Aufgrund der zunehmenden Digitalisierung sind Technologien in unserem täglichen Leben allgegenwärtig und bringen neue Risiken mit sich, wie die drastische Zunahme der Auswirkungen von Cyberangriffen auf digitale Produkte in den letzten Jahren deutlich machen. So werden etwa Verbraucher Opfer von Sicherheitslücken digitaler Produkte wie Babyphones, Staubsaugerrobotern, Wi-Fi-Routern oder Alarmanlagen. Für Hersteller und Dienstleister ist es aus diesem Grund von zentraler Bedeutung, dass digitale Produkte bereits in der Lieferkette sicher sind.

Auf Grundlage eines Vorschlags der Kommission, arbeitet die EU derzeit an der Fertigstellung eines neuen Gesetzes zur Cybersicherheit – dem Cyber Resilience Act (CRA) – das Hersteller und Dienstleister verpflichten soll, über die gesamte Lebensdauer eines Produktes Sicherheitsupdates zur Verfügung zu stellen.

 

Das Wichtigste in Kürze

  • Ziel des Cyber Resilience Act ist es, die Sicherheit von Software- und Hardware-Updates zu erhöhen und die Minderung von Cyberrisiken in Netzwerken von Technologieunternehmen zu verbessern.
  • Die neuen Regelungen betreffen alle Unternehmen, die Produkte mit digitalen Elementen herstellen.
  • Falls die vorgeschlagene Verordnung in Kraft tritt, würden Produkte und Software, die eine Verbindung zum Internet haben, mit einer CE-Kennzeichnung versehen werden können, wenn sie den neuen Standards entsprechen.

 

Hintergrund

Die vorgeschlagene Verordnung zielt darauf ab, zwei Hauptprobleme anzugehen: Erstens das generell niedrige Niveau der Cybersicherheit, das sich besonders in der unzureichenden Bereitstellung von Sicherheitsupdates zeigt, und zweitens den begrenzten Informationszugang und das unzureichende Verständnis der Nutzer, wie Produkte mit angemessenen Cybersicherheitseigenschaften sicher genutzt werden können.

Im September 2022 veröffentlichte die Europäische Kommission einen ersten Entwurf für den geplanten Cyber Resilience Act, um einen einheitlichen Rechtsrahmen für Cybersicherheitsanforderungen an Produkte mit digitalen Elementen zu schaffen. Der aktuell bestehende EU-Rechtsrahmen berücksichtigt nur unzureichend die Cybersicherheit von nicht eingebetteter Software, obwohl Cybersicherheitsangriffe zunehmend auf solche Schwachstellen abzielen und erhebliche gesellschaftliche und wirtschaftliche Kosten verursachen. Am 19. Juli 2023 veröffentlichte der Rat der EU seinen gemeinsamen Standpunkt zum Entwurf des Cyber Resilience Act. Am 20. Juli 2023 gab das EU-Parlament bekannt, dass der Ausschuss für Industrie, Forschung und Energie (ITRE) den Entwurf mit Stimmenmehrheit angenommen und den Weg für Verhandlungen mit dem Rat frei gemacht hat.

Der Anwendungsbereich des vorgeschlagenen Cyber Resilience Act (CRA) erstreckt sich auf „Produkte mit digitalen Elementen“, die eine Datenverbindung zu anderen Geräten oder Netzwerken haben. Dies umfasst Software- und Hardwareprodukte sowie zugehörige Cloud-Datenverarbeitungslösungen, einschließlich separater Software- oder Hardwarekomponenten.

Von den Regelungen betroffen sind alle Unternehmen, die Produkte mit digitalen Elementen herstellen.

Die neuen Anforderungen des CRA sollen sicherstellen, dass im digitalen Kern der Geräte eine Sicherheitsarchitektur erschaffen wird, die von Beginn an alle relevanten Bedrohungsszenarien und Schwachstellen berücksichtigt. Dieser Ansatz nennt sich Secure-by-Design.

 

Inhaltliche Regelungen des Gesetzesentwurfs

Der Cyber Resilience Act beinhaltet eine Reihe wesentlicher inhaltlicher Regelungen, die darauf abzielen, die Cybersicherheit von Produkten mit digitalen Elementen zu stärken und den Verbraucherschutz zu verbessern. Eine zentrale Forderung des Entwurfs ist die Einbeziehung der Cybersicherheit in sämtlichen Phasen des Produktlebenszyklus, einschließlich der Liefer- und Wartungsphase. Hierzu wird eine Dokumentationspflicht etabliert, die sicherstellen soll, dass die Sicherheitsaspekte kontinuierlich berücksichtigt werden.

Ein weiteres Element ist die Meldepflicht für Schwachstellen und Sicherheitsvorfälle. Unternehmen müssen verpflichtend alle identifizierten Schwachstellen und Sicherheitsvorfälle melden, um eine umfassende Überwachung und Beseitigung dieser Bedrohungen während der erwarteten Produktlebensdauer zu gewährleisten. Diese Zeitspanne erstreckt sich maximal über fünf Jahre.

Die Gesetzesvorschriften sehen auch eine klare Verpflichtung zur Bereitstellung verständlicher Gebrauchsanweisungen für Produkte mit digitalen Inhalten vor, um Nutzern eine sichere Handhabung zu ermöglichen. Des Weiteren sind Hersteller dazu verpflichtet, für mindestens fünf Jahre Sicherheitsupdates zur Verfügung zu stellen, um die langfristige Sicherheit der Produkte zu gewährleisten.

Die Regelungen umfassen außerdem Mechanismen für die Marktüberwachung und die Durchsetzung der genannten Vorschriften. Dies soll sicherstellen, dass die eingeführten Maßnahmen effektiv umgesetzt werden.

