Bildnachweis: Anderson Piza

‍

Am 11.12.2024 ist die neue Verordnung (EU) 2024/2847, auch bekannt als Cyber Resilience Act (kurz CRA), in Kraft getreten. Der Cyber Resilience Act findet ab 2027 Anwendung. Ziel dieser Vorschrift ist es, Cybersicherheitslücken bei Produkten mit digitalen Elementen zu schließen.

Neue Sicherheitsstandard gelten bei den betroffenen digitalen Produkten in sämtlichen Phasen, also bereits bei der Entwicklung und während der Produktion sowie während des Inverkehrbringens und der Nutzung.

Damit ist der CRA die erste europäische Verordnung, die ein Mindestmaß an Cybersicherheit für digitale Produkte festlegt, die auf dem EU-Markt erhältlich sind. Spätestens bis Dezember 2027 müssen betroffene Unternehmen sämtliche Anforderungen des CRA erfüllen. Dann endet nämlich die Übergangsfrist.

Ablauf der Umsetzung

Das Bundesamt für Sicherheit und Informationstechnik (BSI) hat folgende Stufen der Umsetzung angekündigt:

- Juni 2026: Konformitätsbewertungsstellen können die Erfüllung der Anforderungen des CRA bewerten.

- September 2026: Die Meldepflicht für Schwachstellen und weitere Sicherheitsvorfälle beginnt.

- 11. Dezember 2027: Sämtliche Anforderungen des CRA bei neuen Produkten müssen eingehalten werden.

Wer ist betroffen?

Der CRA betrifft alle Hersteller, die Produkte mit digitalen Elementen in der EU vertreiben, unabhängig davon, ob sie innerhalb oder außerhalb der EU ansässig sind. Auch Händler und Importeure sind dazu verpflichtet, die Einhaltung der Vorschriften sicherstellen.

Laut BSI müssen alle in der EU verkauften Produkte mit digitalen Elementen den Anforderungen des CRA entsprechen. Das betrifft nicht nur Verbraucherprodukte, sondern auch B2B-Software sowie komplexe High-End-Industriesysteme.

Produkte mit digitalen Elementen sind in drei Kritikalitätsstufen einzuordnen. Unter „nicht kritische Produkte mit digitalen Elementen“ versteht der CRA sowohl Festplatten als auch PC-Spiele. „Kritische Produkte mit digitalen Elementen Klasse I“ sind beispielsweise Passwort-Manager, dahingegen sind kritische Produkte mit digitalen Elementen Klasse II beispielsweise Chipkarten, Chipkartenleser oder Router. Die dritte Stufe betrifft hochkritische Produkte. Bislang wurde kein Produkt als hochkritisches Produkt mit digitalen Elementen kategorisiert.

Das ist zu berücksichtigen:

Wie bereits erwähnt, müssen alle Produkte mit digitalen Elementen ein Mindestmaß an Cybersicherheit erfüllen. Die folgenden Maßnahmen des BSI zeigen, wie diese neuen Anforderungen in die Produktentwicklung integriert werden müssen.

1. Cybersicherheit von Anfang an mitdenken

Bereits in der Produktentwicklung müssen Hersteller Cybersicherheitsanforderungen berücksichtigen. Dazu gehört eine umfassende Risikobewertung, um potenzielle Sicherheitsrisiken frühzeitig zu identifizieren und zu minimieren.

Secure by Design: Nach diesem Konzeptionsgrundsatz müssen vernetzte Produkte von Grund auf sicher konzipiert sein, beispielsweise durch Datenverschlüsselung und eine möglichst geringe Angriffsfläche.

Secure by Default: Nach diesem Konfigurationsgrundsatz „secure by default“ sollen die Standardeinstellungen von Produkten zur Sicherheit beitragen, etwa durch das Verbot schwacher Standardpasswörter oder die automatische Installation von Sicherheitsupdates.  

Schon während der Entwicklung müssen Maßnahmen zur Erkennung und Behebung von Schwachstellen eingeplant werden. Eine zentrale Rolle spielt dabei die Einführung der Software Bill of Materials (SBOM). Diese dient als Verzeichnis aller verwendeten Softwarekomponenten und Bibliotheken, ähnlich wie eine Zutatenliste für Lebensmittel. Der CRA schreibt die Erstellung einer SBOM vor, allerdings ohne Veröffentlichungspflicht.

2. Schwachstellenmanagement und Sicherheitsupdates

Hersteller sind zudem verpflichtet, während des gesamten Produktlebenszyklus Sicherheitsupdates bereitzustellen und Schwachstellen aktiv zu managen. Der Supportzeitraum beträgt in der Regel fünf Jahre.

3. Nachweis der Einhaltung

Unternehmen müssen eine Konformitätserklärung abgeben, um zu belegen, dass ihre Produkte den CRA-Anforderungen entsprechen. Die Art der Konformitätsbewertung hängt von der Produktkategorie ab. In den meisten Fällen genügt eine Selbstbewertung des Herstellers, in einigen Fällen ist jedoch eine Überprüfung durch eine unabhängige Stelle erforderlich.

4. Sicherheitsfälle mit Hilfe einer Meldeplattform melden

Eine neue zentrale Meldeplattform wird eingerichtet, über die aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle gemeldet werden müssen. Dies soll den Austausch von Informationen zwischen Herstellern, Behörden und anderen Akteuren erleichtern.

Fazit

Der Cyber Resilience Act stellt einen Fortschritt in der europäischen Cybersicherheitsstrategie dar. Durch verpflichtende Sicherheitsmaßnahmen für digitale Produkte wird das Risiko von Cyberangriffen reduziert und der Schutz von Verbrauchern sowie Unternehmen erhöht. Hersteller sollten frühzeitig beginnen, die neuen Vorgaben in ihre Entwicklungsprozesse zu integrieren, um bis 2027 vollständig compliant zu sein.

Wenn Sie mehr zum Cyber Resilience Act und zur Sicherheit digitaler Produkte erfahren wollen, melden Sie sich über das Kontaktformular beim CISO-Beratungsteam für IT-Sicherheit.

‍