Der Cyber Resilience Act ist eine EU-weite Rechtsvorschrift, deren Ziel es ist, verbindliche Cybersicherheitsanforderungen für Hardware- und Software-haltige Produkte einzuführen. Die EU-Kommission bezeichnet diese auch als “Produkte mit digitalen Elementen”. Produkte mit digitalen Elementen sind definiert als “jedes Software- oder Hardware-Produkt und dessen Datenfernverarbeitungslösung, einschließlich Software- oder Hardware-Komponenten, die separat in Verkehr gebracht werden”. Zusammengefasst bedeutet dies, dass IoT-Geräte und damit verbundene Software- und Hardwareprodukte betroffen sind. Für diese Produkte sollen Cybersicherheitsanforderungen sicherstellen, dass diese Produkte während ihres gesamten Lebenszyklus gesichert sind. Software-as-a-Service beispielsweise ist derzeit nicht betroffen und liegt außerhalb des Geltungsbereichs der Verordnung, was sich aber im Laufe der Diskussionen ändern könnte.
Bis 2021 haben Cyberdelikte einen finanziellen Schaden von rund 5,5 Billionen Euro verursacht. Es gibt viele Produkte auf dem Markt, die nicht gesichert sind, und die Verbraucher sind sich dessen nicht bewusst. Mit der Verordnung will die EU vor allem die Voraussetzungen für die Entwicklung sicherer Produkte mit weniger Schwachstellen und der Möglichkeit des Schwachstellenmanagements während ihres gesamten Lebenszyklus schaffen und die Voraussetzungen dafür schaffen, dass die Nutzer bei der Auswahl und Nutzung von Produkten die Cybersicherheit berücksichtigen.
Kritische Produkte mit digitalen Elementen
Es ist auch wichtig, die kritischen Produktkategorien zu kennen, die als Klasse I und Klasse II bezeichnet werden, siehe https://ec.europa.eu/newsroom/dae/redirection/document/89544.
Beispiele für die Kategorie Klasse I:
- Software für Identitätsmanagementsysteme und Software für die Verwaltung des privilegierten Zugangs
- Eigenständige und eingebettete Browser
- Passwort-Manager
- Software, die nach bösartiger Software sucht, sie entfernt oder unter Quarantäne stellt
- Produkte mit digitalen Elementen mit der Funktion eines virtuellen privaten Netzwerks (VPN)
- Mikrocontroller
- Mikroprozessoren
- IACS, PLC, DCS, CNC and SCADA.
- …
Beispiele für die Kategorie Klasse II:
- Betriebssysteme für Server, Desktops und mobile Geräte
- Hypervisoren und Container-Laufzeitsysteme, die die virtualisierte Ausführung von Betriebssystemen und ähnlichen Umgebungen unterstützen
- Infrastruktur für öffentliche Schlüssel und Aussteller digitaler Zertifikate
- Sogenannte “Sichere Elemente”
- Sensor- und Steuerungskomponenten für Roboter und Robotersteuerungen
- Router
- HSMs
- …
Die meisten Software-as-a-Services sind nicht in den beiden Kategorien enthalten, aber einige könnten unter eines der aufgeführten kritischen Produkte fallen. Der tschechische Ratsvorsitz möchte SaaS ausdrücklich aus dem Anwendungsbereich der Verordnung ausnehmen, da diese unter die NIS2 fallen.
Zeitplan
Im ersten Halbjahr 2022 leitete die Kommission eine öffentliche Konsultation und eine Aufforderung zur Einreichung von Beweismitteln ein, die bis zum 25. Mai 2022 laufen wird. Im Anschluss daran wird bis zum 23. Januar 2023 eine Aufforderung zur Stellungnahme zu den vorgeschlagenen Rechtsvorschriften veröffentlicht. Am 2. Juni 2023 werden die EU-Minister zusammenkommen, um den Prozess zu erörtern.
Das Ziel der Ratspräsidentschaft für die kommenden sechs Monate ist es, die Verhandlungen zum Cyber Resilience Act im Rat so weit wie möglich voranzutreiben.
Gegenwärtig ist die Mehrheit der Unternehmen von dieser Angelegenheit noch nicht betroffen. Es besteht jedoch die Möglichkeit, dass sich dieser Umstand in den kommenden Jahren ändert.
