Cyber Resilience Act – Das Wichtigste zusammengefasst

Der Cyber Resilience Act ist eine neue EU-weite Regulierung, die darauf abzielt, die Sicherheit von Produkten mit digitalen Elementen zu verbessern. Es ist die erste europäische Verordnung, die ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte festlegt. Die EU-Verordnung gilt für alle auf dem EU-Markt erhältlichen Produkte und ist von allen EU-Mitgliedsstaaten umzusetzen.

Der Cyber Resilience Act soll gewährleisten, dass digitale Produkte bereits bei ihrer Markteinführung in der EU ein hohes Maß an Cybersicherheit bieten und während ihres gesamten Lebenszyklus sicher bleiben. 

“This Regulation aims to set the boundary conditions for the development of secure products with digital elements by ensuring that hardware and software products are placed on the market with fewer vulnerabilities and that manufacturers take security seriously throughout a product’s lifecycle. It also aims to create conditions allowing users to take cybersecurity into account when selecting and using products with digital elements, for example by improving transparency with regard to the support period for products with digital elements made available on the market.”

(Artikel 2, Verordnung (EU) 2024/2847 | Cyber Resilience Act)

Der EU-Verordnung richtet sich an Hersteller, Importeure und Händler, unabhängig ihres Geschäftssitzes, und fordert von ihnen, Sicherheitsanforderungen zu erfüllen und Schwachstellen regelmäßig zu überwachen und zu beheben. 

Ziel ist es, nicht nur Verbraucher besser zu schützen, sondern auch Unternehmen vor den Risiken von Cyberangriffen abzusichern. Auf diese Weise soll die Cybersicherheit innerhalb der Europäischen Union erhöht werden.

Der Cyber Resilience Act (CRA) wurde am 20. November 2024 im Amtsblatt der Europäischen Union veröffentlicht und tritt am 10. Dezember 2024 in Kraft. Die Verordnung wird ab dem 11. Dezember 2027 vollumfänglich anwendbar sein, wobei bestimmte Bestimmungen bereits früher gelten:

• 11. Juni 2026: Regelungen zur Benennung der Konformitätsbewertungsstellen treten in Kraft. (Kapitel IV)
• 11. September 2026: Meldepflichten für Hersteller über aktiv ausgenutzte Schwachstellen werden wirksam. (Artikel 14)

Unternehmen sollten diese Übergangsfristen nutzen, um ihre Produkte und Prozesse an die neuen Anforderungen des Cyber Resilience Act anzupassen und so die Einhaltung der Vorschriften sicherzustellen.

Der Cyber Resilience Act richtet sich speziell an Hersteller, Importeure und Händler von Produkten mit digitalen Elementen. Er definiert Sicherheitsanforderungen für diese Produkte und verpflichtet die Anbieter, Schwachstellen zu identifizieren und zu beheben.

Die NIS-2-Richtlinie hingegen zielt auf die Cybersicherheit kritischer Infrastrukturen ab, wie Energieversorger, Gesundheitsdienstleister oder digitale Dienstleister. Sie legt Standards für die Sicherheit von Netzwerken und Informationssystemen fest und fordert Maßnahmen zur Risikominderung sowie Meldungen von Sicherheitsvorfällen an die zuständigen Behörden.

Der Cyber Resilience Act betrifft eine breite Palette von Produkten mit digitalen Elementen, die in der Europäischen Union auf den Markt gebracht werden. Dazu zählen sowohl Hardware als auch Software, die direkt oder indirekt mit einem Netzwerk verbunden sind. Beispiele hierfür sind:

• Verbrauchergeräte: Smartphones, Laptops, Smart-Home-Geräte und Wearables.
• Industrielle Produkte: Industriesteuerungen, vernetzte Maschinen und IoT-Geräte.
• Software: Betriebssysteme, Anwendungen und Firmware.

Allerdings gibt es auch Ausnahmen. Produkte, die bereits unter spezifische EU-Vorschriften mit gleichwertigen Cybersicherheitsanforderungen fallen, können vom Geltungsbereich des CRA ausgenommen sein. 

