA unterscheidet zunächst zwischen drei Produktkategorien:

     

    • den „einfachen“ Produkten mit digitalen Elementen,
    • den wichtigen Produkten mit digitalen Elementen der Klasse I und II und
    • den kritischen Produkten mit digitalen Elementen.

     

    Je nach Produktkategorie sind die Anforderungen an die Produkte unterschiedlich.

     

    Wichtige Produkte der Klasse I umfassen

     

    • Identitätsmanagementsysteme,
    • eigenständige und eingebettete Browser,
    • Passwort-Manager,
    • Anti-Malware,
    • Netzmanagementsysteme,
    • Systeme für die Verwaltung von Sicherheitsinformationen und -ereignissen,
    • Bootmanager,
    • Public-Key-Infrastrukturen und Software für die Ausstellung digitaler Zertifikate,
    • physische und virtuelle Netzschnittstellen,
    • Betriebssysteme,
    • Router, Modems und Switches,
    • Mikroprozessoren,
    • Mikrocontroller,
    • Anwendungsspezifische integrierte Schaltungen und Field Programmable Gate Arrays,
    • Produkte mit Sicherheitsfunktionen für die intelligente häusliche Umgebung,
    • internetfähiges Spielzeug,
    • Smart Home Assistenten,
    • Wearables für die Gesundheitsüberwachung.

     

    In die Klasse II fallen

     

    • Hypervisoren,
    • Container-Laufzeitsysteme,
    • Firewalls,
    • Angriffserkennungs- und/oder -präventionssysteme sowie
    • Manipulationssichere Mikroprozessoren und Mikrocontroller.

     

    Der Anhang mit den kritischen Produkten umfasst derzeit Hardwaregeräte mit Sicherheitsboxen, Smart-Meter-Gateways in intelligenten Messsystemen sowie Smartcards oder ähnliche Geräte. Beide Listen sollen von der EU-Kommission künftig durch delegierte Rechtsakte erweitert und präzisiert werden.

     

    Grundlegende Anforderungen an die Cybersicherheit

     

    Um ein Produkt mit digitalen Elementen in Verkehr bringen zu können, muss es einige grundlegende Anforderungen erfüllen.

     

    In einem ersten Schritt müssen die Hersteller eine Bewertung der Cybersicherheitsrisiken ihrer Produkte durchführen und dokumentieren, deren Ergebnisse sie von der Planung über die Herstellung bis hin zur erwarteten Produktlebensdauer berücksichtigen müssen.

     

    Auf der Grundlage dieser Bewertung müssen die Produkte insbesondere

     

    • frei von bekannten Sicherheitslücken sein,
    • über sichere Standardeinstellungen verfügen und
    • grundsätzlich kostenlose Sicherheitsupdates, auch automatisch, ermöglichen.

     

    Sie müssen

     

    • vor unberechtigtem Zugriff schützen,
    • die Vertraulichkeit und Integrität der Daten wahren,
    • die Datenverarbeitung minimieren und
    • die Kernfunktionen auch nach Störfällen sicherstellen.

     

    Das Produktdesign muss Angriffe minimieren, Auswirkungen begrenzen und transparente Sicherheitsinformationen bereitstellen.

     

    Damit verbunden ist die Verpflichtung, Schwachstellen zu identifizieren und zu dokumentieren, die Produktsicherheit regelmäßig zu überprüfen und Vorsorgemaßnahmen zu treffen, einschließlich einer Strategie für die koordinierte Offenlegung von Schwachstellen.

     

    Der Unterstützungszeitraum für Produkte mit digitalen Elementen, in dem auch Sicherheitsupdates bereitgestellt werden müssen und die technische Dokumentation zu erstellen ist, soll grundsätzlich mindestens fünf Jahre betragen. Das Ende des Unterstützungszeitraums soll beim Kauf klar und verständlich angegeben werden.

     

    Gleichzeitig werden Importeure und Händler von Produkten in die Pflicht genommen, sicherzustellen, dass die Produkte den Anforderungen der Verordnung entsprechen.

     

    Konformitätsverfahren und Kennzeichnung (CE-Kennzeichnung)

     

    Für Produkte mit digitalen Komponenten muss eine EU-Konformitätserklärung des Herstellers vorliegen, die die Einhaltung der grundlegenden Anforderungen gewährleistet. Die entsprechende CE-Kennzeichnung muss gut sichtbar, leserlich und dauerhaft auf dem Produkt angebracht sein. Bei Softwareprodukten ist die Software entweder auf der Konformitätserklärung oder auf der das Softwareprodukt begleitenden Website anzugeben.

     

    Das vorgesehene Konformitätsbewertungsverfahren kann bei Produkten, die nicht als wichtig oder kritisch eingestuft sind, vom Hersteller in eigener Verantwortung durchgeführt werden. Die Einschaltung einer unabhängigen benannten Stelle ist für wichtige Produkte der Klasse I freiwillig, für wichtige Produkte der Klasse II jedoch verpflichtend.

     

    Zentrale Meldestelle

     

    Die Hersteller sollen eine zentrale Meldestelle einrichten, bei der die Anwender Schwachstellen melden und Informationen darüber erhalten können. Diese Meldestelle sollte nicht nur automatisiert betrieben werden, sondern auch den Kontakt zu einem menschlichen Ansprechpartner ermöglichen.

