2. April 2024
Cyber Resilience Act
Dieser Artikel wurde zuerst im Fachmagazin IT-Welt.at am 28.03.2024 publiziert.
Laut Agentur der Europäischen Union für Cybersicherheit wurden zwischen Mai 2021 und Juni 2022 in der EU, UK und USA 10 TB an Daten pro Monat gestohlen. In der Studie waren nur gemeldete Vorfälle berücksichtigt – die Spitze des Eisbergs also.
Um die Cybersicherheit entlang der Lieferkette künftig sicherzustellen, wurde im Europäischen Parlament am 12. März 2024 der Cyber Resilience Act (CRA) angenommen. Damit das erste europaweite Gesetz zu Cybersicherheit in Kraft treten kann, bedarf es nur noch der Billigung des Rats. Der CRA wird neue Verpflichtungen für Hersteller, Importeure und Vertreiber mit sich bringen. Er gilt für sämtliche vernetzte Hardware- und Softwareprodukte sowie ihre Datenverarbeitungslösungen. Die erfassten Produkte werden in normale (z. B. smarte Alltagsgeräte), wichtige (z. B. Passwortmanager, gewisse Smart-Home-Geräte) und kritische (etwa Smartkarten oder bestimmte Smart-Meter-Schnittstellen) unterteilt. Für die letzten zwei sind erhöhte Anforderungen zu erfüllen.
Hersteller haben die Cybersicherheit bereits bei Entwicklung und Gestaltung der Produkte zu berücksichtigen. Cyberrisiken sind zu bewerten, dokumentieren und in die technische Dokumentation aufzunehmen. Im Falle eines Bezugs von Komponenten von Dritten, sowie von Open-Source-Komponenten müssen die Hersteller eine Due Diligence durchführen, um das Produkt durch deren Einbau nicht zu gefährden.
Im Zusammenhang mit festgestellten Schwachstellen werden Melde- und Dokumentationspflichten eingeführt. Im Rahmen der Dokumentationspflichten haben die Hersteller künftig auch die sog. Software Bill of Materials, also eine Gesamtliste an verwendeten Softwarekomponenten, zu führen. Zudem werden die Hersteller verpflichtet, für die gesamte Lebensdauer des Produkts bzw. für mindestens fünf Jahre, Sicherheitsupdates bereitzustellen.
Zum Nachweis der Compliance mit dem CRA ist ein Konformitätsverfahren durchzuführen oder durch Dritte durchführen zu lassen. Die Konformität des Produkts wird über die CE-Kennzeichnung bestätigt. Für Importeure gilt, dass diese nur solche Produkte in die EU einführen dürfen, die den Sicherheitsanforderungen des CRA entsprechen. Hierüber müssen sich auch die Distributoren beim Vertrieb der betroffenen Produkte vergewissern.
Nach Inkrafttreten des CRA müssen die Unternehmen die Vorgaben binnen 36 Monaten umsetzen. Die Einhaltung soll durch entsprechende Marktüberwachungsmechanismen, sowie sog. Market Sweeps sichergestellt werden. Nichteinhaltung kann Geldbußen von bis zu 15 Mio. EUR oder bis zu 2,5 Prozent Jahresumsatz zur Folge haben. Somit sollten die Unternehmen schon frühzeitig prüfen, ob sie von den Vorgaben betroffen sind und allenfalls entsprechende interne Mechanismen einführen.
