Bera­tung und Umset­zung des Cyber Resi­li­ence Act (CRA)

Die Ver­ord­nung soll

• sicher­stel­len, dass Pro­duk­te mit digi­ta­len Ele­men­ten, die in der EU in Ver­kehr gebracht wer­den, weni­ger Schwach­stel­len aufweisen,
• sicher­stel­len, dass die Her­stel­ler wäh­rend des gesam­ten Lebens­zy­klus eines Pro­dukts für die Cyber­si­cher­heit ver­ant­wort­lich bleiben,
• die Trans­pa­renz in Bezug auf die Sicher­heit von Hard­ware- und Soft­ware­pro­duk­ten ver­bes­sern und
• bes­se­ren Schutz für gewerb­li­che Nut­zer und Ver­brau­cher gewährleisten.

Der Cyber Resi­li­ence Act ergänzt die NIS2-Gesetz­ge­bung, die Cyber­si­cher­heits­an­for­de­run­gen ein­schließ­lich Sicher­heits­maß­nah­men in der Lie­fer­ket­te, und Pflich­ten zur Mel­dung von Sicher­heits­vor­fäl­len für wesent­li­che und wich­ti­ge Ein­rich­tun­gen fest­ge­legt, um die Resi­li­enz der von ihnen erbrach­ten Diens­te zu erhöhen.

Der CRA gilt für alle Pro­duk­te mit digi­ta­len Ele­men­ten, die in Euro­pa auf den Markt gebracht wer­den. Betrof­fen sind Pro­duk­te mit digi­ta­len Bestand­tei­len, die dar­auf aus­ge­legt sind, eine direk­te oder indi­rek­te Daten­ver­bin­dung mit ande­ren Gerä­ten oder Netz­wer­ken her­zu­stel­len. Dies kann sowohl Soft­ware als auch Hard­ware umfas­sen, wobei es um die grund­le­gen­den Fähig­keit eines Pro­dukts zur Kom­mu­ni­ka­ti­on mit ande­ren Pro­duk­ten oder Kom­po­nen­ten geht.

Die Rege­lun­gen betref­fen daher Unter­neh­men, die die­se Pro­duk­te her­stel­len. Dar­über hin­aus gibt es Ver­pflich­tun­gen für Händ­ler und Einführer.

Es gibt kei­ne grö­ßen­ab­hän­gi­gen Aus­nah­men. Der CRA ist grund­sätz­lich für alle Bran­chen relevant.

Eini­ge Sek­to­ren sind jedoch ausgeschlossen:

• Pro­duk­te mit digi­ta­len Ele­men­ten, die von öffent­li­chen Behör­den bereit­ge­stellt wer­den, oder für natio­na­le Sicher­heit oder Verteidigung
• In-vitro-Dia­gnos­ti­ka und ande­re medi­zi­ni­sche Gerä­te mit bereits bestehen­den Regelungen
• Fahr­zeu­ge, Flug­sys­te­me und Berei­che für die bereits Rege­lun­gen mit gleich­wer­ti­gen Anfor­de­run­gen bestehen

Der CRA sieht in Abhän­gig­keit von der Klas­si­fi­zie­rung der Pro­duk­te ab unter­schied­li­che Anfor­de­run­gen bzw. Cyber­se­cu­ri­ty­maß­nah­men vor.

Klas­si­fi­zie­rung

• nicht kri­ti­sche Pro­duk­te mit digi­ta­len Ele­men­ten, zum Bei­spiel Fest­plat­ten, PC-Spiele,
• wich­ti­ge Pro­duk­te mit digi­ta­len Ele­men­ten Klas­se I, zum Bei­spiel  Brow­ser, Pass­wort-Mana­ger, Rou­ter, Baby­über­wa­chungs­sys­te­me, Sicher­heits­ka­me­ras) und Klas­se II (zum Bei­spiel Fire­walls, Hyper­vi­so­ren zur vir­tua­li­sier­ten Aus­füh­rung von Betriebssystemen,
• hoch­kri­ti­sche Pro­dukte mit digi­ta­len Ele­men­ten, zum Bei­spiel Smart­me­ter, Chip­kar­ten, Kryptosysteme

Ein Groß­teil (cir­ca 90 Pro­zent der Erzeug­nis­se) fällt in die Grup­pe der nicht kri­ti­schen Produkte.

Die Kon­for­mi­tät wird am Pro­dukt mit dem “CE-Kenn­zei­chen” dokumentiert.

Her­stel­ler müs­sen Sicher­heits­lü­cken über den gesam­ten Pro­dukt­le­bens­zy­klus, maxi­mal jedoch über fünf Jah­re, schließen.

Nut­zer müs­sen über beho­be­ne Schwach­stel­len und über Cyber­si­cher­heits­vor­fäl­le infor­miert werden.

Her­stel­ler müs­sen Cyber­si­cher­heits­vor­fäl­le sowie jede aktiv aus­ge­nutz­te Schwach­stel­le inner­halb von 24 Stun­den der Euro­päi­schen Agen­tur für Cyber­si­cher­heit (ENISA) melden.

Her­stel­ler und Ver­trei­ber von kri­ti­schen Pro­duk­ten müs­sen stren­ge­re Anfor­de­run­gen erfül­len, bei­spiels­wei­se bei der Kon­for­mi­täts­be­wer­tung, die auf Basis har­mo­ni­sier­ter EU-Stan­dards erfol­gen soll.