EU-Regularien : Europäische Revolution in der Product-Security : Was der Cyber-Resilience-Act bringen wird

Eine zusätzliche Herausforderung dabei ist die „Cloudifizierung“ unseres gesamten digitalen Umfelds und die damit verbundene Gewährleistung der Sicherheit der digitalen Lieferkette, die sich in der Vergangenheit ebenso als unzureichend erwiesen hat – man denke nur an den globalen Crowdstrike-Vorfall vom 19. Juli 2024, der Millionen IT-Systeme weltweit lahmlegte. Die Herausforderungen dabei: Die digitale Lieferkette lässt sich nur schwer nachvollziehen – Betriebe haben meist nur eine sehr begrenzte Ausgestaltungsmöglichkeit für die Cybersicherheit innerhalb dieser Lieferkette und verlassen sich teils auch zu sehr darauf, dass durch Outsourcing automatisch alle notwendigen Anforderungen an eine sichere Datenverarbeitung abgedeckt werden.

Ausgangspunkt: produktbezogene Cybersicherheit

Als Reaktion auf diesen nicht erst seit gestern bestehenden Missstand reagierte die EU schon im Jahr 2019, als sie den sogenannten Cybersecurity-Act (CSA) verabschiedete, der als erste allgemeine technologiebezogene Regulierung in der Europäischen Union zur Cybersicherheit neue Maßstäbe setzen sollte. Mit dem CSA ist es unter anderem möglich, produktübergreifend bestimmte sicherheitsrelevante Schlüsseltechnologien wie 5G oder Cloud-Computing in eigenen „Cybersecurity-Certification-Schemes“ zu regeln – an sich ein begrüßenswerter Ansatz, der sich in der Praxis bislang jedoch leider noch nicht wirklich durchsetzen konnte. Hinzu traten auch immer wieder Bedenken aus der Industrie, dass mit solchen produktübergreifenden Sicherheitsvorgaben Konflikte mit den bestehenden rechtlichen Vorgaben aus dem über Jahrzehnte harmonisierten und normenbasierten europäischen Produktrecht basierend auf dem „New Legislative Framework“ (NLF) entstehen könnten.

Das Problem bei den produktbezogenen Sicherheitsanforderungen war bislang aber kehrseitig vor allem auch, dass diese keine flächendeckende Wirkung entfalteten oder sich mit der „Safety“ nicht speziell auch auf die „Security“ im Sinne der Cybersicherheit bezogen, da im allgemeinen europäischen Produktsicherheitsrecht die Digitalisierung und die daraus resultierenden Gefahren lange Zeit nicht im Vordergrund standen.

All das führte im Ergebnis zu einer schleichenden Aushöhlung der Cybersicherheit digitaler Produkte, zur Fragmentierung von Anforderungen und damit zu einer allgemeinen Absenkung des Cybersicherheitsstandards.

Vielfältige Schnittstellen zu bereichsspezifischer Regulierung

Dieses Dilemma soll sich mit dem EU CRA künftig ändern, denn bei der unmittelbar geltenden Verordnung handelt es sich um eine einheitliche europäische Rechtsgrundlage, die zwar einerseits speziell die Cybersicherheit von Produkten mit digitalen Elementen regelt, andererseits aber den Herstellern und der Industrie auch die Möglichkeit zur Mitgestaltung und Konkretisierung der Cybersicherheitsanforderungen gibt – beispielsweise durch technische Normen und Standards.

Wichtig dabei zu wissen ist, dass der CRA eine produktübergreifende und damit allgemeine Regelung ist, die eine Vielzahl von Schnittstellen zu anderen und teils auch speziellen Rechtsakten enthält, welche die Cybersicherheit vorrangig regeln können. Es kann durchaus auch der Fall sein, dass ein Unternehmen dem CRA und daneben noch weiteren rechtlichen Vorgaben unterliegt. Zu nennen sind hier die bereits erwähnte NIS-2-Richtlinie, der Artificial-Intelligence-Act (AIA), die neue europäische Maschinenverordnung (vgl. [2]), aber auch Regelungen wie die UNECE 155 und 156 für die Herstellung von Fahrzeugen (vgl. [3,4]) – ebenso enthält das Medizinprodukterecht spezifische Vorgaben, die vom EU CRA abzugrenzen sind.