Konsequenzen
Die Auswirkungen dieser Entwicklungen sind vielschichtig:
- Der Vertrieb von Billigprodukten aus China wird größeren Herausforderungen ausgesetzt sein, und der Zugang zum Markt der Europäischen Union wird zunehmend schwieriger.
- Die Unternehmen des Hard- und Softwaresektors werden ihre Prozesse ausweiten müssen und können dabei auf erhebliche Hindernisse stoßen.
- Auch wenn verstärkte Sicherheitsmaßnahmen es Angreifern erschweren, Schwachstellen auszunutzen, kann es ihnen dennoch gelingen, Schwachstellen aufzudecken, wenn sie sich genug Mühe geben. Die Unternehmen müssen sicherstellen, dass ihre Produkte aktualisierbar bleiben, was eine große Herausforderung darstellt, da die meisten kaum Aktualisierungen vornehmen.
- Die Kosten für die Cybersicherheitsmaßnahmen werden wahrscheinlich steigen, und die Nichteinhaltung der neuen Anforderungen kann zu Strafen von bis zu 15 Millionen Euro oder 2,5 % des Jahresumsatzes führen. Zwar gibt es Selbstbewertungsprotokolle, um die Nichteinhaltung von Vorschriften zu verhindern, aber es gibt keine Garantie dafür, dass sich diese Maßnahmen als wirksam erweisen werden.
- Neugründungen und kleine bis mittlere Unternehmen können angesichts der genannten Herausforderungen größere Schwierigkeiten haben, auf dem Markt Fuß zu fassen oder erfolgreich zu sein.
IT-Sicherheit Marktplatz
Wenn Sie professionelle Beratung oder Unterstützung bei IT-Sicherheitsmaßnahmen benötigen, laden wir Sie ein, unsere umfangreiche Palette von IT-Sicherheitsdienstleistungen auf unserem spezialisierten IT-Sicherheit Marktplatz zu erkunden. Auf diesem Marktplatz finden Sie eine Vielzahl von qualifizierten Dienstleistern, die auf Ihre individuellen Anforderungen zugeschnitten sind.
Unser oberstes Ziel ist es, den Kommunikations- und Vereinbarungsprozess so reibungslos wie möglich zu gestalten. Wir verstehen, dass die Sicherheit Ihres Unternehmens von größter Bedeutung ist. Deshalb haben wir dafür gesorgt, dass Sie einfach und effizient die passenden Lösungen finden können, um Ihr Unternehmen sicher zu halten.
Lassen Sie uns gemeinsam daran arbeiten, Ihre IT-Sicherheit zu stärken und die Risiken zu minimieren. Wir stehen Ihnen mit unserer Expertise und unserem Netzwerk von Fachleuten zur Seite, um sicherzustellen, dass Ihr Unternehmen optimal geschützt ist.
Zu unserem IT-Sicherheit Marktplatz gelangen Sie über folgenden Link: https://marketplace.cyberphinix.de
Weiterführende Themen
Wenn Sie Interesse an diesem Thema gefunden haben, könnten folgende Beiträge ebensfalls für Sie in Frage kommen:
- Effektive IT-Sicherheitsdienstleistungen: Die Rolle des Penetration Testing
- ISO/SAE 21434 (Cybersicherheit in der Automobilindustrie) – Teil 1
- Sicherheit in der Entwicklung: Ein Blick auf OWASP Top 10 in der IT-Sicherheit Branche
- Cybersicherheit kompakt: Ein rascher Überblick für verantwortungsvolle Geschäftsführer und Entscheidungsträger
Ressourcen
- https://dr2consultants.eu/european-cyber-resilience-act/#:~:text=On%2015%20September%202022%2C%20the,been%20taking%20action%20against%20cybercrime.
- https://digital-strategy.ec.europa.eu/en/news/new-eu-cybersecurity-rules-ensure-more-secure-hardware-and-software-products
- https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act
- https://www.advisoryexcellence.com/new-obligations-for-manufacturers-of-products-with-digital-elements/#:~:text=According%20to%20the%20proposed%20regulation,containing%20a%20digital%20element%20could
