Mit dem Cyber Resilience Act (CRA) werden die Anforderungen an die Cybersicherheit für zahlreiche Produkte deutlich verschärft. Ziel des CRA ist die Schaffung eines einheitlichen Sicherheitsstandards für Produkte mit digitalen Elementen auf dem Europäischen Markt. Die Verordnung soll ab dem Jahr 2027 unmittelbar in allen EU-Mitgliedstaaten gelten. In diesem Beitrag erläutern wir Ihnen, was der CRA für Unternehmen bedeutet, und geben Ihnen Tipps zur Umsetzung.
Für wen ist der CRA relevant?
Betroffen sind Hersteller, Einführer und Händler von Produkten mit digitalen Elementen. Der Begriff des Produkts mit digitalen Elementen ist weit zu verstehen und umfasst Software- oder Hardwareprodukte einschließlich deren Backendsysteme. Dazu gehören u.a.: Vernetzte Maschinen, IoT-Geräte, Apps, Wearables, Software und Computerspiele, Festplatten, Firewalls, Passwort-Manager, Mikroprozessoren mit sicherheitsrelevanten Funktionen, uvm. Nur einige wenige Produktarten sind vom CRA ausgenommen.
Worauf müssen sich Unternehmen vorbereiten?
Der CRA verpflichtet Hersteller von Produkten mit digitalen Elementen, bestimmte Anforderungen an die Cybersicherheit und das Schwachstellenmanagement zu erfüllen:
- Risikobewertung und ‑beherrschung: Hersteller müssen Produkte mit digitalen Elementen so konzipieren und entwickeln, dass während des gesamten Produktlebenszyklus ein angemessenes Cybersicherheitsniveau gewährleistet ist. Auf der Grundlage einer Bewertung der Cybersicherheitsrisiken müssen zahlreiche Maßnahmen ergriffen werden. Unter anderem dürfen die erfassten Produkte nur mit einer sicheren Standardkonfiguration und ohne bekannte ausnutzbare Schwachstellen auf den Markt gebracht werden.
- Schwachstellenmanagement und Produktüberwachung: Hersteller von Produkten mit digitalen Elementen müssen außerdem weitreichende Anforderungen an die Behandlung von Schwachstellen erfüllen. Ausgehend von einer fortlaufenden Überwachung der Produkte müssen Hersteller bekannt gewordene Schwachstellen durch kostenlose Sicherheitsupdates beseitigen.
- Meldepflichten und Dokumentation: Aktiv ausgenutzte Schwachstellen sind der Aufsichtsbehörde zu melden. Die Risikobewertung sowie alle getroffenen Abhilfemaßnahmen müssen sorgfältig dokumentiert werden.
- Cybersicherheit in der Lieferkette: Die Cybersicherheit muss auch in der Lieferkette gewährleistet werden. Zur Einhaltung des CRA sind in der Regel umfangreiche Anpassungen an Verträge mit Zulieferern und Dienstleistern erforderlich.
Für Einführer und Händler gelten abgestufte Pflichten.
Was droht bei Verstößen?
Die Marktüberwachungsbehörden verfügen über weitreichende Untersuchungs‑, Abhilfe- und Sanktionsbefugnisse. Bei Verstößen gegen den CRA drohen unter anderem Produktwarnungen und Bußgelder bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes.
Was sollten Unternehmen jetzt tun?
Der CRA wird im Jahr 2027 unmittelbar in allen EU-Mitgliedstaaten gelten. Mit Blick auf die vielfältigen und komplexen Anforderungen sowie die notwendige Vorbereitung in der Produktentwicklung sollten Unternehmen jedoch umgehend prüfen, ob ihre Produkte von den Anforderungen des CRA betroffen sind und klären, welche Rolle (Hersteller, Einführer oder Händler) sie bezüglich der jeweiligen Produkte einnehmen. In einer Gap-Analyse ist sodann zu prüfen, welche Vorgaben in Bezug auf das Produkt bereits erfüllt sind und welche noch umgesetzt werden müssen. Zudem ist es ratsam, die Verträge innerhalb der Lieferkette zu überprüfen und an die neuen Vorgaben anzupassen.
Weiterführende Informationen
- Unser Onepager gibt einen kompakten Überblick über die wesentlichen Informationen zum Cyber Resilience Act und erläutert unsere Unterstützungsleistungen.
- CRA Quick-Check: Mit unserem kostenlosen Quick-Check können Sie einfach und unverbindlich die Betroffenheit Ihrer Produkte überprüfen.