Der kürzlich beschlossene Cyber Resilience Act (CRA) ist die erste EU-Verordnung, die ein Mindestmaß an Cybersicherheit für vernetzte Produkte auf dem europäischen Markt festlegt. Ziel des Gesetzes ist es, die Cybersicherheit in der Europäischen Union zu erhöhen. Der Beitrag stellt kurz die von der EU-Kommission vorgeschlagenen Inhalte des CRA vor.
Der Inhalt im Überblick
Welche Produkte umfasst der Cyber Resilience Act?
Der Cyber Resilience Act umfasst alle Produkte, die digitale Elemente enthalten. Darunter fallen solche, die mit einem Gerät oder Netzwerk verbunden werden können, also z.B. vernetzbare Hardware (z.B. Smartphones, Laptops, Smarthome-Produkte, Smartwatches) aber auch vernetzbare Software (z.B. Computerspiele, Apps, KI-Systeme). Als Faustformel kann gelten: Sobald ein Gerät mit anderen Geräten kommuniziert, fällt es in den Anwendungsbereich des CRA.
Welche Produktanforderungen setzt der CRA?
Hinsichtlich der Anforderungen an die Cybersicherheit unterscheidet der CRA zwischen allgemeinen und kritischen Produkten mit digitalen Elementen. Allgemeine Produkte mit digitalen Elementen müssen so konzipiert, entwickelt und hergestellt werden, dass sie ein angemessenes Niveau an Cybersicherheit gewährleisten. Sie müssen beispielsweise
- keine bekannten Schwachstellen haben,
- sicher konfiguriert sein oder konfiguriert werden können
- automatisch kostenlose Sicherheitsupdates zulassen.
Darüber hinaus sollen sie:
- Schutz vor unbefugtem Zugriff bieten,
- die Vertraulichkeit und Integrität der Daten wahren,
- nicht mehr Daten als nötig verarbeiten und
- die Kernfunktionalität des Produkts auch nach Unterbrechungen gewährleisten.
Für kritische Produkte soll die EU-Kommission weitere, strengere, Regelungen vorsehen. Solche Produkte können sein:
- Hard- und Software zur Administration von Prozessen, Ressourcen, und Berechtigungen und
- Hard- und Software die (sensible?) personenbezogene Daten verarbeiten.
In einem Anhang expliziert der CRA näher, welche Produkte mit digitalen Elementen als kritisch gelten. Das können sein:
- Firewall Software,
- physische Netzschnittstellen.
- Router und Modems für die Internetanbindung,
- Mikroprozessoren und
- Mikrocontroller.
Je nach Kritikalität müssen die Produkte auch ein mehr oder weniger strenges Verfahren zur Bewertung der Konformität mit den Anforderungen des Cyber Resilience Act durch den Hersteller durchlaufen. Fällt die Bewertung positiv aus, wird das Produkt mit der CE-Kennzeichnung versehen, mit der der Hersteller die Verantwortung für die Konformität des Produkts übernimmt.
Für wen gilt der Cyber Resilience Act?
Von seiner Konzeption her soll der CRA für alle Wirtschaftsakteure der Wertschöpfungskette gelten. Als solche werden der Hersteller, der Importeur und der Händler genannt. Darüber hinaus sollen als Hersteller auch solche Marktakteure gelten, die, ohne Hersteller zu sein, eine wesentliche Veränderung am Produkt mit digitalen Elementen vornehmen.
Wann tritt der Cyber-Resilience Act in Kraft?
Der Cyber Resilience Act tritt 20 Tage nach der Veröffentlichung des Textes im Amtsblatt der EU in Kraft. Danach werden die Regelungen des CRA entweder nach 12 Monaten oder nach 24 Monaten verbindlich. Nach 12 Monaten sind die Hersteller verpflichtet, der European Union Agency for Cybersecurity (ENISA) jede ihnen bekannt gewordene Ausnutzung einer Schwachstelle in ihrem Produkt zu melden. Nach 24 Monaten werden alle Bestimmungen des Cyber Resilience Acts verbindlich.
Der CRA – Höhere Cybersicherheit oder nur Komplexität?
Was der Cyber Resilience Act auf jeden Fall bringt, ist ein erhöhtes Maß an Komplexität im Dschungel des europäischen Daten- und Technikrechts. Inwieweit dies durch eine nachweisbare Erhöhung der Cybersicherheit vernetzter Produkte und damit einer Verringerung erfolgreicher Cyberangriffe legitimiert werden kann, wird sich zeigen. Hoffen wir, dass der CRA diesen Effekt hat, denn sonst ist der Rechtsakt das Papier nicht wert, auf dem er steht, und schafft nur ein weiteres Bürokratiemonster, für das die EU so oft kritisiert wird.
Vielen Dank für die sehr verständliche Zusammenfassung. Was die Fragedtellung am Ende angeht neige ich zum Pessimismus. Was Europa gerade alles auf die Wirtschsftsakteure wirft ist für den Mittelstand kaum zuüberschauen und gar nicht zu bewältigen. NIS2, CRA, Data Act, AI Act, Mut zur Lücke an der richtigen Stelle ist gefragt.