Kernpunkte des CRA

Im Wesentlichen lassen sich im Cyber-Resilience-Act fünf inhaltliche Kernanforderungen ausmachen:

• die Betroffenheit von „Produkten mit digitalen Elementen“,
• das Festschreiben von „Security by Design“ als Anforderung für den Produktlebenszyklus,
• die Einführung von Pflichten zu Risikobewertung und Dokumentation,
• der Schutz der Lieferkette unter Einbeziehung von Produkten aus Drittstaaten und Open Source sowie
• die Pflicht zu Sicherheitsaktualisierungen „by Default“.

„Produkte mit digitalen Elementen“ als Schlüsselbegriff

Der Anwendungsbereich des CRA ist somit bewusst denkbar weit gefasst, indem der Rechtsakt grundsätzlich für alle Produkte mit digitalen Elementen gilt, deren bestimmungsgemäßer Zweck oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt. „Produkt mit digitalen Elementen“ meint Software- oder Hardwareprodukte und deren Datenfernverarbeitungslösungen sowie Software- oder Hardwarekomponenten, die getrennt in Verkehr gebracht wurden.

Weitere zur Festlegung des Anwendungsbereichs wichtige Begriffsdefinitionen sind somit „Software“, „Hardware“ und „Komponente“: Software meint den Teil eines elektronischen Informationssystems, der aus Computercode besteht. Hardware ist ein physisches elektronisches Informationssystem, das digitale Daten verarbeiten, speichern oder übertragen kann – oder Teil eines solchen Systems ist. Komponente meint Software oder Hardware, die für die Integration in ein elektronisches Informationssystem bestimmt ist.

Wichtig zu wissen ist, dass laut Definition auch „indirekte Datenverbindungen“ vom Regelungshorizont des CRA umfasst sind: also etwa eine Verbindung zu einem Gerät oder Netz, die nicht direkt erfolgt, sondern als Teil eines größeren Systems, das seinerseits direkt mit diesem Gerät oder Netz verbunden sein kann.

Betroffenheit über die gesamte Lieferkette: Hersteller, Einführer und Händler

Da der CRA den europäischen Binnenmarkt flächendeckend cybersicherer als bislang machen soll, wird man durch seine Vorgaben Cybersicherheit künftig als Marktzulassungsanforderung in der EU noch deutlich stärker als bislang betrachten müssen. Damit entfaltet er – ähnlich wie schon 2018 die Datenschutz-Grundverordnung (DSGVO) – eine erhebliche extraterritoriale Wirkung, die für zahllose ausländische Technologieunternehmen mit Geschäftstätigkeit auf dem europäischen Markt eine hohe Relevanz besitzt. Betroffen von dem Rechtsakt sind deshalb nicht nur Hersteller, sondern auch Einführer und Händler.

Auch hier sind die Definitionen denkbar weit gefasst:

• Hersteller ist eine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipiert, entwickelt oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet – sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich.
• Einführer ist eine in der EU ansässige oder niedergelassene natürliche oder juristische Person, die ein Produkt mit digitalen Elementen unter dem Namen oder der Marke einer außerhalb der EU ansässigen oder niedergelassenen natürlichen oder juristischen Person in der EU in den Verkehr bringt.
• Händler ist eine natürliche oder juristische Person in der Lieferkette, die ein Produkt mit digitalen Elementen ohne Änderung seiner Eigenschaften auf dem europäischen Markt bereitstellt.

