Mit der zunehmenden Digitalisierung und Vernetzung von Produkten steigt auch das Risiko von Cyberangriffen, wie wir in einem vorangegangenen Artikel veranschaulicht haben. Die EU ist sich dieser Gefahr bewusst und reagiert nun mit einer neuen Verordnung – dem europäischen Cyber Resilience Act (CRA). Die Verordnung enthält eine Reihe von Präventivmaßnahmen, deren Ziel es ist, die Cybersicherheit von in der EU vertriebenen Produkten zu verbessern. 

In diesem Artikel erörtern wir, wer vom CRA betroffen ist, welche Produktanpassungen aufgrund der neuen Sicherheitsanforderungen erforderlich sind und welche Dokumentation und Prozesse intern erstellt werden sollten, um die Vorgaben des neuen Gesetzes zu erfüllen. 

Der Cyber Resilience Act (CRA) ist eine kommende EU-Verordnung. Sie hat das Ziel, die Cybersicherheit von „Produkten mit digitalen Elementen“ zu verbessern. In der Praxis betrifft das Gesetz alle Produkte, die Daten mit einem anderen Gerät oder Netzwerk austauschen. Auch jegliche Datenfernverarbeitung, die Bestandteil eines Produkts ist, wird von dem Gesetz erfasst, beispielsweise der Einsatz eines Cloud-Backends. 

Der CRA beschreibt die Mindestanforderungen an die Sicherheit dieser Produkte. Außerdem verpflichtet er Hersteller dazu, bestimmte Prozesse für die Produktentwicklung und den Produktsupport zu befolgen. Wenn Ihr Unternehmen ein Produkt herstellt, importiert oder vertreibt, das in der EU verfügbar ist und irgendeine Art von Datenkommunikation beinhaltet, sind Sie höchstwahrscheinlich vom CRA betroffen. 

Nach langen Verhandlungen befindet sich das Gesetzgebungsverfahren zum CRA derzeit in den finalen Zügen. Das Europäische Parlament hat den CRA am 12. März 2024 verabschiedet und er wird voraussichtlich Mitte 2024 in Kraft treten. Als Nächstes werden die Compliance-Anforderungen in zwei Schritten eingeführt: 

• 21 Monate nach der endgültigen Verabschiedung des Gesetzes (d. h. Anfang 2026) müssen die im Text enthaltenen Meldepflichten (siehe unten) erfüllt sein. 
• 36 Monate nach der endgültigen Verabschiedung des Gesetzes (d. h. Mitte 2027) müssen Hersteller, Importeure und Händler alle Vorgaben erfüllen. 

Die Übergangsfristen mögen auf den ersten Blick großzügig erscheinen, doch der Eindruck täuscht. Die Vorgaben des CRA könnten erhebliche Auswirkungen auf die Entwicklungs- und Support-Workflows Ihres Unternehmens haben und die zeitnahe Umsetzung der erforderlichen Änderungen kann mit beträchtlichem Aufwand verbunden sein. Außerdem muss sichergestellt werden, dass die Änderungen von allen Unternehmensebenen unterstützt werden. Deshalb empfehlen wir, ausreichend Zeit für einen schrittweisen Ansatz zum Erreichen der CRA-Compliance einzuplanen, statt das Ganze zu überstürzen. 

Je nach Art des Verstoßes gegen die Vorgaben des CRA können Bußgelder in Höhe von bis zu 15 Millionen Euro bzw. 2,5 % des weltweiten Jahresumsatzes verhängt werden (je nachdem, was höher ist). Daher lohnt es sich auf jeden Fall, so bald wie möglich mit den Vorbereitungen für die CRA-Compliance zu beginnen. 