     

    Meldepflichten

     

    Hersteller müssen Sicherheitsverletzungen durch böswillige Akteure sowie Cybersicherheitsvorfälle, die zu einem erhöhten Risiko für Nutzer oder andere Personen führen, melden. Hierfür wird von der ENISA eine einheitliche Meldeplattform eingerichtet. Diese Meldungen müssen in der Regel unverzüglich erfolgen, können aber im Einzelfall aus Sicherheitsgründen für einen erforderlichen Zeitraum aufgeschoben werden. Behobene Schwachstellen werden im Einvernehmen mit dem Hersteller in einer europäischen Schwachstellendatenbank erfasst.

     

    Überwachung und Durchsetzung

     

    Die Überwachung und Durchsetzung erfolgt im Wesentlichen durch Marktüberwachungsbehörden, die nun in jedem Mitgliedstaat benannt werden müssen. Diese können bei Bedarf auch Zugang zu internen Daten der Hersteller verlangen, um die Konformität der Produkte zu beurteilen.

     

    Bei Verstößen drohen - wie auch bei anderen EU-Rechtsakten - je nach Art und Schwere empfindliche Bußgelder. Im Falle des Cyber Resilience Act können sie bis zu 15 Millionen Euro oder 2,5 % des gesamten weltweit erzielten Jahresumsatzes des Unternehmens im vorangegangenen Geschäftsjahr betragen. Die konkrete Ausgestaltung obliegt den EU-Mitgliedstaaten.

     

    Zeitlicher Horizont

     

    Der CRA muss nun noch formell vom Rat der Europäischen Union verabschiedet werden. Dies geschieht voraussichtlich im April 2024. Wie bei anderen EU-Rechtsakten üblich, tritt der CRA dann am zwanzigsten Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. Die Verordnung wird 36 Monate nach ihrem Inkrafttreten in vollem Umfang anwendbar sein, wobei einige Teilaspekte, darunter die Meldepflicht für Sicherheitsvorfälle, bereits früher gelten werden.

     

    Produkte mit digitalen Elementen, die vor dem vollständigen Inkrafttreten der Verordnung in Verkehr gebracht wurden, sind von den Anforderungen nicht betroffen, sofern sie nach diesem Zeitpunkt nicht wesentlich geändert werden. Dies gilt jedoch nicht für die Meldepflicht von Sicherheitsvorfällen.

     

    Einschätzung

     

    Der Cyber Resilience Act verpflichtet Wirtschaftsakteure zu besonderer Sorgfalt im Kontext der Cybersicherheit. Dies führt einerseits zu einem beachtlichen Mehraufwand, gewährleistet aber eine gewisse Rechtssicherheit, da die Verordnung unionsweit gilt. Damit können Produkte, die die Anforderungen der Verordnung erfüllen, grundsätzlich auch in jedem andere EU-Mitgliedsstaat auf den Markt gebracht werden, ohne dass striktere Anforderungen an die Cybersicherheit das wirtschaftliche Tätigwerden verhindern. Auch wenn die Anforderungen des Cyber Resilience Act erst in gut 36 Monaten in vollem Umfang anwendbar sind, müssen sie bei Produkten mit langen Entwicklungszyklen und bei Verträgen mit langer Laufzeit frühzeitig mitgedacht werden.

     

    Aus rechtlicher Sicht werden neben der Einhaltung von Pflichtinformationen neue Aspekte bei der Verhandlung von IT-Verträgen eine tragende Rolle spielen. So sollten Hersteller, die Komponenten von Dritten für ihre Produkte beziehen, Absicherungen fordern, dass diese Komponenten im Einklang mit der Verordnung stehen.

     

    Daniel Trunk

     

    Einwilligungsverwaltungsverordnung – Cooki…
    Laut einer aktuellen Studie des Bitkom sind 76 % der Internetnutzer von Cookie-B…
    Weiterlesen
    ADVANT Beiten berät die Gesellschafter der…
    Freiburg, 5. August 2024 – Die internationale Wirtschaftskanzlei ADVANT Beiten h…
    Weiterlesen
    KI im Social-Media-Marketing: Chancen und …
    Unsere Experten Dr. Holger Weimann und Dr. Birgit Münchbach beschreiben die wach…
    Weiterlesen
    Schocktherapie Folge 9: „Als Datenschützer…
    „Als Datenschützer ist man nie wirklich willkommen“ – Datenschutz im Krankenhaus…
    Weiterlesen
    Verschärfte Anforderungen für die Werbung …
    Mit Urteil vom 27. Juni 2024 hat der Bundesgerichtshof entschieden, dass die Wer…
    Weiterlesen
    Durchsetzung des Digital Services Act in D…
    Der Digital Services Act (DSA) zielt darauf ab, ein sicheres und transparentes O…
    Weiterlesen
    Handspiel: Was die Fußball-Europameisterschaft mit dem EU-Datenrecht zu tun hat
    Während das Land noch diskutiert, ob die Entscheidung von Schiedsrichter Taylor richtig war, Deutschland den Hand-Elfmeter zu verweigern, machen wir uns dazu ganz unaufgeregt ein paar Gedanken aus Sicht de…
    Weiterlesen
    Fruchtgummis sind nicht klimaneutral!
    Der BGH verschärft die Anforderungen für die Werbung mit dem Begriff "klimaneutral". Mit Urteil vom 27. Juni 2024 hat der Bundesgerichtshof entschieden, dass die Werbung mit einem mehrdeutigen umweltbezog…
    Weiterlesen
    ADVANT Beiten berät Aesculap bei Veräußerung der TETEC AG an kanadische Octane-Gruppe
    Düsseldorf, 26. Juni 2024 – Die internationale Wirtschaftskanzlei ADVANT Beiten hat die Aesculap AG, ein Tochterunternehmen des B. Braun Konzerns mit Sitz in Melsungen, bei der Veräußerung ihrer Beteiligun…
    Weiterlesen