Maßnahmen und Sorgfaltspflichten

Für betroffene Unternehmen schreibt der CRA verschiedene Sorgfaltsanforderungen und Nachweispflichten zur Cybersicherheit vor und unterscheidet dabei zwischen Produkten mit digitalen Elementen im Generellen, „wichtigen“ Produkten mit digitalen Elementen sowie „kritischen“ Produkten mit digitalen Elementen. Viele zur Umsetzung verpflichtete Unternehmen dürften sich dabei über die umfangreichen Anhänge freuen, die verschiedene CRA-Vorgaben, wie zum Beispiel auch das mit dem Rechtsakt verbundene Konformitätsbewertungsverfahren, näher konkretisieren. Zentrale Anforderungen zur Umsetzung des CRA finden sich überdies in Anhang I, der die grundlegenden Cybersicherheitsanforderungen beschreibt und darlegt, wie mit Schwachstellen umzugehen ist.

Grundsätzlich unterscheidet der Rechtsakt in der Umsetzung zwischen Hersteller, Einführer und Händler, wobei sich die Sorgfaltsvorgaben hier teilweise deutlich überschneiden und eine Zusammenarbeit der unterschiedlichen Parteien zwingend erforderlich machen. Hersteller werden fortan verpflichtet, eine Risikobewertung für Entwurf, Entwicklung, Herstellung, Lieferung und Wartung von Produkten durchzuführen und dabei auch die digitale Lieferkette zu berücksichtigen, denn Komponenten von Drittherstellern dürfen die Cybersicherheit des Endprodukts nicht kompromittieren. Überdies gelten detailliert geregelte Meldepflichten für Schwachstellen und Informationspflichten für die Kunden. Geregelt werden außerdem Korrekturmaßnahmen bei fehlender oder unzureichender Cybersicherheit bis hin zu Rücknahme und Rückruf von Produkten mit digitalen Elementen.

Da die Pflichten des CRA lebenszyklusabhängig sind, haben die Hersteller den Unterstützungszeitraum so festzulegen, dass er die Dauer der voraussichtlichen Nutzung des Produkts widerspiegelt. Hierbei können durchaus unterschiedliche Erwägungen einfließen: so die angemessenen Erwartungen der Nutzer, die Art des Produkts sowie seine Zweckbestimmung – auch die Lebenszyklen von auf dem Markt erhältlichen Konkurrenzprodukten können berücksichtigt werden.

Um faktische Umgehungen seiner Wirkkraft zu vermeiden, setzt der CRA der individuellen Ausgestaltungsfreiheit des Herstellers aber auch Grenzen, indem er bestimmt, dass der Unterstützungszeitraum mindestens fünf Jahre betragen muss. Sollte davon auszugehen sein, dass ein Produkt mit digitalen Elementen weniger als fünf Jahre im Betrieb ist, muss der Unterstützungszeitraum der voraussichtlichen Nutzungsdauer entsprechen.

Sanktionen, Umsetzungsfristen, Marktaufsicht und Ausblick

Wie immer soll das Sanktionsmaß der EU bei Nichtkonformität auch mit den Vorgaben aus dem neuen CRA „wirksam, verhältnismäßig und abschreckend“ sein. Das bedeutet, dass gemessen an der Schwere und Relevanz der Vorgaben, gegen die verstoßen wurde, ein abgestufter Bußgeldkatalog zur Verfügung steht, der bei maximal 15.000.000 € beginnt – oder wenn es sich bei dem Zuwiderhandelnden um ein Unternehmen handelt, der Verstoß in Höhe von bis zu 2,5 % seines gesamten weltweiten Jahresumsatzes im vorausgegangenen Geschäftsjahr geahndet werden kann. Geringfügigere Verstöße können abgestuft beginnend mit 10.000.000 € oder 5.000.000 € beziehungsweise 2 % oder 1 % des im vorausgegangenen Geschäftsjahr erzielten weltweiten Gesamtjahresumsatzes bebußt werden.

Im Hinblick auf die Umsetzungsfristen bleibt noch etwas Zeit zur Vorbereitung, denn die neuen Vorgaben aus dem CRA gelten grundsätzlich erst 36 Monate nach dem Datum des Inkrafttretens. Für die Timeline des CRA ergibt sich damit folgende Staffelung:

• 11. Dezember 2024: Inkrafttreten des CRA
• 11. Juni 2026: Konformitätsbewertungsstellen können die Erfüllung der Anforderungen an den CRA bewerten.
• 11. September 2026: Die Meldepflicht für Schwachstellen und Sicherheitsvorfälle beginnt.
• 11. Dezember 2027: Bei neuen Produkten mit digitalen Elementen sind sämtliche CRA-Anforderungen einzuhalten.