CRA vs. NIS2

Was den CRA von der NIS2-Richtlinie (The Network and Information Security Directive) der EU unterscheidet, ist seine Ausrichtung auf Produkte. Obwohl sowohl der CRA als auch die NIS2-Richtlinie zum Ziel haben, den Cybersicherheitsstatus in der EU zu verbessern, verfolgt der CRA einen grundsätzlich anderen Ansatz. Konkret regelt der CRA die Produktsicherheit, während die NIS2-Richtlinie die Sicherheitspraktiken kritischer Unternehmen und Einrichtungen, u. a. von Versorgungsunternehmen und Fertigungsanlagen, regelt. 

Hinzu kommt, dass trotz der großzügigen Auslegung des Begriffs „kritisch“ durch die NIS2-Richtlinie wesentlich mehr Organisationen vom CRA betroffen sein werden als von der NIS2-Richtlinie. Vor allem unterliegen Organisationen außerhalb der EU in der Regel nicht der NIS2-Richtlinie, sehr wohl aber dem CRA, wenn ihre Produkte in der EU angeboten werden. Dies ist so ähnlich wie bei der DSGVO, an die sich auch Unternehmen außerhalb der EU halten müssen, wenn sie ihr Dienstleistungsangebot auf EU-Bürger ausrichten.

CRA vs. RED

Die Funkanlagen-Richtlinie (Radio Equipment Directive: RED) schafft einen Rechtsrahmen für das Inverkehrbringen von Funkanlagen auf dem EU-Binnenmarkt. 2022 wurde eine Ergänzung (Delegierte Verordnung) zur Funkanlagen-Richtlinie veröffentlicht, die Sicherheitsanforderungen für mit dem Internet verbundene Funkanlagen und datenverarbeitende Funkanlagen enthält. Im Einzelnen sieht die Verordnung vor, dass Funkanlagen je nach Art des beteiligten Geräts personenbezogene Daten sowie die Privatsphäre des Nutzenden schützen sowie Nutzende vor Betrug und Netze vor Störungen schützen müssen. Diese Änderungen treten ab August 2025 in Kraft. 

Im Gegensatz zur RED gilt der CRA für alle Produkte mit digitalen Elementen, nicht nur für Funkanlagen. Darüber hinaus stehen die im CRA dargelegten Anforderungen zwar mit den Cybersicherheitsanforderungen der RED in Einklang, sind jedoch wesentlich umfangreicher und umfassender. Es ist wahrscheinlich, dass der CRA die Sicherheitsanforderungen der RED mit der Zeit ersetzen wird.  

Aktualisierung 25.10.2024: Wir haben eine Aussage über „bereits auf dem Markt erhältliche Produkte“ entfernt, da sie zu Fehlinterpretationen führen kann. Im Prinzip müssen alle Produkte, die nach der CRA-Schonfrist auf dem EU-Markt verkauft werden, vollständig CRA-konform sein.

Wichtig ist, dass der CRA nicht zwischen Produkten aus Ländern innerhalb und außerhalb der EU unterscheidet, sondern schlicht alle Produkte abdeckt, die „auf dem EU-Markt bereitgestellt“ werden. Daher gilt der CRA in vollem Umfang für Unternehmen mit Sitz in Nicht-EU-Ländern, wenn sie beabsichtigen, ihre Produkte in der EU in Verkehr zu bringen. Um die Rechenschaftspflicht entlang der gesamten Lieferkette zu gewährleisten, enthält das Gesetz mehrere Anforderungen für Importeure und Händler. 

Je nach Art des Produkts gibt es verschiedene Möglichkeiten, um die Einhaltung der CRA-Vorgaben nachzuweisen. Bei den meisten Produkten reicht es aus, wenn Hersteller selbst eine Erklärung (Konformitätserklärung) abgeben, dass die relevanten Anforderungen erfüllt wurden. In diesem Fall sollte nicht vergessen werden, dass durch die technische Dokumentation des Produkts sichergestellt ist, dass die Erklärung zu einem späteren Zeitpunkt überprüft werden kann (z. B. nach Auftreten eines Vorfalls). 