• Medizinprodukte (Verordnungen (EU) 2017/745 und (EU) 2017/745)
• Typgenehmigungen von Kraftfahrzeugen (Verordnung (EU) 2019/2144)
• Produkte aus der Zivilluftfahrt und Flugsicherheit (Verordnung (EU) 2018/1139)
• Produkte für nationale Sicherheit, militärische Zwecke oder Verarbeitung von Verschlusssachen
• Cloud-Dienste ohne lokale Komponenten (Software-as-a-Service) (NIS-2-Richtlinie)

Open-Source-Software, die ohne Gewinnerzielungsabsicht angeboten wird, ist ebenfalls vom Cyber Resilience Act ausgenommen.

Hersteller von Produkten mit digitalen Elementen müssen im Rahmen des Cyber Resilience Act zahlreiche Maßnahmen ergreifen, um die Cybersicherheitsanforderungen der EU zu erfüllen. Dazu gehören:

Sicherheitsanforderungen umsetzen:

Hersteller müssen sicherstellen, dass ihre Produkte vor der Markteinführung ein hohes Maß an Cybersicherheit aufweisen. Dazu zählt der Schutz vor unbefugtem Zugriff, die Sicherung personenbezogener Daten und die Minimierung von Schwachstellen.

Schwachstellenmanagement etablieren:

Hersteller sind verpflichtet, bekannte Schwachstellen während des gesamten Lebenszyklus eines Produkts zu identifizieren, zu beheben und Sicherheitsupdates bereitzustellen.

Technische Dokumentation und Konformitätserklärung:

Hersteller müssen eine technische Dokumentation erstellen, die zeigt, dass das Produkt die Anforderungen des CRA erfüllt. Dazu gehört auch eine EU-Konformitätserklärung, die bestätigt, dass das Produkt sicher ist.

CE-Kennzeichnung:

Produkte, die unter den Cyber Resilience Act fallen, müssen mit einer CE-Kennzeichnung versehen werden, um ihre Konformität mit den EU-Vorschriften zu dokumentieren. Es gibt unterschiedliche Konformitätsbewertungsverfahren je nach Risikoeinstufung des Produkts (Klasse I und II).

Meldung von Schwachstellen:

Hersteller müssen aktiv ausgenutzte Schwachstellen oder Sicherheitsvorfälle innerhalb von 24 Stunden an die Agentur der Europäischen Union für Cybersicherheit (ENISA) melden.

Zusammenarbeit mit Marktüberwachungsbehörden:

Hersteller sind verpflichtet, den Behörden bei der Überwachung der Cybersicherheit ihrer Produkte zu unterstützen, zum Beispiel durch Bereitstellung technischer Informationen oder Proben.

Der Cyber Resilience Act sieht keine generellen Ausnahmen für kleine und mittlere Unternehmen (KMU) vor. Alle Unternehmen, unabhängig von ihrer Größe, müssen die festgelegten Cybersicherheitsanforderungen erfüllen. Allerdings bietet der CRA spezifische Unterstützungsmaßnahmen für KMU und Start-ups, um die Umsetzung zu erleichtern:

• Vereinfachte technische Dokumentationen
• Reduzierte Kosten für Konformitätsbewertungen
• Spezielle Schulungs- und Sensibilisierungsmaßnahmen
• Leitlinien zur Umsetzung
• Helpdesks für Meldepflichten
• Einrichtung von Regulatory Sandboxes zur Überprüfung von Produkten

Die Einhaltung des Cyber Resilience Act wird durch eine Kombination aus Marktüberwachung, Meldepflichten und Konformitätsbewertungsverfahren geprüft:

Marktüberwachung: 

Nationale Behörden führen Kontrollen durch, um die Einhaltung der Cybersicherheitsanforderungen zu überprüfen.

Konformitätsbewertung: 

Hersteller müssen vor der Markteinführung eine Konformitätsbewertung durchführen und die CE-Kennzeichnung anbringen. Für bestimmte Produkte kann eine unabhängige Prüfstelle erforderlich sein.

Meldepflichten: 

Hersteller müssen Schwachstellen und Sicherheitsvorfälle zeitnah an die zuständigen Behörden melden.

Regulatory Sandboxes: 

Testumgebungen, die insbesondere Start-ups und KMU die Möglichkeit bieten, die Einhaltung des CRA zu überprüfen.

Kooperation mit Behörden: 

Hersteller können zur Bereitstellung zusätzlicher Informationen oder Durchführung weiterer Tests aufgefordert werden.