PenetrationstestJan Kahmen5 min Lesezeit

Cyber Resilience Act (CRA): Mehr Schutz für vernetzte Geräte

Der Cyber Resilience Act (CRA) zielt darauf ab, Hersteller von vernetzten Geräten dazu zu verpflichten, für eine angemessene Sicherheit ihrer Produkte zu sorgen.

Inhaltsverzeichnis

Der Cyber Resilience Act (CRA) zielt darauf ab, Hersteller von vernetzten Geräten dazu zu verpflichten, für eine angemessene Sicherheit ihrer Produkte zu sorgen. Konkret bedeutet das, dass alle Geräte, die für den europäischen Markt produziert und verkauft werden, mit dem CE-Zeichen versehen werden müssen. Dieses Zeichen garantiert, dass das Gerät den EU-weiten Sicherheitsanforderungen entspricht.

Damit sollen künftig Angriffe auf vernetzte Produkte verhindert oder zumindest erschwert werden. Denn in der Vergangenheit gab es immer wieder Fälle, in denen Hacker Sicherheitslücken in vernetzten Geräten ausgenutzt haben, um in private Netzwerke einzudringen oder sensible Daten zu stehlen.

Um die Einhaltung der neuen Regelungen zu überprüfen, sind die Mitgliedstaaten verpflichtet, nationale Behörden einzurichten, die für die Überwachung und Durchsetzung des Cyber Resilience Act zuständig sind. Unternehmen, die sich nicht an die Vorschriften halten, müssen mit empfindlichen Strafen rechnen.

Der Beschluss des EU-Rats wird von Datenschützern und Verbraucherschützern begrüßt. Sie sehen darin einen wichtigen Schritt in Richtung mehr Sicherheit im digitalen Raum. Auch Branchenverbände, wie zum Beispiel der Verband der Internetwirtschaft eco, äußerten Zustimmung zu den neuen Regelungen.

Allerdings gibt es auch kritische Stimmen. Anhänger der freien Marktwirtschaft bemängeln, dass der Cyber Resilience Act zu stark in die unternehmerische Freiheit eingreife und die Herstellung und den Verkauf von vernetzten Geräten erschwere.

Der Cyber Resilience Act stellt jedoch einen wichtigen Schritt in Richtung eines sicheren und verlässlichen digitalen Marktes dar. Denn nur durch einheitliche Sicherheitsstandards und strengere Vorschriften können wir uns effektiv gegen Cyberangriffe schützen. Und auch für die Verbraucherinnen und Verbraucher bedeutet dies eine höhere Sicherheit im Umgang mit vernetzten Geräten.

Neue Cyber-Sicherheits-Verordnung: Gültig in 3 Jahren

Vor kurzem wurde eine neue Verordnung im Amtsblatt veröffentlicht, die vielfältige Auswirkungen auf den Markt haben wird. Denn 20 Tage nach der Veröffentlichung tritt die Verordnung in Kraft. Doch es gibt eine Übergangsfrist von drei Jahren, bevor alle auf dem Markt erhältlichen Produkte die neuen Cyber-Sicherheitsanforderungen erfüllen müssen. Bis spätestens November 2027 müssen alle Produkte mit einem CE-Kennzeichen dokumentieren, dass sie den Vorschriften entsprechen. Aber schon in 21 Monaten gelten andere Verpflichtungen, wie zum Beispiel die Meldepflicht für ausgenutzte IT-Schwachstellen.

Die Verordnung zielt darauf ab, Verbrauchern und Unternehmen mehr Sicherheit im Umgang mit vernetzten Geräten zu geben. Denn künftig wird das vertraute CE-Kennzeichen auch für Cybersicherheit stehen.

Wichtige Aspekte des CRA

  • Cybersicherheit von Anfang an: Hersteller müssen bereits in der Entwicklungsphase ihre Produkte auf mögliche Sicherheitsrisiken hin überprüfen und diese minimieren.
  • Secure by Design und Secure by Default: Produkte sollen so konzipiert sein, dass sie von Grund auf sicher sind und standardmäßig sichere Einstellungen haben.
  • Software Bill of Materials (SBOM): Hersteller müssen eine detaillierte Auflistung der in ihren Produkten verwendeten Softwarekomponenten erstellen.
  • Konformitätserklärung: Hersteller müssen nachweisen, dass ihre Produkte alle Anforderungen des CRA erfüllen.
  • Meldepflicht für Schwachstellen: Hersteller müssen schwerwiegende Sicherheitslücken über eine zentrale Plattform melden.
  • Längerer Supportzeitraum: Hersteller müssen für ihre Produkte über einen Zeitraum von mindestens fünf Jahren Sicherheitsupdates bereitstellen.

Im Fokus steht dabei die Sicherheit von Produkten mit digitalen Elementen und einer Datenverbindung. Hersteller werden dazu angehalten, diese im Einklang mit den grundlegenden Anforderungen zur Cybersicherheit zu entwickeln und zu konzipieren. Haushaltsgeräte, Computer-Hardware, Unterhaltungselektronik, Software und Cloud-Lösungen gehören zu dem breiten Portfolio, welches davon betroffen ist.

Verpflichtende Maßnahmen: Neue Regeln für Hersteller und Handel

Ab sofort sind Hersteller, Importeure und der Handel gesetzlich verpflichtet, für die Sicherheit ihrer Produkte zu sorgen. Auch Produkte mit dem gängigen CE-Kennzeichen müssen in Zukunft gegen mögliche IT-Angriffe geschützt sein. Eine zentrale Meldestelle soll über potenzielle Mittel- und Vorfälle informiert werden und regelmäßige Sicherheitsupdates müssen angeboten werden.

Das europäische Technikrecht setzt damit den Grundsatz "Security by Design" um. Das heißt, die Verantwortung für die Cybersicherheit der Produkte und Anwendungen liegt von Beginn an beim Hersteller und muss über den gesamten Lebenszyklus hinweg übernommen werden.

Der CRA muss nicht von den Mitgliedsstaaten in nationales Recht umgesetzt werden. Bereits im März hat das Parlament dem Rat seine Zustimmung gegeben.

Quellen

EU-Rat bringt Cyber Resilience Act auf den Weg - Heise

EU Cyber Resilience Act - EU

Cyber Resilience Act - BSI

Kontakt

Neugierig? Überzeugt? Interessiert?

Vereinbaren Sie ein unverbindliches Erstgespräch mit einem unserer Vertriebsmitarbeiter. Nutzen Sie den folgenden Link, um einen Termin auszuwählen:

Termin vereinbaren