vectorfusionart - stock.adobe.co
Cyber Resilience Act: Mehr Sicherheit für vernetzte Produkte
Vernetzte Geräte und Software müssen künftig Mindestanforderungen erfüllen und mehrere Jahre lang Sicherheitsupdates erhalten. Das wird im Cyberresilienzgesetz geregelt.
Das neue Cyberresilienzgesetz (CRA, Cyber Resilience Act) soll die Sicherheit von digitalen Produkten in der EU erhöhen. Es hat diesbezüglich eine politische Einigung zwischen Europäischer Kommission, Europäischem Rat und Europäischem Parlament stattgefunden. So werden mit dem Gesetz Cybersicherheitsanforderungen eingeführt, die für viele Arten von Hard- und Software gelten sollen. Dies betrifft dann smarte Geräte für Consumer ebenso wie Firewalls oder Router. Ziel der Verordnung ist es unter anderem, dass alle Produkte, die auf dem EU-Markt in den Verkehr gebracht werden, cybersicher sind.
Wenn der Cyber Resilience Act angewandt wird, müssen die Hersteller von Hard- und Software über den gesamten Lebenszyklus ihrer Produkte Maßnahmen zur Cybersicherheit umsetzen. Dies beträfe auch Konzeption und Entwicklung (Security by Design) wie auch das Inverkehrbringen der Produkte. Produkte, die den gesetzlichen Anforderungen entsprechen und in der EU verkauft werden dürfen, seien am dem CE-Kennzeichen zu erkennen.
Da bei dieser Vielfalt der Produkte das Niveau des Risikos unterschiedlich ist, werden die einzelnen Produktkategorien auch unterschiedlichen Sicherheitsanforderungen unterliegen. Die Erfüllung der Sicherheitsanforderungen kann durch eine Selbstbewertung oder durch eine Konformitätsbewertung durch Dritte geschehen, ja nach dem mit dem Produkt verbundenen Risiko. Man geht davon aus, dass weniger als zehn Prozent diesbezüglich einer Bewertung durch Dritte unterzogen werden müssen.
Hersteller bleiben für Sicherheit ihrer Produkte verantwortlich
Durch das Gesetz werden die Hersteller rechtlich verpflichtet mehrere Jahre lang zeitnah Sicherheitsaktualisierungen für die Produkte zur Verfügung zu stellen. Der entsprechende Zeitraum soll der voraussichtlichen Nutzungsdauer der Produkte entsprechen. Der Hersteller soll für die Cybersicherheit seiner Produkte während des gesamten Lebenszyklus verantwortlich bleiben, so eines der Ziele des Gesetzes. Reine Software-as-a-Service-Produkte fallen nicht unter das vorgeschlagene Cyberresilienzgesetz. An dieser Stelle wird auf die NIS2-Richtinie verwiesen. Mit dieser wird es wohl auch hinsichtlich der Meldepflichten geben.
„Der Cyber Resilience Act ist weltweit einzigartig und ein Meilenstein auf dem Weg zur Stärkung der Cybersicherheit in Europa. Mit einheitlichen Standards für Produkte mit digitalen Elementen, wie zum Beispiel Security by Design, kann er deutlich mehr Sicherheit für Verbraucherinnen und Verbraucher schaffen. Unternehmen profitieren unter anderen durch eine Vereinheitlichung der Meldefristen für Schwachstellen. Allerdings kommt auf sie auch ein hoher zusätzlicher Personal- und Kostenaufwand zu, sowohl bei der Anpassung der Produkte als auch der internen Prozesse an die neuen Vorgaben.“, so Susanne Dehmel, Mitglied der Geschäftsleitung des Branchenverbandes Bitkom.
Die jetzt erzielte Einigung muss noch vom Europäischen Rat und vom Europäischen Parlament gebilligt werden, was als Formsache betrachtet wird. Nach der Annahme des Cyberresilienzgesetzes tritt es dann am zwanzigsten Tag nach seiner Veröffentlichung in Kraft. Ab diesem Zeitpunkt bleiben den Herstellern, Händlern und Importeure dann 36 Monate, um sich dann die neuen Anforderungen anzupassen. Im Hinblick auf die Meldepflichten hinsichtlich Sicherheitsvorfällen und Schwachstellen ist die Übergangsfrist kürzer und beträgt 21 Monate.