Trotz der positiven Absicht, die Cybersicherheit zu stärken und den Verbraucherschutz zu verbessern, könnten die umfassenden Verpflichtungen auch negative Auswirkungen haben. Sie könnten den Marktzugang für Unternehmen erschweren und die internationale Wettbewerbsfähigkeit beeinträchtigen. Fraglich ist auch, ob die Beteiligung aller Akteure in der Produktkette tatsächlich zu einem höheren Cybersicherheitsstandard führen wird.

Im Hinblick auf Verstöße gegen die Anforderungen des Cyber Resilience Act sieht der Gesetzesentwurf Sanktionen vor. Diese können von den Mitgliedsstaaten festgelegt werden und umfassen Geldbußen von bis zu 15 Millionen Euro oder bis zu 2,5 Prozent des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahrs.
In Deutschland könnte die Verantwortung für die Umsetzung dieser Vorschriften dem Bundesamt für Sicherheit in der Informationstechnik (BSI) übertragen werden.

Die vorgeschlagene Umsetzung der Regelungen sieht grundsätzlich einen Geltungsbeginn von 24 Monaten nach Inkrafttreten vor, wobei bestimmte Aspekte wie die Meldepflicht bei Sicherheitsvorfällen bereits nach 12 Monaten Anwendung finden sollen.

 

Anforderungen an den Produktlebenszyklus

Die Vision des EU Cyber Resilience Act erstreckt sich von den frühesten Produktkonzepten bis zur endgültigen Freigabe eines Produkts für Vor- oder Serienentwicklung. Die Europäische Kommission betont die Notwendigkeit, die Anforderungen dieses Gesetzes bereits in den Phasen des Designs, der Entwicklung, der Produktion sowie beim Inverkehrbringen und während der Nutzung von Produkten mit digitalen Elementen zu berücksichtigen, um eine angemessene Cybersicherheit zu gewährleisten.

Im Rahmen des CRA werden je nach Kritikalität unterschiedliche Kategorien von Produkten mit digitalen Elementen identifiziert. Diese Unterscheidung umfasst nicht-kritische Produkte wie Festplatten und PC-Spiele, kritische Produkte der Klasse I wie Browser und Passwort-Manager sowie kritische Produkte der Klasse II wie Firewalls, Router und Chipkarten.

Die Umsetzung der Cybersicherheit soll dabei praktisch während des gesamten Lebenszyklus von Produkten mit digitalen Elementen, einschließlich der Liefer- und Wartungsphase, erfolgen. In diesem Zusammenhang besteht eine klare Dokumentationspflicht, um sicherzustellen, dass risikoangemessene Cybersecurity-Maßnahmen in allen Phasen angewendet werden und diese Maßnahmen nachvollziehbar dokumentiert werden.

Ein weiterer wichtiger Aspekt des CRA ist die Einführung einer Meldepflicht für aktiv ausgenutzte Schwachstellen und Sicherheitsvorfälle. Hersteller und Betreiber von Produkten mit digitalen Elementen sind dazu verpflichtet, solche Vorfälle zu melden, um eine umfassende Überwachung und schnelle Reaktion auf aktuelle Bedrohungen zu gewährleisten.

Der EU-Cyber Resilience Act repräsentiert somit eine ganzheitliche Herangehensweise an die Gewährleistung der Cybersicherheit während der gesamten Lebensdauer von Produkten mit digitalen Elementen. Von den Anfangsphasen der Produktentwicklung bis hin zur Nutzung durch den Endnutzer werden risikoangemessene Maßnahmen ergriffen, um die Sicherheit dieser Produkte zu gewährleisten und gleichzeitig einen verantwortungsbewussten Umgang mit Schwachstellen und Sicherheitsvorfällen zu fördern.

 

 

Ausblick

Die geplante Verordnung, die voraussichtlich im Jahr 2024 in Kraft treten wird, hat weitreichende Auswirkungen auf alle Produkte, die sich derzeit in einer frühen Konzeptphase befinden oder bereits in der Entwicklung sind. Die Einführung des Cyber Resilience Act wird dazu führen, dass zeitnah Produkte auf den Markt kommen, die anhand der neuen CRA-Anforderungen überprüft wurden.

Die Hersteller solcher Produkte haben die Möglichkeit, insbesondere zu Beginn, einen erheblichen Wettbewerbsvorteil zu erlangen, indem sie frühzeitig und konsequent die CRA-konforme Entwicklung umsetzen.

Des Weiteren wird die Durchsetzung der neuen Regulierungen durch nationale Marktüberwachungsbehörden verstärkt. Diese Behörden erhalten die Befugnis, nicht-konforme Produkte vom Markt zu entfernen. Dies unterstreicht die Ernsthaftigkeit der Umsetzung des CRA und verdeutlicht die Notwendigkeit für Hersteller, die Cybersicherheit ihrer Produkte zu gewährleisten, um sowohl den gesetzlichen Anforderungen zu entsprechen als auch den Vertrauensverlust der Verbraucher zu vermeiden.

Die Einführung des Cyber Resilience Act könnte somit eine entscheidende Wendung in der Art und Weise, wie Produkte mit digitalen Elementen entwickelt, hergestellt und vermarktet werden, darstellen. Unternehmen, die frühzeitig auf die neuen Anforderungen reagieren und ihre Produkte an die Cybersicherheitsstandards anpassen, können von einem Wettbewerbsvorteil profitieren und gleichzeitig das Vertrauen der Verbraucher stärken. Ob die Pläne der EU vollständig aufgehen werden, bleibt jedoch abzuwarten.

 

„>

Kontakt aufnehmen