Cyber Resilience Act (CRA)

Worum geht es?

Voraussichtlich Ende 2024 tritt der Cyber Resilience Act  (CRA) in Kraft, der ab 2027 Anwendung findet. Mit dem CRA wird die Cybersicherheit von Produkten, die miteinander oder mit dem Internet verbunden werden können, verbessert. Diese Produkte werden von Unternehmen hergestellt und an Endkunden vertrieben. Sie werden aber auch in Unternehmen für die Produktion eingesetzt sowie als Vorprodukte bezogen und weiter verbaut beziehungsweise veredelt und sind damit Bestandteil von Lieferketten.

Wer ist betroffen?                                                                         

Die neuen Regelungen betreffen alle Unternehmen, die Produkte mit digitalen Elementen herstellen. Darüber hinaus gibt es Verpflichtungen für Händler und Einführer. Größenbezogene Ausnahmen gibt es nicht.

Was sieht die Verordnung vor?

Der Cyber Resilience Act sieht vor, bei den genannten Produkten in den Phasen Design, Entwicklung und Produktion sowie während des Inverkehrbringens und während der Nutzung risikoangemessene Cybersecurity-Maßnahmen zu etablieren.

Dabei unterscheidet die Europäische Kommission je nach Kritikalität:

• nicht kritische Produkte mit digitalen Elementen (zum Beispiel Festplatten, PC-Spiele),
• kritische Produkte mit digitalen Elementen Klasse I (zum Beispiel Browser, Passwort-Manager) und Klasse II (zum Beispiel Firewalls für den industriellen Einsatz, Router, Chipkarten und Chipkartenleser),
• hochkritische Produkte mit digitalen Elementen (unter diese Kategorie fallen zunächst noch keine Produkte).

Nach Angaben der EU-Kommission sollen circa 90 Prozent der Erzeugnisse in die Gruppe der nicht kritischen Produkte fallen. Hersteller und Vertreiber von kritischen Produkten müssen strengere Anforderungen erfüllen, beispielsweise hinsichtlich der Konformitätsbewertung, die auf Basis harmonisierter EU-Standards erfolgen soll. Die Konformität wird am Produkt mit dem "CE-Kennzeichen" dokumentiert. Die Umsetzung wird von nationalen Marktüberwachungsbehörden überwacht.

Darüber hinaus sieht der CRA vor, dass Hersteller Sicherheitslücken über den gesamten Produktlebenszyklus schließen müssen, maximal jedoch über fünf Jahre. Nutzer müssen über behobene Schwachstellen und über Cybersicherheitsvorfälle informiert werden. Hersteller müssen darüber hinaus Cybersicherheitsvorfälle sowie jede aktiv ausgenutzte Schwachstelle innerhalb von 24 Stunden der europäischen Agentur für Cybersicherheit (ENISA) melden.

Ein Beispiel

Ein Industrieunternehmen verbaut Chips als Bestandteile seines Produkts. Das Unternehmen muss sich darauf verlassen können, dass diese sicher konzipiert sind und benötigt für eine gewisse Zeit Sicherheitsupdates vom Hersteller, um die Sicherheit entlang der Lieferkette zu gewährleisten.

Nach dem CRA müsste der Hersteller nachweisen, dass er bei Entwicklung und Produktion EU-harmonisierte Cybersicherheitsnormen eingehalten hat. Das wird über eine sogenannte Software-Stückliste dokumentiert. Er muss auch Schwachstellen dokumentieren, von denen er Kenntnis erlangt hat. Vor Inverkehrbringen des Chips muss er ein Konformitätsbewertungsverfahren durchführen, erst dann darf die CE-Kennzeichnung angebracht werden. Das Industrieunternehmen muss auch für seinen Teil der Lieferkette all dies tun. Beide Unternehmen müssen auch nach Inverkehrbringen von Chip und Industrieprodukt Updates bereitstellen sowie Melde- und Informationspflichten erfüllen.

Was ist für die Wirtschaft nun wichtig?

Die DIHK setzt sich im Interesse aller Unternehmen dafür ein, dass Anbieter und Hersteller von Produkten mit digitalen Elementen von vornherein auf "Security by Design" achten und über einen definierten Zeitraum eine sichere Nutzung durch Sicherheitsupdates gewährleistet ist. Insofern unterstützt die DIHK ausdrücklich die Intention des CRA.

Der CRA kann sein Potenzial aber nur entfalten, wenn er Vorgaben macht, die nicht nur dem beabsichtigten Zweck dienen, sondern zugleich auch angemessen und praktikabel sind. Unternehmen müssen ihre internen Maßnahmen auf CRA-Konformität überprüfen beziehungsweise Prozesse neu etablieren und einen Mechanismus zum Umgang mit Schwachstellen implementieren. Dafür müssen sie sich an europäischen Normen orientieren, die zum großen Teil erst erarbeitet werden müssen.

Unternehmen berichten auch sehr häufig, dass sie die dafür erforderlichen Fachkräfte nicht rekrutieren können. Dies trifft gleichermaßen auf den Aufbau von Organisationsstrukturen und Beschäftigten für die Marktüberwachung zu. Insofern wäre eine zeitliche Streckung der Übergangsfrist angezeigt, auch um die sowieso bereits bestehenden Fachkräfteengpässe nicht weiter zu verschärfen.