Cyber Resilience Act

Mit dem Cyber Resilience Act (CRA) regelt die EU die Cyber-Sicherheit von Produkten, die eine direkte oder indirekte Verbindung zu einem Netzwerk oder einem netzwerkfähigen Gerät haben.

Die Anforderungen des CRA muss ein Produkt mit digitalen Elementen von der Entwicklung bis zur Entsorgung erfüllen. Die Vergabe des CE-Kennzeichens ist künftig an die Erfüllung der Anforderungen des CRA geknüpft.
Die EU hat einen straffen Zeitrahmen für Einführung und Umsetzung dieser Vorschriften vorgegeben:
– Ab September 2026 besteht eine Meldepflicht für Schwachstellen und Sicherheitsvorfälle
– Ab Dezember 2027 müssen alle Anforderungen des CRA umgesetzt und erfüllt werden
Bei Nichtbeachten der Regelungen des CRA drohen empfindliche Geldbußen.
Für Kleinstunternehmen, kleine und mittlere Unternehmen, sowie für Start-Ups soll es gem. Artikel 33 Schulungs- und Begleitmaßnahmen geben – https://cyber-resilience-act.de/cra/kapitel-3/artikel-33-2/. Auch bieten verschiedene Unternehmen, die IHK oder das BSI  Unterstützung bei der Umsetz-ung der CRA an – https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Cyber_Resilience_Act/cyber_resilience_act_node.html.
Hersteller und Händler müssen betroffene Produkte klassifizieren und eine Konformitätserklärung abgeben. Dieses Zertifikat kann entweder selbst, oder aber durch eine „beauftragte Stelle“ erstellt werden. „Beauftragte Stelle“ ist hierbei jeder sachverständige Berater, der fachlich in der Lage ist, eine Risikobeurteilung vorzunehmen (z.B. Prüforganisationen wie TÜV etc.).
Entscheidend für die Klassifizierung sowie die Prüfung und Zertifizierung der Konformität ist die Einstufung der Produkte in eine der gemäß Anhang III zum CRA mit Nennung der jeweiligen Produkte aufgeführten Risikoklassen:
– Produkte mit digitalen Elementen
– Wichtige Produkte Klasse I
– Wichtige Produkte Klasse II
– Kritische Produkte

https://cyber-resilience-act.de/anhaenge/anhang-iii/

Schon bei der Produktentwicklung sind durch die Hersteller im Rahmen der Risikobewertung eventuelle Cyber-Sicherheitsrisiken zu erkennen und zu beheben. Gemäß dem Grundsatz „secure by design“ müssen vernetzte Produkte unter Berücksichtigung der Anforderungen an die Cyber-Sicherheit entwickelt werden.
Mit dem Produkt gespeicherte oder übertragene Daten müssen verschlüsselt und so wenig wie möglich angreifbar sein. Die Standardeinstellungen vernetzter Produkte müssen zur Erhöhung deren Sicherheit beitragen. Diese Anforderung kann z.B. durch zwingend starke Standardpasswörter oder durch automatisches Installieren von (für den Nutzer kostenlosen) Sicherheitsupdates erfüllt werden. Schon während der Entwicklung der Produkte müssen Schwachstellen verpflichtend behandelt werden. Tools zur Erstellung von Software Bill of Materials (SBOM) müssen daher integriert sein. Eine SBOM umfasst detailliert alle Bibliotheken und weitere Softwarekomponenten, die im Produkt implementiert sind. Der CRA verpflichtet zum Erstellen einer SBOM. Sie muss vom jeweiligen Hersteller vorgehalten werden.
Um richtig handeln zu können, sollten betroffene Unternehmen so früh wie möglich klären, wer im Unternehmen für die Cyber-Sicherheit zuständig ist. Denn der Prozess, den der CRA vorschreibt, bindet personelle und finanzielle Ressourcen.
In einem möglichst fachbereichsübergreifenden Mitarbeiterkreis von der Produktentwicklung bis zum Vertrieb sollte das Portfolio an Produkten auf Gemeinsamkeiten und mögliche Risiko- und Schwachstellen abgeprüft werden. Dies bietet auch die Chance, mögliche multiple Risiken zu erkennen und effizient zu beseitigen.
Es gehört daher zu den unternehmerischen Sorgfaltspflichten sämtliche Prozesse in einem Unternehmen kontinuierlich auf mögliche Risiken, Gefahren und Schwachstellen zu überprüfen. Dies muss jeweils auch umfassend dokumentiert werden.
Bei Erkennen einer Schwachstelle ist unmittelbares Handeln verpflichtend.
Sollte eine Schwachstelle durch einen unbefugten Zugriff ausgenutzt worden sein, ist diese Schwachstelle binnen 24 Stunden gegenüber den zuständigen Stellen zur Begrenzung des entstandenen Schadens zu melden. Kunden müssen unmittelbar informiert und unverzüglich Tools für das Schließen der Sicherheitslücke erarbeitet und bereitgestellt werden.