Der Cyber Resilience Act betrifft Produkte mit digitalen Elementen – also Produkte, die eine Verbindung mit anderen Geräten oder Netzwerken herstellen können. Dies beinhaltet sowohl Software als auch Hardware. Der entscheidende Indikator für die Anwendbarkeit des CRA liegt in der grundsätzlichen Fähigkeit eines Produkts zur Kommunikation mit anderen Produkten oder Komponenten.
Die konkreten Verpflichtungen für Unternehmen sind abhängig von der Einstufung der Produkte, die sich aus Anhang III und IV des CRA ergeben. Der Gesetzgeber unterscheidet die Produkte mit aufsteigendem Sicherheitsrisiko in die folgenden vier Kategorien. Grundlegende Cyber-Security-Anforderungen (definiert für Default-Produkte) müssen von allen Herstellern von Produkten mit digitalen Elementen erfüllt werden.
Alle Produkte mit digitalen Elementen, die nicht in den Anhängen III und IV des CRA aufgeführt sind, wie z.B. viele Smart-Home-Systeme oder Industrial-IoT-Sensoren. Diese erfordert eine interne Konformitätsprüfung, die belegt, dass die Cybersicherheitsanforderungen aus dem CRA erfüllt werden.
Produkte dieser Kategorie wie z. B. Mikroprozessoren oder Antivirensoftware erfüllen üblicherweise eine der folgenden Bedingungen:Â
Zum Nachweis der CRA-Konformität ist die Anwendung eines harmonisierten Standards oder alternativ eine externe Prüfung durch eine Prüfstelle gefordert.
Produkte wie Firewalls oder Hypervisors erfordern verpflichtend eine externe Konformitätsprüfung. Sie erfüllen üblicherweise zwei oder mehr der Bedingungen aus Klasse 1, da diese Produkte bei einem Sicherheitsvorfall ein höheres Risiko darstellen können.
Diese Produkte sind Teil des Anhangs IV und werden in kritischen Infrastrukturen eingesetzt, wie z. B. Smart-Meter-Gateways oder Smart Cards. Hier ist die Anwendung eines Zertifizierungssystems als Konformitätsnachweis erforderlich
Unternehmen, deren Produkte in eine der o.g. Kategorien eingeordnet werden, müssen zukünftig sicherstellen, dass ein hohes Niveau an Cybersicherheit entlang des gesamten Produktlebenszyklus gewährleistet ist, wie in Anhang I des CRAs ausgeführt.
Auch kleinere Unternehmen, die Produkte mit digitalen Elementen herstellen, müssen sicherstellen, dass ihre Produkte die CRA-Anforderungen erfüllen. Besonders bei limitierten Ressourcen ist es wichtig, frühzeitig auf standardisierte Konformitätsprüfungen und Security-by-Design zu setzen. KMUs sollten zudem prüfen, ob sie auf bestehende Zertifizierungen und Sicherheitslösungen zurückgreifen können. Da die EU die Herausforderungen für KMUs erkannt hat, werden diese gesondert betrachtet, bspw. erhalten sie zusätzliche Unterstützung und ausgewählte Anforderungen wurden für kleine Unternehmen angepasst.
Die CE-Kennzeichnung für Produkte mit digitalen Elementen ist zukünftig an die Erfüllung des Cyber Resilience Act gekoppelt. Hierbei ist entscheidend, den Security-Aspekt von Anfang an in den Entwicklungsprozess neuer Produkte mit einzubeziehen. Insbesondere Risiko Assessments und Security-by-Design sind hier elementare Bestandteile. Darüber hinaus muss das Produkt auch bei Auslieferung, Wartung und Entsorgung sicher sein, um den gesamten Produktlebenszyklus zu berücksichtigen.
Das hat zur Folge, dass potenzielle Risiken umfassend dokumentiert und regelmäßig überprüft werden müssen. Dies gilt auch für Schwachstellen eines Produktes. Angenommen, ein Hersteller entdeckt, dass eine Schwachstelle in der Software eines Smart-Home-Systems ausgenutzt wurde: Der Hersteller ist verpflichtet, die Schwachstelle innerhalb von 24 Stunden den zuständigen Behörden zu melden, damit weitere Schäden verhindert werden können. Zusätzlich müssen Kunden zeitnah über den Sicherheitsvorfall und verfügbare Patches informiert werden.
Die Hersteller tragen somit die Verantwortung, Sicherheitslücken über die gesamte Lebensdauer des Produktes zu identifizieren und zu beheben. Dies umfasst auch die Bereitstellung kostenloser Security-Updates.
Um diese Anforderungen erfüllen zu können, sollten innerhalb der eigenen Organisation rechtzeitig die erforderlichen Ressourcen und Prozesse geschaffen werden. Dabei sollten sowohl technische als auch prozessuale Maßnahmen berücksichtigt werden.
Unternehmen, die den CRA nicht einhalten, riskieren hohe Geldstrafen und können ihre Produkte möglicherweise nicht mehr auf dem europäischen Binnenmarkt anbieten. Im Falle von schweren Verstößen drohen Strafen von bis zu 15 Millionen Euro oder 2,5 % des globalen Jahresumsatzes – je nachdem, welcher Betrag höher ist. Dies unterstreicht die Bedeutung der frühzeitigen Umsetzung der Sicherheitsanforderungen.
Mit Inkrafttreten des Cyber Resilience Acts sowie erhöhter Kundenanfragen in Bezug auf Cybersicherheit sah sich ein internationaler Anlagenbauer mit zahlreichen Anforderungen an die Security seiner Produkte konfrontiert. Mit dem Auftrag einer ganzheitlichen Product-Security-Strategie wandte sich das Unternehmen an unser interdisziplinäres Product Security Team, um fortan ein hohes Niveau an Cybersicherheit entlang des gesamten Produktlebenszyklus zu gewährleisten.
Webcastaufzeichnungen, unser neuestes Whitepaper und Handlungempfehlungen – das gibt’s hier zum Download. Registrieren Sie sich einmalig für den Zugang zu all unseren CRA-Assets und sichern Sie sich alle relevanten Insights.
