Startseite » Blog DE » Cyber Resilience Act: Einfach erklärt ✅

Cyber Resilience Act: Einfach erklärt ✅

September 25, 2024 / Avatar-FotoVon

Der Cyber Resilience Act ist ein EU-weiter Rechtsakt, der verbindliche Cybersicherheitsanforderungen für Produkte mit Hardware und Software einführen soll. Die EU-Kommission bezeichnet diese auch als „Produkte mit digitalen Elementen“. Produkte mit digitalen Elementen sind definiert als „jedes Software- oder Hardware-Produkt und seine Remote-Computing-Lösung, einschließlich Software- oder Hardware-Komponenten, die separat in Verkehr gebracht werden“. Zusammengefasst bedeutet dies, dass IoT-Geräte und zugehörige Software- und Hardwareprodukte betroffen sind. Für diese Produkte sollen Cybersicherheitsanforderungen sicherstellen, dass diese Produkte während ihres gesamten Lebenszyklus gesichert sind.

Bis 2021 hat die Cyberkriminalität einen finanziellen Schaden von rund 5,5 Billionen Euro verursacht. Es gibt viele Produkte auf dem Markt, die nicht sicher sind, und die Verbraucher sind sich dessen nicht bewusst. Mit der Verordnung will die EU vor allem die Voraussetzungen für die Entwicklung sicherer Produkte mit weniger Schwachstellen und der Möglichkeit des Schwachstellenmanagements während ihres gesamten Lebenszyklus schaffen und die Voraussetzungen dafür schaffen, dass die Nutzer bei der Auswahl und Nutzung von Produkten die Cybersicherheit berücksichtigen.

Connected World Image

Wann tritt der Cyber Resilience Act in Kraft?

Das Cyber Resilience Gesetz tritt Ende 2024 in Kraft. Die betroffenen Unternehmen haben dann bis Anfang 2027 Zeit, sich darauf vorzubereiten.

Wer ist vom Gesetz über die Cyber-Resilienz betroffen?

Highway to 2027

Der Cyber Resilience Act (CRA) betrifft alle Hersteller, Importeure und Vertreiber von Produkten mit digitalen Elementen innerhalb der EU sowie diejenigen, die solche Produkte in Verkehr bringen. Die Verordnung erlegt den EU-Mitgliedsstaaten auch Verpflichtungen hinsichtlich der Marktüberwachung und Durchsetzung auf. Die Nichteinhaltung kann zu Geldstrafen von bis zu 14 Millionen Euro oder 2,5 % des Jahresumsatzes des Unternehmens führen, je nachdem, welcher Betrag höher ist.

Alle Hersteller, Importeure und Händler in der EU, die mit Produkten handeln, die direkt oder indirekt mit anderen Geräten oder Netzen kommunizieren können, müssen die CRA einhalten. Dazu gehört eine breite Palette von Produkten des täglichen Lebens, wie z. B. Smart-Home-Geräte, Fitness-Tracker, vernetzte Fahrzeuge, Digitalöfen und Bewegungssensoren. Lösungen, die als Software-as-a-Service (SaaS) angeboten werden, sind ebenfalls betroffen, wenn sie als Ferndatenverarbeitungslösungen gelten.

Die CRA nimmt in erster Linie Hersteller, Importeure und Verkäufer digitaler Produkte in die Pflicht und legt mehrere wichtige Anforderungen fest, deren Nichteinhaltung zu erheblichen Strafen führen kann:

  • Cybersicherheitsstandards: Die Produkte müssen nach strengen Cybersicherheitsstandards entworfen, entwickelt und hergestellt werden.
  • Meldung von Vorfällen: Cyberangriffe müssen direkt an die EU-Agentur für Cybersicherheit, ENISA, gemeldet werden.
  • Produktüberwachung: Die Hersteller müssen sicherstellen, dass ihre Produkte während ihres gesamten Lebenszyklus überwacht werden.
  • Sicherheits-Updates: Die Hersteller sind verpflichtet, mindestens fünf Jahre lang bzw. für die Dauer des Supportzeitraums des Produkts kostenlose Sicherheitsupdates bereitzustellen.

Die CRA gilt für alle Produkte mit digitalen Komponenten, einschließlich Betriebssystemen, Software und Hardware. Sie gilt auch für Unternehmen, die diese Produkte auf dem Markt verkaufen oder importieren, und betrifft aufgrund des hohen Digitalisierungsgrads moderner Produkte und Leistungen eine Vielzahl von Branchen.

Zu den wichtigsten Aufgaben der CRA gehören:

  • Risikomanagement: Während der gesamten Entwicklung und des Lebenszyklus des Produkts müssen kontinuierlich Risikobewertungen durchgeführt werden, um potenzielle Cybersicherheitsrisiken anzugehen.
  • Schwachstellenmanagement: Unternehmen müssen sicherstellen, dass ihre Produkte durch etablierte Schwachstellenmanagementprozesse gegen bekannte Schwachstellen geschützt sind.
  • Sicherheits-Updates: Unternehmen sind verpflichtet, nach der Veröffentlichung eines Produkts rechtzeitig Sicherheitsupdates bereitzustellen, um sich gegen neue Bedrohungen zu schützen.
  • Einhaltung der Vorschriften: Je nach Risikoeinstufung des Produkts kann die Einhaltung der Vorschriften die Erfüllung standardisierter Anforderungen (z. B. IEC 62443) oder die Einbeziehung externer Prüfer erfordern.

