Mit neuen Vorschriften zur Cybersicherheit will die EU das Sicherheitsniveau für Gegenstände mit digitalen Elementen erhöhen. Wir erläutern die wesentlichen Regelungen des Cyber Resilience Acts sowie die daraus resultierenden Anforderungen für Hersteller und Einzelhändler.
INHALTE

Smartwatches, Fitnesstracker, Bluetooth-Kopfhörer, digitale Assistenten oder Smart Home Geräte – die meisten Gebrauchsgegenstände enthalten eine digitale Komponente. Was oft nicht bekannt ist: Hiermit geht ein Sicherheitsrisiko einher, da viele dieser Produkte ein unzureichendes Cybersicherheitsniveau aufweisen und Schwachstellen nicht durch regelmäßige Updates beseitigt werden. Hinzu kommt: Die Nutzer sind vielfach kaum in der Lage zu beurteilen, ob die Produkte sicher sind, beziehungsweise wie sie eingerichtet werden können, um die Cybersicherheit zu optimieren.

Hier soll der Cyber Resilience Act (CRA) Abhilfe schaffen. Das EU-Gesetz soll in diesem Jahr in Kraft treten. Es zielt als produktbezogene Cybersicherheitsregulierung darauf ab, Verbraucher und Unternehmen durch harmonisierte Vorschriften für die Markteinführung von Produkten mit einer digitalen Komponente zu schützen. Der CRA gilt für nahezu alle Produkte, die direkt oder indirekt mit einem anderen Gerät verbunden sind oder in einer vernetzten Umgebung zum Einsatz kommen. Neben den Herstellern werden – wenn auch in unterschiedlichem Umfang – Importeuren und Händlern vernetzter Produkte mit digitalen Komponenten verbindliche Cybersicherheitsanforderungen auferlegt.

Betroffene müssen zahlreiche Pflichten erfüllen

Die Hersteller der entsprechenden Gegenstände bleiben über den gesamten Lebenszyklus für solche Produkte verantwortlich und haben zahlreiche (Sorgfalts-) Pflichten zu erfüllen:

  • Die Cybersicherheitsanforderungen des CRA sind bei der Planung, Gestaltung, Entwicklung und Wartung solcher Produkte und somit auf jeder Stufe der Wertschöpfungskette zu erfüllen.

  • Für die voraussichtliche Nutzungsdauer der Produkte (Lebenszyklus) sind Support und Sicherheitsupdates bereitzustellen.

  • Es wird ein Konformitätsbewertungsverfahren vorgesehen, um nachzuweisen, dass die für ein Produkt festgelegten Anforderungen eingehalten werden. In Abhängigkeit zum Risikoniveau des betreffenden Produkts kann dies durch eine Selbstbewertung oder eine Konformitätsbewertung durch Dritte erfolgen.

  • Sofern das Produkt mit den geltenden Anforderungen in Einklang steht, können Hersteller die EU-Konformitätserklärung ausstellen und eine CE-Kennzeichnung anbringen.

  • Kunden sind überdies aktuelle Informationen und Anleitungen bereitzustellen, mit denen Hersteller im Hinblick auf Cybersicherheitsaspekte transparent und angemessen informieren müssen.

  • Neben den produktbezogenen Anforderungen gelten Meldepflichten bei Cybersicherheitsvorfällen, da bei ausgenutzten Schwachstellen und schwerwiegenden Cybersicherheitsvorfällen Hersteller innerhalb von 24 Stunden nach Kenntniserlangung von einem Vorfall eine Frühwarnung über eine Meldeplattform abgeben sollen.

Der Pflichtenkatalog des CRA erfordert, dass Hersteller interne Prozesse und Strukturen für ein effizientes Schwachstellenmanagement etablieren, die die fortlaufende Identifikation und Behebung von Sicherheitslücken während des gesamten Lebenszyklus des Produkts ermöglichen.

Hersteller und Händler sollten Umsetzungsfrist nutzen

Der CRA soll noch in diesem Jahr in Kraft treten und löst insbesondere für Hersteller Handlungsbedarf aus. Zwar wird voraussichtlich eine Übergangsfrist von drei Jahren vorgesehen, sodass die Cybersicherheitsanforderungen wohl erst ab Ende 2027 für dann in den Verkehr kommende Produkte gelten. Dennoch sollten Hersteller diese Umsetzungsfrist im Rahmen ihrer Produktentwicklungsprozesse und zur Ausarbeitung entsprechender technischer Spezifikationen effektiv nutzen. Denn die Umsetzung des im CRA vorgesehenen umfangreichen Pflichtenkatalogs dürfte auf Seiten der Hersteller einen erheblichen Aufwand auslösen. Parallel beabsichtigt die Europäische Kommission einen Normungsauftrag zu erteilen, damit europäische Normungsorganisationen technische Normen für viele der Produktkategorien entwickeln, die unter den CRA fallen. Diese Prozesse sollten Hersteller ebenfalls genau verfolgen, da dies ihnen die Anwendung der grundlegenden Anforderungen erleichtern könnte.

Lesen Sie dazu auch 

NIS-2 stellt deutschen Mittelstand vor neue Herausforderungen

Sie haben Fragen zum CRA oder generell zur Cyber Sicherheit in Ihrem Unternehmen? 
Sprechen Sie uns gerne an, wir unterstützen Sie mit einem umfangreichen Leistungsspektrum!

Nähere Informationen zu unserem Angebot rund um das Thema Cyber Security für mittelständische Unternehmen finden Sie auch hier:

Cyber Security & IT Security Deutschland | Beratung & News | Grant Thornton