Cyber Resilience Act

Am 10.10.2024 hat das Europäische Parlament den Cyber Resilience Act oder kurz CRA verabschiedet. Es handelt sich dabei eine Verordnung die direkt wirkt und nicht erst in nationales Recht umgesetzt werden muss. Mit der Verordnung soll ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte etabliert werden, die auf dem EU-Markt erhältlich sind. Der Cyber Resilience Act ist Teil der EU-Digitalstrategie und reiht sich damit in eine Reihe von neuen Vorschriften ein, wie etwa der NIS-2-Richtlinie. In diesem Artikel erfährst du, was es mit dem Cyber Resilience Act auf sich hat.

Worum geht es?

Der CRA enthält Vorschriften für das Inverkehrbringen von Produkten mit digitalen Elementen. Es geht dabei um grundlegende Anforderungen an die Konzeption, Entwicklung und Herstellung von solchen Produkten sowie Pflichten der Hersteller, Einführer und Händler in Bezug auf diese Produkte. Es geht um grundlegende Anforderungen zur Behandlung von Schwachstellen und um die Sicherstellung der Cybersicherheit während des gesamten Lebenszyklus eines Produkts.

Was sind Produkte mit digitalen Elementen?

„Produkte mit digitalen Elementen“ sind Produkte, die mit einem Gerät oder einem Netzwerk verbunden werden können. Dabei geht es einerseits um klassische Hardwareprodukte mit vernetzten Funktionen. Dazu zählen Laptops, Handys, Smartwatches, vernetztes Spielzeug und Smart-Home-Produkte, aber auch Mikroprozessoren, Firewalls und intelligente Zähler. Neben Hardware kann auch reine Software erfasst werden (z. B. Buchhaltungssoftware, Computerspiele, mobile Apps). Es spielt dabei keine Rolle, ob es sich um ein Produkt aus dem B2C- oder B2B-Bereich handelt.

Ausgenommen vom Cyber Resilience Act sind nicht-kommerzielle Open-Source-Softwareprodukte.

Ab wann wird es ernst?

Der Cyber Resilience Act wurde am 10. Oktober 2024 vom Europäischen Parlament verabschiedet und am 20.11.2024 im Amtsblat der EU veröffentlicht. Der CRA tritt am 11.12.2024 in Kraft. Verbindlich wird der Cyber Resilience Act ab dem 11.12.2027. Es gibt hier aber eine Ausnahme: Die Meldepflichten aus Artikel 14 musst du bereits ab dem 11. September 2026 beachten. 

Pflichten aus dem Cyber Resilience Act

Der Cyber Resilience Act richtet sich in erster Linie an Hersteller, Einführer und Händler. Je nachdem, in welcher Rolle du auftrittst, kommen unterschiedliche Pflichten auf dich zu.

Pflichten als Hersteller

Der CRA bringt einige Pflichten für dich als Hersteller von digitalen Produkten mit sich. Als Hersteller musst du sicherstellen, dass deine Produkte die grundlegenden Anforderungen des Cyber Resilience Act erfüllen und auf Basis dieser Anforderungen konzipiert, entwickelt und hergestellt werden. Diese Anforderungen sind in Anhang I des Cyber Resilience Act geregelt und umfassen verschiedene Maßnahmen. Danach musst du deine Produkte z. B. so konzipieren, entwickeln und herstellen, dass sie angesichts der Risiken ein angemessenes Cybersicherheitsniveau gewährleisten. Außerdem dürfen deine Produkte nicht mit bekannten ausnutzbaren Schwachstellen ausgeliefert werden und benötigen bei Auslieferung eine sichere Standardkonfiguration.

Der Cyber Resilience Act sieht noch eine Reihe weiterer Pflichten vor, die sich nicht nur auf die Herstellung und Auslieferung beziehen. So musst du etwa sicherstellen, dass Schwachstellen durch Sicherheitsaktualisierungen behoben werden können, gegebenenfalls auch durch automatische Aktualisierungen und die Benachrichtigung der Nutzer über verfügbare Aktualisierungen.

Neben der Sicherstellung der oben genannten Anforderungen musst du eine Bewertung der Cybersicherheitsrisiken durchführen und diese in allen Phasen des Produktlebenszyklus berücksichtigen. Darüber hinaus musst du eine technische Dokumentation erstellen, die eine Risikobewertung enthält.

Auf Basis eines Konformitätsbewertungsverfahrens musst du eine EU-Konformitätserklärung ausstellen und eine entsprechende CE-Kennzeichnung anbringen. Hier bist du im Vorteil, wenn du dich schon mit entsprechenden Verfahren auskennst.

Durch ein Schwachstellenmanagement musst du sicherstellen, dass Schwachstellen wirksam behandelt werden. Hierzu musst du entsprechende Verfahren einrichten und Informationen dokumentieren.

Als Hersteller treffen dich außerdem bestimmte Meldepflichten, z.B. wenn eine Schwachstelle entdeckt wurde.

Pflichten für Einführer

Die Verordnung richtet sich aber nicht nur an Hersteller, sondern auch an Einführer und Händler. Wenn du digitale Produkte einführst, musst du ebenfalls sicherstellen, dass du nur Produkte in den Verkehr bringst, die den grundlegenden Anforderungen in Anhang I Abschnitt 1 genügen und bei denen die vom Hersteller festgelegten Verfahren den grundlegenden Anforderungen in Anhang I Abschnitt 2 des Cyber Resilience Act genügen. Im Prinzip musst du also gewährleisten, dass der Hersteller die genannten Pflichten eingehalten hat.

Pflichten für Händler

Wenn du als Händler ein Produkt mit digitalen Elementen auf dem Markt bereitstellst, musst du sicherstellen, dass das Produkt mit einer CE-Kennzeichnung versehen ist. Darüber hinaus musst du gewährleisten, dass die in Anhang II genannten Informationen dem Produkt beigefügt sind.

Konkrete Hilfe durch das BSI

Die Anforderungen sind oft recht schwammig. Unterstützung bietet hier das BSI durch die Technische Richtlinie TR-03183: Cyber-Resilienz-Anforderungen an Hersteller und Produkte. Durch die Richtlinie will dich das BSI unterstützen und schon vorab die Art der Anforderungen, die künftig auf dich zukommen, verdeutlichen. Die Richtlinie ist in 3 Teile aufgebaut:

  • Teil 1 „General Requirements“ stellt die Anforderungen an Hersteller und Produkte in Anlehnung an die Anforderungen aus Artikeln und Anhängen des Cyber Resilience Act zusammen.
  • In Teil 2 „Software Bill of Materials (SBOM)“ werden formelle und fachliche Vorgaben für Software Bill of Materials beschrieben.
  • Der Umgang mit eingehenden Schwachstellenmeldungen wird in Teil 3 „Vulnerability Reports and Notifications“ beschrieben.

Teil 1 und Teil 3 sind als Community Drafts veröffentlicht. Bis zum 30. November 2024 hast du die Möglichkeit, Kommentare und Rückmeldungen an tr03183@bsi.bund.de zu senden.

Fazit

Der Cyber Resilience Act bringt eine Reihe neuer Anforderungen für Hersteller, Einführer und Händler von digitalen Produkten. Wenn du vom Cyber Resilience Act betroffen bist, solltest du die verbleibende Zeit nutzen und dich entsprechend darauf vorbereiten. Zwei Jahre sind schnell vorbei. Natürlich stehe ich dir bei Bedarf mit Rat und Tat zur Seite.

Hol dir jetzt unseren Newsletter!

Du willst beim Thema Datenschutz und Informationssicherheit auf dem Laufenden bleiben? Dann melde dich jetzt zu meinem Update Datenschutz an. Das Update kommt ca. 1 mal im Monat und informiert über neue Trends, Urteile, Entscheidungen und von mir veröffentlichte Ratgeber und Muster zum Datenschutz. Außerdem gibt es Updates zu meiner Arbeitsweise und meinen Produkten.

Wir verwenden Mailchimp als unsere Marketingplattform. Wenn Sie auf „Anmelden“ klicken, erklären Sie sich damit einverstanden, dass Ihre Daten zur Verarbeitung an Mailchimp übermittelt werden. Erfahren Sie mehr über die Datenschutzpraktiken von Mailchimp.

Mitarbeiterschulung im DatenschutzNennung des Namens eines Mitarbeiters in einer Onlinebewertung