Der Cyber Resilience Act ist die erste europäische Verordnung, die ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte festlegt, die auf dem EU-Markt erhältlich sind - etwas, das es bisher nicht gab. Ziel ist es, die Cybersicherheit innerhalb der Europäischen Union zu erhöhen. Die neuen Vorschriften gelten in allen EU-Mitgliedstaaten und werden schrittweise umgesetzt.
Diese Produkte fallen unter den CRA
Alle Produkte, die in der EU verkauft werden und „digitale Elemente“ enthalten, müssen den Anforderungen des CRA entsprechen. Das umfasst neben preisgünstigen Verbraucherprodukten auch B2B-Software sowie komplexe High-End-Industriesysteme. „Produkte mit digitalen Elementen“ werden im CRA als Produkte definiert, die mit einem Gerät oder einem Netzwerk verbunden werden können, und umfassen sowohl Hardwareprodukte mit vernetzten Funktionen (z.B. Smartphones, Laptops, Smarthomeprodukte, Smartwatches, vernetztes Spielzeug, aber auch Mikroprozessoren, Firewalls und intelligente Zähler) als auch reine Softwareprodukte (z.B. Buchhaltungssoftware, Computerspiele, mobile Apps). Nicht-kommerzielle Open-Source-Softwareprodukte sind vom CRA ausgenommen und müssen daher die Anforderungen des CRA nicht erfüllen.
Dann geht es los
20 Tage nach der Veröffentlichung im Amtsblatt der EU tritt der CRA in Kraft. Die Umsetzung erfolgt in verschiedenen Etappen, bis Ende 2027. Neu in Verkehr gebrachte Produkte müssen zu diesem Zeitpunkt alle Anforderungen erfüllen.
*KBS = KonformitätsbewertungsstellenQuelle: BSI
Das ist zu tun
Alle Produkte mit digitalen Elementen müssen ein Mindestmaß an Cybersicherheit erfüllen. Das hört sich kompliziert an, baut aber auf der bekannten CE-Kennzeichnung auf. Hersteller, die diese Nachweisprozesse bereits kennen und anwenden, haben hier einen Vorteil.
Cybersicherheit mitdenken
Bereits während der Produktentwicklung sollten die Anforderungen des CRA berücksichtigt werden. Hersteller müssen eine Risikobewertung für ihre Produkte durchführen und eventuelle Cybersicherheitsrisiken adressieren. Nach dem Konzeptionsgrundsatz „secure by design“ müssen vernetzte Produkte im Hinblick auf Cybersicherheit konzipiert werden, z.B. indem sichergestellt wird, dass die mit dem Produkt gespeicherten oder übertragenen Daten verschlüsselt sind und die Angriffsfläche so gering wie möglich ist. Nach dem Konfigurationsgrundsatz „secure by default“ müssen die Standardeinstellungen vernetzter Produkte zur Erhöhung deren Sicherheit beitragen, z.B. durch das Verbot schwacher Standardpasswörter, durch die automatische Installation von Sicherheitsupdates usw. Schon während der Entwicklung sollte die verpflichtende Behandlung von Schwachstellen der Produkte betrachtet werden. Grundlage dafür ist die Integration von Tools zur Erstellung von Software Bill of Materials (SBOM). Eine SBOM ist für Software das Äquivalent zum Zutatenverzeichnis für Lebensmittel. Sie detailliert, welche Bibliotheken und weitere Softwarekomponenten im Produkt benutzt werden. Der CRA schreibt das Erstellen einer SBOM vor, sie muss jedoch nicht veröffentlicht werden.
Anforderungen nachweisen
Eine Konformitätserklärung wird benötigt um nachzuweisen, dass das Produkt alle Anforderungen des CRA erfüllt. Welches Konformitätsbewertungsverfahren in Frage kommt, hängt von der Produktkategorie ab. Bei den meisten Produkten ist dies eine Selbstbewertung des Herstellers, bei wenigen eine Bewertung durch eine notifizierte Drittstelle.
Schwachstellen offen legen
Für den leichten Informationsaustausch zu aktiv ausgenutzten Schwachstellen sowie schwerwiegenden Sicherheitsvorfällen wird eine neue zentrale Meldeplattform etabliert. Diese Schwachstellenmeldungen müssen über die Meldeplattform erfolgen.
