Die fortschreitende Digitalisierung bringt immense Chancen mit sich, birgt jedoch auch neue Risiken. Der Cyber Resilience Act (CRA) der Europäischen Union adressiert diese Herausforderungen und bietet erstmals einen umfassenden rechtlichen Rahmen für die Cybersicherheit von Produkten mit digitalen Elementen. Diese Verordnung ist ein bedeutender Schritt, um den Schutz der digitalen Lieferkette und der Endverbraucher in Europa zu stärken – mit globalen Auswirkungen.
Relevanz
Die zunehmende Vernetzung in Bereichen wie dem Internet of Things (IoT) und dem industriellen IoT hat nicht nur die Effizienz gesteigert, sondern auch die Angriffsfläche für Cyberbedrohungen erheblich erweitert. Besonders betroffen sind kleine und mittelständische Unternehmen (KMU), große Industrieunternehmen und sogar kritische Infrastrukturen. Zusätzlich ist die digitale Lieferkette oft schwer nachvollziehbar. Viele Unternehmen nutzen Produkte, deren Cybersecurity-Maßnahmen sie kaum beeinflussen können. Diese Fragmentierung und fehlende Dokumentation haben zu unzureichenden Sicherheitsstandards geführt – ein Umstand, den das CRA systematisch adressiert.
Was regelt der Cyber Resilience Act?
Der CRA schafft einheitliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen, darunter Hardware, Software und eingebettete Systeme. Die Verordnung umfasst fünf zentrale Anforderungen:
- Security by Design: Cybersicherheit muss von Anfang an in die Entwicklung und Gestaltung eines Produkts integriert sein.
- Risikobewertung und Dokumentation: Hersteller müssen Sicherheitsrisiken bewerten und entsprechende Maßnahmen dokumentieren.
- Lieferketten-Sicherheit: Die gesamte digitale Lieferkette – auch von Drittanbietern – muss auf Cybersicherheitsstandards geprüft werden.
- Pflicht zu Sicherheitsupdates: Hersteller sind verpflichtet, Sicherheitsupdates bereitzustellen, um neue Bedrohungen zu adressieren.
- Sicherer Umgang mit Daten: Produkte müssen den Schutz von Daten hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit gewährleisten.
Welche Produkte fallen unter den CRA?
CRA umfasst eine breite Definition von „Produkten mit digitalen Elementen“, darunter alle Hardware- und Softwareprodukte, die Datenverarbeitung auf Distanz unterstützen, wie etwa IoT-Geräte, industrielle Kontrollsysteme oder Softwareanwendungen. Zusätzlich werden Produkte basierend auf ihrem Risiko in Klassen eingeteilt:
- Wichtige Produkte mit digitalen Elementen: Z. B. Router, Smart-Home-Produkte oder Überwachungssysteme.
- Kritische Produkte: Z. B. Firewalls, sichere Prozessoren oder Smart-Meter-Gateways.
Für diese Kategorien gelten abgestufte Anforderungen, je nach möglichem Risiko für Verbraucher oder kritische Infrastrukturen.
Was bedeutet der CRA für Hersteller und Open-Source-Projekte?
Der CRA führt zwei wichtige Rollen ein:
- Hersteller: Unternehmen, die Produkte mit digitalen Elementen auf den Markt bringen, tragen die volle Verantwortung für deren Cybersicherheit. Dies umfasst Design, Entwicklung, Sicherheitsupdates und die Offenlegung von Schwachstellen.
- Open-Source-Software-Stewards: Organisationen, die Open-Source-Projekte langfristig betreuen, sind weniger stark reguliert. Sie müssen jedoch Sicherheitsrichtlinien bereitstellen und auf gemeldete Schwachstellen reagieren.
Diese Unterscheidung ist zentral, da Hersteller und Open-Source-Communities stärker zusammenarbeiten müssen, um die Cybersicherheitsanforderungen des CRA zu erfüllen.
Welche Sanktionen drohen bei Nichteinhaltung?
Der CRA sieht empfindliche Strafen bei Nichteinhaltung vor, darunter:
- Geldbußen von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes,
- Rückruf oder Verbot der Vermarktung nicht konformer Produkte,
- Verstärkte Marktüberwachung durch EU-Behörden.
Diese Maßnahmen unterstreichen die Ernsthaftigkeit, mit der die EU die Cybersicherheitsanforderungen durchsetzen will. Der Cyber Resilience Act ist daher eine Antwort auf die wachsenden Bedrohungen der digitalen Welt und ein entscheidender Schritt zur Harmonisierung der Cybersicherheitsanforderungen in Europa. Es stärkt nicht nur die Sicherheit von Produkten, sondern auch das Vertrauen der Verbraucher und Unternehmen in die digitale Infrastruktur. Hersteller und Open-Source-Projekte sollten sich frühzeitig auf die Anforderungen des CRA vorbereiten, um langfristig wettbewerbsfähig zu bleiben.