Cyber Resilience Act: Vorschlag der EU-Kommission veröffentlicht

Stefan Hessel

Neue Anforderungen für Hersteller von Produkten mit digitalen Elementen

Mit der zunehmenden Digitalisierung und der Vernetzung von Produkten steigen gleichermaßen auch die Bedrohungen aus dem digitalen Raum: So stellte EU-Kommissionspräsidentin von der Leyen bereits im vergangenen Jahr anlässlich der Rede zur Lage der Union fest, dass wenn alles vernetzt sei, auch alles gehackt werden könne. Um die EU in Bezug auf Cyberangriffe resilienter zu machen, hatte die EU-Kommission im vergangenen Jahr einen "Cyber Resilience Act" (CRA) angekündigt und heute einen entsprechenden Vorschlag veröffentlicht.

Adressatenkreis und Verpflichtungen

Nach der Vorstellung der EU-Kommission soll die neue Verordnung Hersteller von Produkten mit digitalen Elementen in die Pflicht nehmen und für diese verbindliche Vorgaben zur Cybersicherheit schaffen. Neben Hardwareprodukten, wie z.B. Sensoren und Kameras, Smartcards, mobile Geräte oder Netzwerkgeräte wie Router und Switches, sollen insbesondere auch Softwareprodukte und zugehörige Dienste erfasst werden. Bestimmte Produkte, wie Medizinprodukte, die unter sektorspezifische Rechtsvorschriften fallen, sind jedoch von den Vorgaben des CRA ausgenommen werden. Für Funkanlagen ist eine Zusammenführung mit der Anfang des Jahres verabschiedeten delegierten Verordnung zur Funkanlagenrichtlinie (RED) geplant.

Hersteller von Produkten, die in den Anwendungsbereich des CRA fallen, müssen dem Vorschlag zufolge künftig unter anderem die folgenden Vorgaben beachten:

  1. Die Produkte müssen bereits vor Markteinführung grundlegende Anforderungen an die Cybersicherheit in Bezug auf Design, Entwicklung und Fertigungsprozesse erfüllen.
  2. Hersteller müssen die digitalen Produkte während des gesamten Lebenszyklus überwachen und etwaige Schwachstellen durch automatische und kostenlose Updates beheben.
  3. Im Falle eines Vorfalls, der sich auf die Sicherheit der Hardware und/oder Software des Produkts auswirken kann, sind die Hersteller zur Meldung an die EU-Cybersicherheitsbehörde ENISA verpflichtet.

Besondere Anforderungen für "kritische Produkte"

Hersteller von aus Sicht der EU-Kommission "kritischen Produkten" müssen darüber hinaus ein besonderes Konformitätsverfahren durchlaufen. Hierzu teilt der Vorschlag des CRA bestimmte Produkte in zwei Klassen ein:

  • Zu Klasse 1 zählen dabei unter anderem Identitätsmanagementsysteme, Browser, Passwortmanager, Antiviren-Programme, Firewalls, virtuelle private Netzwerke (VPNs), umfassende IT-Systeme, physische Netzwerkschnittstellen sowie Router und Chips, die in essenziellen Einrichtungen im Sinne der Richtlinie zur Netz- und Informationssicherheit 2 ("NIS-2-Richtlinie") verwendet werden.
  • Zur höheren Klasse 2 zählen insbesondere Desktop- und Mobilgeräte, virtualisierte Betriebssysteme, Aussteller digitaler Zertifikate, Allzweck-Mikroprozessoren, Kartenlesegeräte, Robotersensoren, intelligente Zähler und alle IoT-Geräte, sowie Router und Firewalls für den industriellen Einsatz, der als "sensible Umgebung" gilt.

Für Produkte der Klasse 2 soll nach dem Vorschlag der EU-Kommission zudem eine Bewertung durch Dritte erforderlich sein.

Marktüberwachungsstellen und Sanktionen

Um eine Überprüfung der Einhaltung der Vorgaben des CRA zu gewährleisten, werden die Mitgliedstaaten zur Einrichtung von Marktüberwachungsstellen verpflichtet, welche auch EU-weite koordinierte Kontrollmaßnahmen durchführen können sollen. Im Falle eines Verstoßes drohen dann unter anderem der Rückruf der entsprechenden Produkte sowie Bußgelder in Höhe von bis zu 15 Mio. Euro bzw. 2,5 Prozent des Jahresumsatzes, je nachdem welcher Wert höher ist.

Voraussichtlicher Zeitplan

Im Anschluss an den heute veröffentlichten Vorschlag der EU-Kommission werden sich nunmehr der Europäische Rat sowie das Europäische Parlament mit dem Gesetzesvorhaben befassen. Der Vorschlag der Kommission sieht eine Geltung der neuen Vorgaben 24 Monate nach Inkrafttreten der Verordnung vor, wobei jedoch einzelne Elemente, wie z.B. die Meldepflicht bei Sicherheitsvorfällen, bereits nach 12 Monaten gelten sollen.

Praktische Auswirkungen

Der CRA soll für alle digitalen Produkte auf dem europäischen Binnenmarkt gelten. Um nicht den Anschluss zu verlieren und von den knappen Umsetzungsfristen überrumpelt zu werden, sollten Hersteller bereits jetzt prüfen, welche Produktanforderungen an Cybersicherheit sie zukünftig einhalten müssen. Insbesondere für Produkte, die bisher nicht zu Sicherheitsaktualisierungen aus der Ferne (OTA-Updates) in der Lage sind, sollte technisch ein entsprechender Kanal geschaffen werden. Updatability wird auch im Hinblick auf mögliche Produktwarnungen wichtiger als jemals zuvor.

Darüber hinaus ist bemerkenswert, dass die EU-Kommission sich vom Konzept der freiwilligen Selbstverpflichtung der Hersteller verabschiedet hat. Die Zertifizierung nach dem Cyber Security Act dürfte daher ebenso an Bedeutung verlieren, wie das freiwillige IT-Sicherheitskennzeichen des BSI. Unabhängig von der konkreten Ausgestaltung des CRA stellt sich außerdem die Frage der Durchsetzung. Dass strenge gesetzliche Vorgaben ohne aufsichtsbehördliche Kontrolle eher ein Papiertiger sind, zeigt die DSGVO. Während auf der einen Seite hohe Bußgelder vorgesehen sind, bemängeln die Datenschutzaufsichtsbehörden europaweit, dass sie zur Rechtsdurchsetzung weder finanziell noch personell ausreichend ausgestattet sind.

[September 2022]