Neben der Möglichkeit der Konformitätserklärung sieht der CRA mehrere weitere Nachweismöglichkeiten der Compliance vor. Diese kommen bei den sogenannten „wichtigen“ bzw. „kritischen“ Produkten ins Spiel. In Abhängigkeit von der Klassifizierung des Produkts kann nur ein Teil der Instrumente zur Anwendung kommen. Diese zusätzlichen Instrumente sind (aufsteigend nach Sicherheitsstufe): 

• Einhaltung von harmonisierten Normen: Die Konformität wird durch Befolgen einer sogenannten harmonisierten EU-Norm nachgewiesen, gefolgt von der Konformitätserklärung. 
• Auf einer Baumusterprüfung basierender Vorgang: Hersteller erhalten eine Bauartzulassung von einer von der EU benannten externen Stelle und erklären anschließend, dass ihre Produkte mit der Bauart konform sind. 
• Konformität basierend auf einer umfassenden Qualitätssicherung: Der Hersteller wendet während des Design- und Herstellungsprozesses des Produkts ein für den Zweck zertifiziertes internes Qualitätsmanagementsystem an.  
• Ein europäisches Schema für die Cybersicherheitszertifizierung: Die Cybersicherheit des Produkts wird von der Agentur der Europäischen Union für Cybersicherheit (ENISA) zertifiziert. 

Die Einstufung eines Produkts in die Kategorie „wichtig“ oder „kritisch“ erfolgt anhand einer vorgegebenen Liste. Diese Liste kann jederzeit von der Europäischen Kommission aktualisiert werden, wobei die Änderungen nach 12 Monaten in Kraft treten. Derzeit sind in dieser Liste unter anderem folgende Produkte enthalten: Passwortmanager, Smart-Home-Produkte mit Sicherheitsfunktionen (z. B. intelligente Türschlösser, Sicherheitskameras), Smartcards und Firewalls. 

Für die meisten dieser Produkte ist das Befolgen einer harmonisierten Norm (sofern zulässig) die wahrscheinlich unkomplizierteste Methode zum Nachweis der Compliance. Die laufenden Erfahrungen bezüglich der Erstellung harmonisierter Normen für die RED haben jedoch gezeigt, dass derartige Normungsverfahren komplex und zeitaufwändig sein können. Außerdem enthält der CRA wesentlich mehr Anforderungen als die RED. Daher ist derzeit unklar, ob die harmonisierten Normen für den CRA rechtzeitig fertiggestellt werden können. Obwohl der CRA Regelungen enthält, die sich auf die verspätete Bereitstellung der harmonisierten Normen beziehen, ist derzeit nicht klar, was in einem solchen Szenario passieren würde. 

Die Anforderungen des CRA sind umfangreich und berühren zahlreiche Aspekte der Produktentwicklung und -bereitstellung. Für viele Unternehmen erweist sich das Erreichen der Compliance mit den CRA-Vorgaben möglicherweise als langwieriger Prozess. Von daher empfehlen wir, so bald wie möglich mit den Vorbereitungen für die CRA-Compliance zu beginnen. 

Wenn Sie Ihren Compliance-Prozess mit Zühlke an Ihrer Seite einleiten möchten, freuen wir uns auf Ihre Nachricht. Unser Cyber-Security-Team unterstützt Sie dabei, den Anforderungen gerecht zu werden. Außerdem bieten wir Beratung bezüglich der Behebung von Schwachstellen und führen auf Wunsch Sicherheitsbewertungen für Ihre Produkte durch. Dank unserer jahrzehntelangen Erfahrung in sämtlichen Aspekten des Produktdesigns sind wir zudem Fachleute, wenn es darum geht, Sicherheitsanforderungen mit sonstigen Anforderungen in Einklang zu bringen. Gemeinsam finden wir eine Lösung, die genau auf Ihre Probleme zugeschnitten ist.