EU Cyber Resilience Act (CRA)

Erstellt von Dr. Torsten Sievers | | News

Der EU Cyber Resilience Act (CRA) markiert einen Wendepunkt für die Sicherheit digitaler Produkte. Als weltweit erstes Gesetz seiner Art, legt es EU-weit einheitliche Sicherheitsstandards für Hardware und Software fest. Mit dem CRA reagiert die EU auf die zunehmende Cyberbedrohung und stärkt den Schutz von Unternehmen und Verbrauchern. Die Ziele dieses Gesetzes sind: Produkte sicherer machen, Hersteller zur Verantwortung ziehen und Transparenz erhöhen. Mit seiner Verabschiedung im April 2024 beginnt eine neue Ära der Cybersicherheit in der EU. Bleiben Sie informiert, wie Sie sich vorbereiten können.

EU Cyber Resilience Act

Allgemeine Informationen

Was ist der Cyber Resilience Act (CRA)?

Der Cyber Resilience Act ist weltweit das erste Gesetz, das Anforderungen an die Sicherheit von Software und Produkten mit Hardware festlegt, sofern diese Produkte Daten zur Verarbeitung über eine Schnittstelle nach außen oder von außen zugänglich machen. Dieses Gesetz stellt EU-weit einheitliche Anforderungen an all diese Produkte und legt für die Marktbeteiligten Aufgaben fest. Hierfür wurde der Begriff der “Produkte mit digitalen Elementen” definiert (siehe hierzu CRA Entwurf Artikel 3 Abs. 1.). Die Übereinstimmung mit dem EU Cyber Resilience Act und die korrekte und vollständige Erfüllung der Anforderungen, wie bspw. die Zusammenstellung der technischen Unterlage und die Bewertung der Konformität, sind mit der EU-Konformitätserklärung und mit der CE Kennzeichnung durch den Hersteller zu erklären und zu verantworten.

Welche Ziele verfolgt die EU mit der Einführung des Cyber Resilience Acts?

Mit der Ankündigung zum EU Cyber Resilience Act (CRA) hat die europäische Kommission dargelegt, warum dieser aus ihrer Sicht notwendig ist. Anders formuliert: Welche Herausforderungen die EU-Kommission mit dem CRA angehen möchte. In den letzten Jahren haben die steigende Anzahl Vorfällen im Bereich der Cybersicherheit gezeigt, wie anfällig System mit offenen Schnittstellen sind. Die EU-Kommission führt als Beispiele die WannaCry-Attacke im Jahr 2017 und den Angriff auf Kasey VSA als Beispiele an, die zusammen Schäden in Höhe von einigen Milliarden USD verursacht haben. Diese Angriffe haben die Gemeinsamkeit, dass beide nicht nur nationale, sondern internationale Auswirkungen hatten und nicht auf einen Mitgliedsstaat beschränkt waren. Ursächlich hierfür ist aus Sicht der EU-Kommission die Gemeinsamkeit, dass Schwachstellen in den Systemen ausgenutzt wurden. Anders betrachtet weisen Software oder Produkte mit Hardware, die Daten enthalten und austauschen, ein unzureichendes Cybersicherheitsniveau auf und/oder werden unzureichend mit Sicherheitsupdates versorgt. Zudem fehlen nach EU-Ansicht den Unternehmen und Verbrauchern die Transparenz über die Cybersicherheit von Produkten und/oder das Wissen Produkte so einzurichten, dass diese sicher sind (siehe https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act). Diese Schwäche führte im Jahr 2021 weltweit zu Schäden in Höhe von 20 Mrd. EUR. Somit sind die Ziele klar, die die EU mit den Cyber Resilience Act erreichen möchte.

  • Sicherstellen, dass kabelgebundene und drahtlose Produkte, die mit dem Internet verbunden sind, sowie Software, die in der EU in Verkehr gebracht wird, sicherer sind (weniger Schwachstellen aufweisen)
  • Sicherstellen, dass die Hersteller während des gesamten Lebenszyklus eines solchen Produkts für dessen Cybersicherheit verantwortlich sind.
  • Verbessern der Transparenz bezüglich der Cybersicherheit von Hardware- und Softwareprodukten für Verbrauchen und Unternehmen.

Diese Ziele dienen dem Ergebnis, dass Unternehmen und Verbraucher besser vor digitalen Angriffen geschützt werden.

Wie werden diese Ziele mit dem Cyber Resilience Act erreicht oder die Herausforderungen gelöst?

Mit dem Cyber Resilience Act nimmt die EU die Hersteller von Produkten mit digitalen Elementen stärker in die Pflicht, korrekt und risikobewusst zu arbeiten und bekanntwerdende Schwachstellen auch nach Verkauf des Produktes zu beheben. Hierfür wird auf bewährte Verfahren zurückgegriffen, wie sie bereits in den verschiedenen Produktsicherheitsrichtlinien und Verordnungen wie bspw. der Maschinenrichtline bzw. Maschinenverordnung Anwendung finden. Im Wesentlichen sind dies die Zusammenstellung der technischen Unterlage, die Erstellung und Aktualisierung einer Risikobewertung für alle vorgesehenen und vorhersehbaren Einsatzzwecke, sowie daraus abgeleitete Maßnahmen zur Risikoprävention, und die Durchführung der Konformitätsbewertung zur Sicherstellung der Übereinstimmung des Produktes mit dem CRA.

Spezifisch für den CRA ist die Pflicht zur Bekanntmachung von Schwachstellen und die Bereitstellung von Sicherheitsupdates inklusive eines Change.LOG zu Sicherheitsanpassungen.

 

Erläuterung des Cyber Resilience Acts:

Welche Produkte fallen unter den Cyber Resilience Act oder was sind Produkte mit digitalen Elementen?

Der Cyber Resilience Act gilt für „Produkte mit digitalen Elementen, die auf dem (europäischen Markt) bereitgestellt werden und deren bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netz umfasst.“ Anders formuliert also für alle Produkte die Daten über eine Schnittstelle für den externen Zugriff bereitstellen. Ausgenommen sind lediglich Produkte die unter die folgenden Richtlinien und Verordnungen fallen: Medizinprodukteverordnung (201/745/EU), Medizingeräteverordnung (2017/746/EU), Kraftfahrzeugverordnung (2019/2144/EU), Luftfahrtverordnung (2018/1139/EU) und Schiffausrüstungsrichtlinie (2014/90/EU). Zudem gilt der CRA nicht für Ersatzteile, sofern diese nach den gleichen Anforderungen wie das Originalteil hergestellt wurden. Ausgenommen sind auch Prototypen, Produkttests und Messevorstellungen (Hinweispflicht). 

Daher ist die zentrale Frage: „Was ist ein Produkt mit digitalen Elementen?“ Dies sind alle Produkte mit Elektronik bzw. Hardware aber auch reine Software ohne Hardware. Zudem muss eine Schnittstelle zur Weitergabe von Daten zur weiteren Ver- oder Bearbeitung vorhanden sein. Diese Datenverarbeitung kann nun wiederum auf einer separaten Hardware oder in einer getrennten Software erfolgen. Sie muss allerdings einen Einfluss auf mindestens eine Funktion des Produktes haben, von dem die Daten stammen. Dies bedeutet, dass die Schnittstelle nicht nur Daten ausgibt, sondern auch empfängt.

Diese schwer greifbaren Definitionen lassen sich besser verstehen, wenn man einen Blick auf die Beispiele wirft, die die EU benennt. Die Produktpalette reicht von Software für das Identitätsmanagement und die Zugangsverwaltung über Browser, Firewalls, Betriebssystemen bis hin zu Passwortmanagern und VPN-Programmen. Aber auch Smartwatches, Smart-Home-Geräte, Babyphone mit Internetzugang, Router, Mikroprozessoren, Mikrokontroller und Automatisierungs- und Steuerungssysteme für die Industrie werden genannt. Übersetzt heißt dies alle Produkte, die in irgendeiner Form über ein öffentliches erreichbar sein könnten. 

Im Gegensatz zu Prototypen und Testmustern, fallen quelloffene und frei verfügbare Produkte, die ohne kommerzielle Absicht bereitgestellt werden, unter den Cyber Resilience Act. Allerdings werden die Auflagen für diese Produkte eingeschränkt, um weiterhin die Nutzung, Veränderung und Entwicklung offener Standards zu fördern.

Welche Auflagen macht der Cyber Resilience Act?

Im Wesentlichen legt der Cyber Resilience Act 6 Hauptpflichten fest:

1. Risikobeurteilung

Die Risikobeurteilung dient dazu Schwachstellen und Sicherheitslücken zu identifizieren und durch geeignete Gegenmaßnahmen zu eliminieren. Diese Gegenmaßnahmen sind bspw. Anpassungen am Produkt, eine sichere Standardkonfiguration für die Auslieferung, Beschreibung und Erläuterungen für die Nutzer. Die Risikobeurteilung ist zu dokumentieren und zu aktualisieren.

2. Dokumentation

Unter Dokumentation wird die technische Unterlage verstanden. Diese enthält sämtliche Informationen zum Produkt (bspw. Stücklisten, Konfigurationen, etc.) und dessen Verwendung ebenso wie die Risikobeurteilung. Außerdem sind Nachweise über Prüfungen und Tests, sowie die Nachweise zur Erfüllung harmonisierter Normen einzuschließen. Auch die Verfahren und Methoden zur Beseitigung von Schwachstellen gehören dazu. Zusätzlich sind auch Unterlagen für die Nutzer (Bedienungsanleitung) eingeschlossen.

3. Konformitätsbewertung

Der Cyber Resilience Act sieht verschiedene Verfahren für die Durchführung der Konformitätsbewertung vor. Diese reichen von einer Eigenbewertung durch den Hersteller bis zur Prüfung und Bewertung durch eine notifizierte Stelle oder sogar einer EU Cybersecurity Zertifizierung des Produktes. Welches Verfahren im Einzelfall anzuwenden ist, hängt von der Einstufung des Produktes als nicht klassifiziert, wichtig - Klasse I, wichtig - Klasse II oder kritisch ab. Die Festlegungen zur Einstufung werden in Anhang III des Cyber Resilience Acts vorgegeben.

4. Konformitätserklärung & CE-Kennzeichnung

Alle Produkte, die unter den Cyber Resilience Act fallen, müssen eine CE Kennzeichnung tragen und eine zugehörige EU-Konformitätserklärung haben. Die EU-Konformitätserklärung kann erst nach erfolgreichem Abschluss der Konformitätsbewertung ausgestellt werden. Wie in allen Richtlinien und Verordnungen sind hierfür der Hersteller, der Bevollmächtigten oder der Importeur verantwortlich. Die EU-Konformitätserklärung oder die vereinfachte EU-Konformitätserklärung müssen zudem dem Produkt beigelegt werden.

5. Meldung von Schwachstellen

Der Cyber Resilience Act sieht zwei Pflichten bei der Meldung von Schwachstellen vor:

  • Der Hersteller muss jede aktiv ausgenutzte Schwachstelle und jeden schweren Sicherheitsvorfall, von dem er Kenntnis erlangt, binnen 24h zeitgleich an die ENISA (The European Union Agency for Cybersecurity www.enisa.europa.eu) und an das CSIRT (Computer Security Incident Response Team) der EU-Staates melden. Zu jeder Meldung müssen nach Behebung der Ursache Informationen zu Maßnahmen und Korrekturen bereitgestellt werden.
  • Hersteller müssen eine Kontaktmöglichkeit einrichten und transparent kommunizieren, über welche Sicherheitsprobleme und Schwachstellen durch Nutzer einfach gemeldet werden können. Wichtig ist hierbei, dass eine schnelle direkte Kommunikation möglich ist, die Kommunikation nicht ausschließlich mit automatisierten Werkzeugen erfolgt und die Nutzer die Möglichkeit haben den bevorzugten Kommunikationsweg zu wählen.

6. Behebung von erkannten Schwachstellen

Ziel des CRA ist es nur Produkte ohne Schwachstellen im Markt zu haben. Daher müssen Hersteller Verfahren und Abläufe etablieren, um Schwachstellen in den Produkten zu beheben. Dies gilt sowohl für Schwachstellen, die über die Risikobeurteilung während der Entwicklung erkannt werden, aber auch für solche, die sich bspw. aus einer neuen Verwendung oder Änderung der Rahmenbedingungen und der aktualisierten Risikobeurteilung ergeben. Auch gemeldete Schwachstellen müssen behoben werden. Hierfür müssen Hersteller Sicherheitsupdates bereitstellen. Für diese Aufgabe definiert der Cyber Resilience Act den Begriff der Supportdauer, die vom Hersteller festgelegt werden muss und sich neben anderen Faktoren sich an der tatsächlichen Nutzungsdauer des Produktes orientiert.

Herausforderungen ergeben sich aus den verbindlichen Zeitvorgaben des Cyber Resilience Acts. So fordert der CRA bspw. eine Supportdauer von mindestens 5 Jahren, sofern die erwartbare Nutzungsdauer nicht kürzer ist. Sicherheitsupdates, die bereitgestellt werden, müssen für mindestens 10 Jahre abrufbar bleiben, sofern 

Welche Übergangsfristen gelten für den Cyber Resilience Act?

Der Cyber Resilience Act ist noch nicht verabschiedet oder veröffentlicht. Die Abstimmung im EU-Parlament ist für den April 2024 geplant.

Der Cyber Resilience Act tritt am 20. Tag nach seiner Veröffentlichung im Amtsblatt in Kraft. Für Hersteller, Bevollmächtigte und Importeure sind jedoch zwei Fristen wesentlich:

  • nach 36 Monaten (voraussichtlich ab Mai 2027) endet die Übergangsfrist und der CRA ist verbindlich einzuhalten. Davor ist die Einhaltung freiwillig.
  • nach 21 Monaten (voraussichtlich ab Februar 2026) müssen Hersteller Schwachstellen wie beschrieben melden. Davor ist die Meldung freiwillig.

Bestehende EU-Baumusterzertifikate und Zulassungen für Cybersecurity bleiben bis zu 42 Monate nach Inkrafttreten des Cyber Resilience Acts gültig. Sollten die Zertifikate und Zulassungen ein Ablaufdatum haben, das geringer als die Übergangsfrist ist, gilt das Ablaufdatum.

Für notifizierte Stellen ist eine Übergangsfrist von 18 Monaten (voraussichtlich bis Dezember 2025) vorgesehen.

Wie ist der Status des Cyber Resilience Acts?

Der Cyber Resilience Act wurde dem EU-Parlament durch die EU-Kommission vorgelegt und für ein Gesetzgebungsverfahren angenommen (15.09.2022)
Fachausschüsse haben den CRA geprüft, Korrekturen erarbeitet und verabschiedet. (19.07.2023)
Freigabe für Trilog-Verhandlungen (13.09.2023)
Abschluss Trilog-Verhandlungen (20.12.2023) und Übergabe an EU-Parlament zur Entscheidung (23.01.2024)
Verabschiedung des Cyber Resilience Acts im EU-Parlament (12.03.2024)

Abstimmung im europäischen Rat 

 

Quellen Angaben:

Diese Ausarbeitung basiert auf dem Entwurf des Cyber Resilience Acts 2022/0272 (COD) (auch in der Rubrik Vorabeiten unter eur-lex.europa.eu veröffentlicht), der dem EU-Parlament am 15.09.2022 vorgelegt wurde und den Korrekturen des ITRE auf Basis der Vorläufigen Einigung im Rahmen der Trilog Verhandlungen von 20.12.2023 (https://www.europarl.europa.eu/RegData/commissions/itre/inag/2023/12-20/ITRE_AG(2023)758004_EN.docx).

Die Gesetzgebungsübersicht zum Cyber Resilience Act wird unter https://oeil.secure.europarl.europa.eu/oeil/en/procedure-file?reference=2022/0272(COD) veröffentlicht.

Back