Sicher im gesamten Supportzeitraum
Während des gesamten Supportzeitraum müssen für den Endanwender Security Updates zur Verfügung gestellt und das Schwachstellenhandling betrieben werden. Dieser Supportzeitraum muss vom Hersteller kommuniziert werden und beträgt in der Regel fünf Jahre.
Standard, wichtig oder kritisch – das trifft zu!
Die meisten Produkte, für die der CRA relevant ist, sind Standardprodukte. Nur Produkte, die unter dem Gesichtspunkt der Cybersicherheit als sensibler gelten, werden als „wichtige“ oder „kritische“ Produkte bezeichnet und sind in den Anhängen III und IV der Verordnung aufgeführt (z.B. Passwortmanager, Firewalls, Smartcards, intelligente Zähler usw.).
KMU oder Start-Up – was ist mit uns?
Unterstützung für kleine und mittlere Unternehmen, Kleinstunternehmen und Start-Ups ist direkt im CRA vorgesehen. Unter anderem wird es Leitlinien für die Umsetzung geben, werden Helpdesks für die Unterstützung bei den Meldepflichten zur Verfügung stehen, die technische Dokumentation kann sich vereinfachen und es werden Regulatory Sandboxes für die Überprüfung von Produkten mit digitalen Elementen eingerichtet.
So unterstützt das BSI
Um die Anforderungen des CRA greifbarer zu machen, erarbeitet das BSI eine Technische Richtlinie, in der die Anforderungen an Hersteller und Produkte hinsichtlich der Cyberresilienz übersichtlich und konkret beschrieben sind.
In Teil 1 „General Requirements“ werden Leitlinien an Hersteller und Produkte in Anlehnung an die Anforderungen aus Artikeln und Anhängen des CRA zusammengestellt, in Teil 2 „Software Bill of Materials (SBOMs)“ formelle und fachliche Vorgaben für SBOM. Teil 3 „Vulnerability Reports and Notifications“ beschreibt den Umgang mit eingehenden Schwachstellenmeldungen.
Hinweis:
Bitte beachten Sie, dass die hier gegebenen Hinweise nur zu Informationszwecken dienen und nicht als Rechtsberatung gedacht sind. Der Rechtstext des CRA hat Vorrang vor den hier gegebenen Erläuterungen.
FAQ
Der CRA ist eine EU-Verordnung und keine Richtlinie. Anders als die NIS-2-Richtlinie ist er somit direkt in allen EU-Mitgliedstaaten anwendbar, so dass eine nationale Umsetzung nicht erforderlich ist. Es ist jedoch eine Übergangsfrist vorgesehen, damit die Marktteilnehmer genügend Zeit haben, sich auf die neuen Anforderungen vorzubereiten. Der Rechtsakt ist im Oktober 2024 offiziell vom Rat verabschiedet worden. Der endgültige Text wurde am 20. November im Amtsblatt der EU veröffentlicht und tritt 20 Tage später in Kraft. Die Umsetzung des CRA wird in verschiedenen Etappen von Ende 2024 bis 2027 erfolgen, nach folgendem Zeitplan:
11. Juni 2026: Die Konformitätsbewertungsstellen (KBS) sind ermächtigt, die Konformität von Produkten mit den Anforderungen des CRA zu bewerten.
11. September 2026: Die Hersteller von vernetzten Produkten unterliegen der Meldepflicht für Schwachstellen und Vorfälle.
11. Dezember 2027: Alle CRA-Anforderungen gelten, einschließlich der Einhaltung der grundlegenden Cybersicherheitsanforderungen vor dem Inverkehrbringen eines Produkts, der Behandlung von Schwachstellen während des gesamten Lebenszyklus des Produkts und der Transparenz gegenüber den Nutzern.
Mein Produkt:
verwendet digitale Elemente oder ist ein Softwareprodukt
wird ab Ende 2027 neu auf den EU-Markt gebracht
fällt unter keinen der Ausnahmesektoren (Medizinprodukte, Fahrzeuge, In-vitro-Diagnostika, zivile Luftfahrt, Schiffsausrüstung) oder ist ein Produkt im Kontext der nationalen Sicherheit
ist keine kostenfreie Open-Source-Software ohne Gewinnerzielungsabsicht
ist kein Ersatzteil für ein Bestandsprodukt
Dann muss ich muss den CRA anwenden.
Die im CRA vorgesehenen Konformitätsbewertungsverfahren greifen mit Ausnahme der Zertifizierung nach einem europäischen Zertifizierungsschema auf Konformitätsbewertungsmodule zurück, die dem New Legislative Framework (NLF) entnommen sind. Das New Legislative Framework (NLF / neues Konzept für die Produktkonformität in der Europäischen Union) der Europäischen Union (EU) ist ein Regelungssystem, das darauf abzielt, die Harmonisierung und Modernisierung des EU-Binnenmarktes für Waren zu verbessern. Es wurde eingeführt, um die vorherigen Rechtsrahmen zu aktualisieren, insbesondere im Bereich der Konformitätsbewertung von Produkten.
Die NLF-Module legen die Pflichten des Herstellers im Rahmen der Konformitätsbewertung sowie den Grad der Beteiligung der notifizierten Stellen (Konformitätsbewertungsstellen, die dazu berechtigt sind unter dem CRA-Cyber Resilience Act tätig zu sein) fest.
Modul A (Interne Fertigungskontrolle) umfasst die Selbstbewertung, d.h. der Hersteller bewertet ohne Beteiligung einer notifizierten Stelle die Konformität seines Produktes.
Bei Modul B (Baumusterprüfung) bewertet die notifizierte Stelle die Konformität des Produktes (dem sogenannten Muster). Der Hersteller stellt anschließend nach diesem konformen Muster alle weiteren Produkte her (Modul C (interne Fertigungskontrolle)). Der Hersteller muss gewährleisten, dass jedes Produkt dem Muster aus Modul B entspricht. Modul B muss beim CRA immer mit Modul C kombiniert werden.
Bei Modul H (Umfassende Qualitätssicherung) bewertet die notifizierte Stelle die Qualitätssicherung des Herstellers, d.h. die notifizierte Stelle überprüft, ob der Qualitätssicherungsprozess des Herstellers zu Produkten führt, die mit dem CRA konform sind. Sofern dies der Fall ist, kann der Hersteller alle weiteren Produkte nach diesem Prozess herstellen.
Für den CRA gibt es keine neue gesonderte Kennzeichnung. Zukünfitig beeinhaltet das CE-Kennzeichen auch die Cybersicherheitsanforderungen. Der CRA erhöht die Transparenz bezüglich der Produktinformationen. Dies soll den Nutzern dabei helfen, fundierte Kaufentscheidungen zu treffen, d.h. ein geeignetes Produkt nicht allein auf der Grundlage von Preis und Funktionalität auszuwählen, sondern auch auf der Grundlage des Cybersicherheitsniveaus. Da Cybersicherheit im Gegensatz zu klassischer Produktsicherheit weit weniger statisch ist, enden die Vorgaben des CE-Kennzeichens für Hersteller nicht mit der Konformitätsbewertung. Der CRA schreibt darüber hinaus einen Supportzeitraum mit kostenlosen Sicherheitsupdates für Endanwender vor. Während dieser Zeit muss der Hersteller aktives Schwachstellenhandling betreiben. Die Verordnung schreibt vor, dass das Datum des Endes des Supports, d.h. das Datum, bis zu dem sich der Hersteller verpflichtet, Sicherheitsaktualisierungen bereitzustellen, klar angegeben wird.
Eine Software Bill of Materials (SBOM), auf deutsch auch Software-Stückliste genannte, ist quasi die Zutatenliste von Software. Sie kann als Inventarliste von Software verstanden werden und enthält Informationen über die verwendeten Komponenten dieser Software. Bestenfalls liegt sie in einem maschinenverarbeitbaren Format vor. Der Inhalt kann in verschiedener Tiefe und Detaillierung vorliegen. SBOMs sind ein wesentliches Werkzeug, um für mehr Transparenz in der Lieferkette zu sorgen. Der CRA erfordert die Erstellung einer SBOM durch die Hersteller mit dem Ziel, dass sie im Schwachstellenhandling genutzt wird. Die SBOM muss nicht veröffentlicht werden.
Alle aktiv ausgenutzten Schwachstellen und schwerwiegende Sicherheitsvorfälle, die sich auf die Sicherheit von Produkten mit digitalen Elementen auswirken, müssen den Behörden innerhalb von 72 Stunden gemeldet werden. Eine Frühwarnung muss innerhalb von 24 Stunden erfolgen. Diese Verpflichtungen gelten bereits 21 Monate nach Inkrafttreten der Verordnung. Um das Meldeverfahren für die Hersteller zu vereinfachen und einen sicheren und effizienten Datenaustausch zwischen den europäischen Computer Security Incident Response Teams (CSIRTs) und der ENISA zu gewährleisten, sieht der CRA die Einrichtung einer neuen zentralen Meldeplattform vor.
Einerseits enthält der CRA einen einheitlichen Satz von grundlegenden Cybersicherheitsanforderungen, die für alle Produkte mit digitalen Elementen gelten. Er gilt dabei unabhängig davon, ob Produkte billig oder teuer sind, ob sie von einzelnen Verbrauchern oder von anspruchsvollen Geschäftsanwendern genutzt werden. Die Anforderungen an die Meldung von Schwachstellen und die eindeutige Angabe des Endes des Supportzeitraums für das Produkt beispielsweise gelten für alle Arten von Produkten.
Andererseits wird das Verfahren zur Bewertung der Konformität von Produkten mit den CRA-Vorschriften für Standardprodukte und für Produkte, die unter dem Gesichtspunkt der Cybersicherheit als sensibler gelten, unterschiedlich sein. Diese Produkte werden als „wichtige“ oder „kritische“ Produkte bezeichnet. Wichtige Produkte, wie Passwortmanager oder Firewalls, sind im Anhang III gelistet und kritische Produkte, wie Smartcards oder intelligente Zähler, im Anhang IV. Anders als Standardprodukte, die vom Hersteller selbst bewertet werden, müssen sich wichtige und kritische Produkte strengeren Konformitätsbewertungsverfahren unterziehen. Produktkategorien, die in der Klasse 1 des Anhangs III aufgeführt sind, können vom Hersteller nach einer harmonisierten europäischen Norm selbst bewertet werden. Derzeit arbeiten die europäischen Standardisierungsgremien an der Entwicklung der erforderlichen Normen. Produkte der Klasse 1, für die keine harmonisierte europäische Norm zur Verfügung steht, unterliegen einer Konformitätsbewertung durch eine notifizierte Stelle. Die Konformitätsbewertung folgt den Regeln des bestehenden Produktrechtsrahmens (NLF | New Legislative Framework). Für die in Klasse 2 des in Anhang III aufgeführten Produktkategorien ist die Bewertung durch eine notifizierte Stelle verpflichtend. Statt einer solchen kann die Konformität auch durch die Zertifizierung nach einem europäischen Zertifizierungsschema nachgewiesen werden. Voraussetzung ist jedoch, dass alle Produktanforderungen durch das Schema erfasst werden. Für die in Anhang IV gelisteten Produktkategorien ist eine Zertifizierung nach einem europäischen Zertifizierungsschema zwingend vorgeschrieben.
Mit dem IT-Sicherheitskennzeichen können sich Hersteller bereits heute auf die Anforderungen des CRA vorbereiten. Sie stärken damit das Vertrauen in ihre Produkte und positionieren sich als Vorreiter für Cybersicherheit am Markt. Die bestehenden Sicherheitsanforderungen des IT-Sicherheitskennzeichens werden sukzessive auf die Sicherheitsziele des CRA ausgerichtet, sodass Hersteller diese schon jetzt in ihre Produktentwicklung integrieren können. Gemeinsam mit Wirtschaft und Gesellschaft wird das BSI diese Anforderungen im CRA-Kontext (fort-)entwickeln. Das so gewonnene Feedback kann perspektivisch als Orientierung für harmonisierte Standards oder Umsetzungsempfehlungen auf europäischer Ebene eingebracht werden.
Der CRA gilt für alle Hersteller, die Produkte mit digitalen Elementen auf dem EU-Markt in Verkehr bringen, unabhängig davon, ob sie ihren Geschäftssitz innerhalb oder außerhalb der EU haben. So gilt der CRA beispielsweise für einen japanischen Hersteller, der seine Spielekonsolen auf dem EU-Markt verkaufen möchte, genauso wie für einen US-amerikanischen Hersteller, der Antivirenschutzsoftware in der EU verkauft. Darüber hinaus müssen auch Händler und Importeure von verbundenen Produkten die Einhaltung der Vorschriften sicherstellen.