Darüber hinaus enthält der CRA Übergangsbestimmungen unter anderem für Produkte mit digitalen Elementen, die vor dem Stichdatum des 11. Dezember 2027 in Verkehr gebracht werden. Diese unterliegen den in der Verordnung festgelegten Anforderungen grundsätzlich nur dann, wenn diese Produkte nach diesem Zeitpunkt einer wesentlichen Änderung unterliegen. Die „wesentliche Änderung“ wird dabei legaldefiniert als „eine Änderung des Produkts mit digitalen Elementen nach dessen Inverkehrbringen, die sich auf die Konformität des Produkts mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I auswirkt oder zu einer Änderung des bestimmungsgemäßen Zwecks, für den das Produkt geprüft wurde, führt“.

Von dieser aufschiebenden Wirkung gibt es wiederum eine Rückausnahme: Denn die Meldepflichten zur Cybersicherheit gelten für alle Produkte mit digitalen Elementen, die in den Anwendungsbereich des CRA fallen und vor dem 11. Dezember 2027 in Verkehr gebracht wurden.

Zum Inkrafttreten des CRA hat das BSI in einer Pressemeldung [5] bekanntgegeben, dass es sich um die Rolle der nationalen Marktaufsicht für vernetzte Produkte bewirbt, um die Einhaltung der im CRA formulierten Anforderungen zu gewährleisten. Hierzu hat das BSI auf seine Fachkompetenzen in der Erarbeitung der technischen Richtlinie BSI TR-03183 „Cyber-Resilienz-Anforderungen“ [6] verwiesen, welche die im CRA formulierten Anforderungen an Hersteller und Produkte beschreibt und erklärt. Überdies sollen sich Hersteller durch das mit dem IT-Sicherheitsgesetz (IT-SiG) 2.0 im Jahr 2021 eingeführte sogenannte IT-Sicherheitskennzeichen auf die Umsetzung der neuen Anforderungen aus dem CRA gezielt vorbereiten [7].

Prof. Dr. Dennis-Kenji Kipker ist wissenschaftlicher Direktor des cyberintelligence.institute in Frankfurt am Main.

[1] Europäische Union, Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnungen (EU) Nr. 168/2013 und (EU) 2019/1020 und der Richtlinie (EU) 2020/1828 (Cyberresilienz-Verordnung), in: Amtsblatt der Europäischen Union, November 2024, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R2847

[2] Mirco Kloss, Mehr Resilienz im Digitalen, Ausblick auf die Anforderungen der neuen Cyberresilienz-Verordnung der Europäischen Union, <kes> 2024#6, S. 24, www.kes-informationssicherheit.de/print/titelthemafestplatten-dietriche-zur-extraktion-verschluesselter-daten/mehr-resilienz-im-digitalen/ (<kes>+)

[3] Patrick Smuda und Wolfgang K. Walter, Sichere Digitalisierung im Automotive-Sektor (1), UNECE R155 – Cybersicherheits Managementsysteme als Erfordernis der digitalisierten Zukunft, <kes> 2023#4, S. 65, www.kes-informationssicherheit.de/print/titelthema-supplychain-security-integritaet-digitaler-artefakte/sichere-digitalisierung-im-automotive-sektor-1/ (<kes>+)

[4] Daniel Breschan und Wolfgang K. Walter, Sichere Digitalisierung im Automotive-Sektor (2), UNECE R156 – Softwareupdate Managementsysteme und die Bedeutung für Lieferanten, <kes> 2023#5, S. 30, www.kes-informationssicherheit.de/print/titelthema-erschoepfung-nach-erpressung-it-teams-am-limit/sichere-digitalisierung-im-automotive-sektor-2/ (<kes>+)

[5] