HomeIco

Home

 InternIco

Intern
Deutsch|English
Weltweit
Themen Finale Verabschiedung des Cyber Resilience Act – Das erwartet betroffene Unternehmen

Finale Verabschiedung des Cyber Resilience Act – Das erwartet betroffene Unternehmen

PrintMailRate-it

​​​​​​​​​​​​​​​veröffentlicht am 28​. November 2024


Aufgrund der steigenden Anzahl an Cyberangriffen auf Geräte des Internet of Things und den daraus resultierenden Folgen für die Wirtschaft und das soziale Leben hat der Rat der Europäischen Union im Oktober 2024 den Cyber Resilience Act (CRA) verabschiedet. Dieser legt einheitliche Cybersicherheitsstandards für Produkte mit digitalen Elementen fest, welche auf dem europäischen Binnenmarkt vertrieben werden. Von der Verordnung betroffen sind Hersteller, Importeure und Händler, welche die verfügten Anforderungen für die von ihnen produzierten oder vertriebenen Produkte bis spätestens November 2027 erfüllen müssen. Bei Zuwiderhandlung gegen die Verordnung drohen den betroffenen Unternehmen empfindliche Bußgelder oder in schweren Fällen sogar ein Verkaufsverbot. Nachfolgender Artikel beschreibt die Hintergründe, Anforderungen, Sanktionen und wichtigsten Meilensteine in der Realisierung des CRA.
 
Der Rat der Europäischen Union hat im Oktober 2024 offiziell den Cyber Resilience Act (CRA) verabschiedet. Dieser ergänzt die auf EU-Ebene bereits bestehenden Rechtsvorschriften und Verordnungen wie bspw. die NIS-2-Richtline oder den Cybersecurity Act und bildet einen zentralen Bestandteil der europäischen Cybersicherheitsstrategie.
 
Auf Basis der Verordnung werden europaweit einheitliche Cybersicherheitsstandards für Produkte mit digitalen Elementen verfügt, die auf dem europäischen Binnenmarkt in den Warenverkehr gebracht werden. Neben Unternehmen, die solche Güter produzieren fallen unter die Verordnung auch Importeure und Händler, die entsprechende Produkte unter dem Namen oder der Marke eines außerhalb der EU ansässigen Unternehmens auf den EU-Markt einführen oder vermarkten bzw. diese als Bestandteil einer Lieferkette bereitstellen, ohne deren Beschaffung zu verändern. Betroffen sind alle Hard- und Softwareprodukte des Internet of Things (IoT). Darunter fallen Güter, welche lokal oder via Internet direkt oder indirekt mit einem Netzwerk oder anderen Produkten verbunden werden können. Explizite Einschränkungen bzgl. des Verwendungszweckes gibt es nicht. Beispiele für Produkte mit digitalen Elementen sind nach der Verordnung neben Firewalls, Switches, Laptops, Chipkarten und Festplatten auch Betriebssysteme, Firmware, Mobile-Apps, Passwort-Manager, Smart Meter, PC-Spiele sowie Prozessoren.
 
Ausgenommen von der CRA sind nicht-kommerzielle Produkte und solche die bereits durch andere Verordnungen der EU reguliert sind. Neben Kraftfahrzeugen zählen hierzu medizinische Geräte und In-vitro Diagnostika, Produkte der Luftfahrt sowie Geräte, die für den Schutz der nationalen Sicherheit oder militärische Zwecke entwickelt wurden. Gleichwohl müssen sich auch Unternehmen aus diesen Bereichen mit dem CRA beschäftigen. So sind bspw. im Ökosystem vieler medizinischer Produkte andere Geräte, Apps oder Cloud-Dienste enthalten, die bisher nicht durch die bestehenden Verordnungen abgedeckt sind, aber Bestandteil des neuen CRA sind.
 

Ausgangspunkt und Ziele des CRA

Ausgangspunkt des CRA war ein Vorschlag der Europäischen Kommission im September 2022 als Reaktion auf das starke Wachstum an IoT-Geräten in Verbindung mit der gleichzeitig steigenden Anzahl an Cyberangriffe auf diese. Der WannaCry Ransomeware-Angriff, der Computerwurm Stuxnet oder die Malware Miari sind nur drei der bekanntesten Cyberangriffe des letzten Jahrzehnts und führten zur Infizierung hunderttausender Computer weltweit und daraus resultierend zu schwerwiegenden Störungen wirtschaftlicher und sozialer Tätigkeiten. Ende des Jahres 2020 schätzte man die durch die Cyberkriminalität jährlich anfallenden Kosten für die Weltwirtschaft auf 5,5 Billion EUR, Tendenz steigend. Vonseiten der EU ist diese Entwicklung zum einen auf das geringe Maß an Cybersicherheit und die hohe Geräteanfälligkeit von Produkten mit digitalen Elementen, in Verbindung mit der teilweise inkonsistenten Bereitstellung von Updates und Patches zur Behebung von Schwachstellen und Sicherheitslücken sowie einem mangelnden Support, zurückzuführen. Zum anderen haben viele User ein unzureichendes Verständnis oder einen mangelnden Informationszugang, um sich über die Cybersicherheitsmerkmale eines Produktes angemessen zu informieren oder diese auf eine sichere Art und Weise zu bedienen.
 
Mit Hilfe des CRA soll diesen Problemen begegnet werden und zielt darauf ab, Endverbraucher und Unternehmen durch die Festlegung ganzheitlicher und verbindlicher Cybersicherheitsanforderungen besser zu schützen und die Resilienz der Produkte mit digitalen Elementen nachhaltig zu verbessern.
 
Die Verordnung stellt sicher, dass Hersteller, die Produkte mit digitalen Elementen verkaufen, eine Sorgfaltspflicht für diese haben. Die Cybersicherheit der Hardware- und Softwareprodukte muss über den gesamten Lebenszyklus gewährleistet werden, sodass diese nicht nur weniger Schwachstellen aufweisen, sondern auch eine geringere Angriffsfläche für Cybersicherheitsattacken sowie unbefugte Datenzugriffe, -änderungen und -manipulationen bieten. Weiterhin erhalten die Verbraucher transparentere und umfassendere Informationen in Bezug auf die Sicherheit der von ihnen gekauften Produkte und stärkt dadurch deren Vertrauen in eine sichere Verwendung.
 
Der durch den CRA entstehende Rechtsrahmen soll zu einer Harmonisierung des europäischen Binnenmarktes führen, die Verbreitung sicherer Technologien begünstigen und Innovationen fördern. Dadurch birgt die Verordnung nicht nur Pflichten für die Unternehmen, sondern auch Chancen. Unternehmen können sich durch die hohen Sicherheitsstandards und das gestärkte Vertrauen in die Produkte mit digitalen Elementen auf den internationalen Märkten als Vorreiter im Bereich der Cybersicherheit etablieren und daraus Marktchancen und Wettbewerbsvorteile generieren.
 

Pflichten der betroffenen Unternehmen

Der CRA sieht vor, dass die Produkte mit digitalen Elementen sowohl den Prinzipien des „Security by Design” als auch des „Security by Default” folgen. Nach dem Security-by-Design-Ansatz müssen Unternehmen bereits von Beginn an ihrer Produktentwicklung und des Software-Designs die Einhaltung von Sicherheitsanforderungen beachten. Ziel muss es sein, ein Produkt zu entwickeln, welches bis zur Marktreife frei von etwaigen Schwachstellen ist und sich robust gegenüber Sicherheitsbedrohungen und anderen Angriffen verhält. Darauf aufbauend, geht es gemäß des Security-by-Default-Ansatzes darum, dass die konfigurierten und entwickelten Sicherheitsmaßnahmen sowie Bausteine so in das Hardware- oder Softwareprodukt integriert sind, dass diese über den kompletten Lebenszyklus im Hintergrund wirken, ohne dass sich der Benutzer hierum aktiv kümmern muss. Hierzu bedarf es von Seiten der Hersteller einerseits eines umfassenden und robusten Updatemanagements inkl. der Bereitstellung regelmäßiger Sicherheitsupdates, um auftretende Sicherheitslücken zeitnah schließen zu können. Andererseits müssen sie die verbauten Komponenten regelmäßigen Risikobewertungen unterziehen, damit sichergestellt ist, dass deren Einsatz nicht die Cybersicherheit des gesamten Produktes gefährdet.
 
Vor Markteinführung sind die Hersteller und Importeure zudem verpflichtet, jedes ihrer Produkte mit digitalen Elementen einer Konformitätsbewertung zu unterziehen. Im Zuge dieser müssen die Unternehmen u. a. mittels technischer Dokumente, Baumuster, Quelltexten und den von ihnen etablierten Verfahren zum Schwachstellen- und Risikomanagement sowie Compliance bewerten, ob sie über geeignete Rahmenbedingungen und Prozesse verfügen, um den Anforderungen aus der CRA genüge zu leisten sowie die Sicherheit und Leistungsfähigkeit ihrer Produkte dauerhaft gewährleisten zu können. Abhängig von der Kritikalität, werden die Produkte mit digitalen Elementen nach der Verordnung unterschiedlich klassifiziert und müssen nicht nur im Rahmen der Konformitätsbewertung mit ansteigender Cybersicherheitsrelevanz strengere Anforderungen erfüllen. Eine Übersicht der Klassifizierung kann nachfolgendem Schaubild entnommen werden:

 
Abbildung 1: Klassifizierung nach dem CRA​

Laut Angaben der EU sollen ca. 90 Prozent der Produkte mit ​​digitalen Elementen unter die Kategorie nicht kritischer Produkte fallen. Kritische Produkte werden entsprechend deren Funktionalität und Verwendungsabsicht nach dem CRA in zwei Klassen unterteilt. Die Konformitätsbewertung kann auf der Basis harmonisierter Normen und Standards der EU erfolgen. Abhängig von der Kritikalität des Produktes kann die Bewertung entweder in eigener Verantwortung durchgeführt werden oder muss durch eine benannte Zertifizierungsstelle begleitet werden.
 
Den Abschluss der Konformitätsbewertung bildet die Erstellung einer Konformitätserklärung. In dieser muss der Hersteller oder Importeuer darlegen, welchen und wie den Anforderungen aus der CRA entsprochen wird. Auf dem Produkt oder dessen Verpackung wird die Konformität durch eine CE-Kennzeichen ersichtlich und ist gut sichtbar und nicht löschbar auf allen Produkten anzubringen. Ergänzend sind für die Verbraucher die wichtigsten Firmen und Kontaktinformationen angegeben. Händler haben sicherzustellen, dass alle notwendigen Kennzeichnungen auf den Produkten mit digitalen Elementen vorhanden sind.
 
Eine weitere Anforderung aus dem CRA sieht vor, dass Importeure und Händler sicherstellen müssen, dass dem Produkt eine klare, nachvollziehbare und in leicht verständlicher Sprache geschriebene Gebrauchsanweisung beiliegt, die alle relevanten Informationen zum Produkt enthält und eine sichere Inbetriebnahme und Bedienung durch den Endverbraucher gewährleistet. Weiterhin sind Hersteller verpflichtet Schwachstellen oder Sicherheitslücken über den erwarteten Lebenszyklus, mindestens jedoch fünf Jahre lang, zu identifizieren und Maßnahmen zur Schließung dieser zu ergreifen. Mögliche Cybersicherheitsvorfälle oder Exploits (ausnutzen von Schwachstellen oder Sicherheitslücken mittels Software oder Befehlsfolgen) müssen zudem innerhalb von 24 Stunden an die zuständige Agentur der Europäischen Union für Cybersicherheit (ENISA) gemeldet werden.
 

Konsequenzen bei Nichterfüllung der Vorgaben

Gemäß des CRA drohen bei Nichterfüllung der Vorgaben den betroffenen Unternehmen empfindliche Sanktionen. Die Höhe der Strafen sind durch die einzelnen Mitgliedsstaaten individuell festzulegen. Abhängig von der Schwere des Verstoßes gegen die Anforderungen können gegen Unternehmen, deren Produkt der Klasse 1 oder Klasse 2 zugeordnet sind, Geldstrafen von bis zu 15 Mio. EUR oder 2,5 Prozent des letztjährigen weltweiten Jahresumsatzes verhängt werden. Die Angabe falscher oder unvollständiger Informationen gegenüber den Marktaufsichtsbehörden oder anderen notifizierten Stellen kann mit einem Bußgeld von bis zu 5 Mio. EUR oder einem Prozent des weltweiten Umsatzes des vorangegangenen Geschäftsjahres bestraft werden. Sonstige Pflichtverletzungen sind laut CRA mit Bußgeldern von bis zu 10 Mio. EUR oder zwei Prozent des weltweiten Umsatzes des vorangegangenen Berichtszeitraums zu ahnden.
 
Besteht hinreichender Verdacht, haben die Marktaufsichtsbehörden zudem die Möglichkeit sogenannte „Sweeps“ durchzuführen, um etwaige Verstöße gegen den CRA oder Cybersicherheitsrisiken in Produkten aufzudecken. In Folge können betroffene Hersteller, Importeure oder Händler aufgefordert werden, geeignete Maßnahmen zu ergreifen, um die Einhaltung der Vorgaben zu gewährleisten und nachzuweisen. Setzen die Unternehmen die verhängten Maßnahmen nicht um oder bergen die entsprechenden Produkte weiterhin ein erhebliches Cybersicherheitsrisiko, kann durch Marktzugangsbeschränkungen nicht nur der Vertrieb dieser auf dem EU-Binnenmarkt eingegrenzt oder sogar gänzlich untersagt werden, sondern in schwerwiegenden Fällen sogar ein Rückruf und Rücknahme der bereits verkauften Produkte verordnet werden.
 
Neben den behördlich angeordneten Sanktionen kann eine wiederholte Zuwiderhandlung gegen die Grundsätze des CRA für die Unternehmen auch mit einem schwerwiegenden Reputations- und Vertrauensverlusten gegenüber anderen Stake- und Shareholdern verbunden sein. Langfristige Geschäftsbeziehungen und Lieferantenverträge könnten aufgekündigt und das Eingehen neuer erschwert werden. Kapitalgesellschaften sähen sich zudem durch Anteilsverkäufe bedroht. Für betroffene Unternehmen wäre dies mit enormen und nachhaltigen wirtschaftlichen sowie finanziellen Schäden verbunden.
 

Wichtige Meilensteine in der Realisierung des CRA

Nachdem der Rat der Europäischen Union den CRA im Oktober 2024 verabschiedet hat, wurde die Verordnung durch die Präsidenten des Europäischen Rats und des Europäischen Parlaments unterzeichnet und anschließend im Europäischen Amtsblatt veröffentlicht. 20 Tage nach der Veröffentlichung trat die Verordnung nun im November 2024 in Kraft. Von da an haben die betroffenen Unternehmen eine Übergangsfrist von 36 Monate, um alle Anforderungen aus der EU-Verordnung umzusetzen. Andere Verpflichtungen, wie die Meldepflicht von IT-Schwachstellen und Sicherheitsvorfällen, gelten bereits ab dem Jahr zuvor.
 
Eine Übersicht der wesentlichen Meilensteine auf dem Weg hin zur Realisierung des CRA kann dem nachfolgenden Schaubild entnommen werden:

 
Abbildung 2: Wichtige Meilensteine in der Realisierung des CRA
 ​
Angesichts des im CRA geforderten Security-by-Design-Ansatzes sollten sich die betroffenen Unternehmen bereits frühzeitig im Rahmen ihrer Produktentwicklungen mit den Verpflichtungen aus der EU-Verordnung auseinandersetzen und bereits heute entsprechende Maßnahmen planen und ergreifen, um die Konformität bis zur Marktreife nachweisen zu können. Für Produkte, die sich bereits aktuell auf dem Markt befinden, sieht die Verordnung Übergangsbestimmungen vor.
 
Sollten Sie Fragen rund um das Thema CRA und seine Umsetzung haben, steht Ihnen das Team Assurance & IT gerne zur Verfügung und bietet eine umfassende und qualitativ hochwertige Beratung mit dem Branchenfokus auf den Gesundheits- und Sozialsektor. Neben der Branchenexpertise erhalten Sie bei uns ein ganzheitliches Beratungspaket mit Einbezug von z.B. Datenschutz & Compliance oder rechtlichen Themen



Quelle:

- BSI - Cyber Resilience Act
- REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on horizontal cybersecurity requirements for products with digital elements and amending Regulations (EU) No 168/2013 and (EU) 2019/1020 and Directive (EU) 2020/1828 (Cyber Resilience Act)
- Vorschlag für eine VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES über horizontale
- Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnung (EU) 2019/1020

AUTOR
Felix Friebis​

FOLGEN SIE UNS!
Linkedin Banner

AUS DEM NEWSLETTER
Newsletter Gesundheits- und Sozialwirtschaft Nr. 11/2024

Kontakt

Contact Person Picture

Rüdiger Hanke

M.Sc. Wirtschaftsinformatik, Diplom-Kaufmann (Univ.), IT-Security Beauftragter (TÜV)

+49 911 9193 1410

Anfrage senden

WIR BERATEN SIE GERN!
Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu