Der Cyber Resilience Act

Der Cyber Resilience Act (CRA) ist die neueste Ergänzung einer Reihe von EU-Regelungen im Bereich der Cybersicherheit. Im Gegensatz zu anderen Regelungen wie DORA (Digital Operational Resilience Act) oder NIS (Network and Information Security Directive), die sich auf spezifische Branchen konzentrieren, gilt der CRA für alle Hardware- und Softwareprodukte.

Ziel der Verordnung ist es, die Cybersicherheit dieser Produkte zu verbessern, indem sichergestellt wird, dass sie mit weniger Schwachstellen auf den Markt kommen. Hersteller sind verpflichtet, die Sicherheit während des gesamten Lebenszyklus eines Produkts bestmöglich zu garantieren. Darüber hinaus schafft die Verordnung Bedingungen, die es Nutzer:innen ermöglichen, die Cybersicherheit bei der Auswahl und Verwendung von Produkten mit digitalen Elementen zu berücksichtigen. 

Alle Produkte mit digitalen Elementen (PDEs), die auf dem Markt bereitgestellt werden. Also auch Hardware und Software, die mit digitalen Elementen ausgestattet sind. „Digitale Elemente“ sind alle logischen oder physischen, direkten oder indirekten Verbindungen zu Netzwerken, anderen Geräten oder dem Internet.

PDEs werden basierend auf ihrer Funktion und dem damit verbundenen Cybersicherheitsrisiko in mehrere Klassen eingeteilt: 

• Kritische Produkte mit digitalen Elementen: Diese Produkte bergen ein erhebliches Risiko für nachteilige Auswirkungen. Es gibt zum Beispiel kritische Abhängigkeiten für wesentliche Einrichtungen laut NIS-2. Eine ausgenutzte Schwachstelle in diesen Produkten könnte viele andere Produkte stören, beeinflussen oder schädigen und dadurch die Lieferketten im Binnenmarkt stark beeinflussen oder lahmlegen.
• Wichtige Produkte mit digitalen Elementen: Diese Produkte erfüllen Kernfunktionen, die für die Cybersicherheit anderer Produkte, Netzwerke oder Dienste entscheidend sind. Eine ausgenutzte Schwachstelle könnte zudem Personen schaden. Sie sind in zwei Klassen unterteilt:
  • Klasse I: Produkte, die eine grundlegende Cybersicherheitsfunktion erfüllen.
  • Klasse II: Produkte, die eine erweiterte Cybersicherheitsfunktion oder eine andere Funktion mit einem höheren Risiko nachteiliger Auswirkungen auf Personen erfüllen.
• Standardprodukte mit digitalen Elementen: Darunter fallen alle anderen PDEs.

Alle Produkte müssen die grundlegenden Cybersicherheitsanforderungen laut CRA erfüllen. 

Die Klassifizierung hilft dabei, die Konformitätsbewertungsverfahren für die Produkte festzulegen. Um die Konformität mit dem CRA nachzuweisen, müssen Hersteller von Produkten mit digitalen Elementen mehrere Schritte befolgen:

1. Technische Dokumentation: Der Hersteller muss eine umfassende technische Dokumentation erstellen und für mindestens zehn Jahre nach dem Inverkehrbringen des Produkts oder während des Unterstützungszeitraums bereithalten. Diese Dokumentation muss die Konzeption, Entwicklung und Herstellung des Produkts sowie die Risikobewertung und die angewandten Sicherheitsmaßnahmen umfassen.
2. Konformitätsbewertungsverfahren: Je nach Klassifizierung des Produkts müssen bestimmte Konformitätsbewertungsverfahren durchgeführt werden. Dies kann eine interne Kontrolle oder eine EU-Baumusterprüfung durch eine notifizierte Stelle umfassen.
3. EU-Konformitätserklärung: Diese Erklärung muss alle relevanten Informationen enthalten, die eine eindeutige Identifizierung des Produkts ermöglichen, sowie die angewandten harmonisierten Normen oder technischen Spezifikationen.
4. CE-Kennzeichnung: Jedes konforme Produkt muss mit der CE-Kennzeichnung versehen werden, die die Übereinstimmung mit den in der Verordnung festgelegten Anforderungen garantiert.
5. Überwachung und Audits: Regelmäßige Audits durch notifizierte Stellen können erforderlich sein, um sicherzustellen, dass das Qualitätssicherungssystem des Herstellers ordnungsgemäß angewandt wird und die Konformität aufrechterhalten bleibt.

• Verstöße gegen grundlegende Cybersicherheitsanforderungen: Geldbußen von bis zu EUR 15 Mio. oder bis zu 2,5 Prozent des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist.
• Verstöße gegen andere spezifische Pflichten: Geldbußen von bis zu EUR 10 Mio. oder bis zu 2 Prozent des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres.
• Falsche, unvollständige oder irreführende Angaben gegenüber Behörden: Geldbußen von bis zu EUR 5 Mio. oder bis zu 1 Prozent des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres.

Der Cyber Resilience Act stärkt die Cybersicherheit in der EU, indem er Unternehmen verpflichtet, hohe Sicherheitsstandards zu erfüllen. Diese Verordnung schützt sowohl die Nutzer:innen als auch die digitale Infrastruktur und stellt einen bedeutenden Schritt in Richtung einer sicheren digitalen Zukunft dar.