Einteilung der betroffenen Produkte in zwei Kategorien

Die CRA unterscheidet zwischen zwei Produktkategorien und gibt Beispiele dafür, welche Produkte betroffen sind. Laut der CRA lautet die Bezeichnung „Kritische Produkte mit digitalen Elementen“. Es gibt eine Klasse I und eine Klasse II, wobei Produkte der Klasse II als kritischer angesehen werden als Produkte der Klasse I. Die Nichtaufnahme eines Produkts in die Liste bedeutet jedoch nicht, dass das Produkt ausgeschlossen ist. Denn wie im obigen Kapitel beschrieben, sind alle Produkte, die mit anderen Produkten oder Netzen kommunizieren, betroffen.

Beispiele für die Kategorie der Klasse I

  • Software für Identitätsmanagementsysteme und Software für die Verwaltung von privilegiertem Zugang
  • Eigenständige und eingebettete Browser
  • Passwort-Manager
  • Software, die nach bösartiger Software sucht, sie entfernt oder unter Quarantäne stellt
  • Produkte mit digitalen Elementen mit der Funktion eines virtuellen privaten Netzwerks (VPN)
  • Mikrocontroller
  • Mikroprozessoren
  • IACS, PLC, DCS, CNC und SCADA.

Beispiele für die Kategorie der Klasse II

  • Betriebssysteme für Server, Desktops und mobile Geräte
  • Hypervisoren und Container-Laufzeitsysteme, die die virtualisierte Ausführung von Betriebssystemen und ähnlichen Umgebungen unterstützen
  • Infrastruktur für öffentliche Schlüssel und Aussteller von digitalen Zertifikaten
  • Sogenannte „sichere Elemente“
  • Sensor- und Steuerungskomponenten für Roboter und Robotersteuerungen
  • Router
  • HSMs

EU-weite Konsequenzen

    • Der Vertrieb von Billigprodukten aus China wird vor größeren Herausforderungen stehen, und der Zugang zum Markt der Europäischen Union wird zunehmend schwieriger werden.
    • Unternehmen der Hard- und Softwarebranche müssen ihre Prozesse ausweiten und können dabei auf erhebliche Hindernisse stoßen.
    • Auch wenn verstärkte Sicherheitsmaßnahmen es Angreifern erschweren, Schwachstellen auszunutzen, können sie immer noch Schwachstellen aufdecken, wenn sie sich nur genug Mühe geben. Die Unternehmen müssen sicherstellen, dass ihre Produkte aktualisierbar bleiben, was eine große Herausforderung darstellt, da die meisten nur selten aktualisiert werden.
    • Die Kosten für Cybersicherheitsmaßnahmen werden wahrscheinlich steigen, und die Nichteinhaltung der neuen Anforderungen kann zu Strafen von bis zu 15 Millionen Euro oder 2,5 % des Jahresumsatzes führen. Es gibt zwar Selbstbewertungsprotokolle, um die Nichteinhaltung der Vorschriften zu verhindern, aber es gibt keine Garantie dafür, dass sich diese Maßnahmen als wirksam erweisen werden.
    • Neugründungen und kleine bis mittelgroße Unternehmen könnten angesichts der genannten Herausforderungen größere Schwierigkeiten haben, auf dem Markt Fuß zu fassen oder erfolgreich zu sein.

    Anforderungen für die Einhaltung

    ENISA hat ein Anforderungsdokument mit dem Titel „Cyber Resilience Act Requirements Standards Mapping – Joint Research Centre & ENISA Joint Analysis“ veröffentlicht, um die Anforderungen der CRA zu erfüllen.

    Das Verfahren ist ähnlich wie bei ISO 27001, aber der Fokus ist anders. Während sich ISO 27001 mehr auf die Risiken auf hoher Ebene konzentriert, verlangt die CRA, dass der Schwerpunkt auf die Produktentwicklung gelegt wird. Das macht einen großen Unterschied. Aus Erfahrung kann ich sagen, dass der Sicherheitsprozess in bestehende Prozesse integriert werden muss, um das bestmögliche Ergebnis und Zusammenspiel zu erreichen. Es ist auch sehr wichtig, die Mitarbeiter in diesen Prozess einzubeziehen. Andernfalls werden die Mitarbeiter ihn ablehnen und es wird lange dauern, bis der Prozess akzeptiert wird. Die Unzufriedenheit wird groß sein, was Ihr Unternehmen viel Geld kosten kann. Wichtig ist auch, dass der entsprechende Prozess effizient und einfach in der Produktentwicklung umzusetzen ist.

    Multiple fingers that point to the middle, which shows a connected Europe.

    Beispiel Prozess

    Wir arbeiten derzeit an einem Beispielprozess, den wir Ihnen zur Verfügung stellen wollen. Es soll Ihnen als Leitfaden dienen, um eine Vorstellung davon zu bekommen, wie Ihr Prozess aussehen könnte. Dies wird jedoch einige Zeit in Anspruch nehmen.

    Related Posts

    Nach oben scrollen
    WordPress Cookie Plugin von Real Cookie Banner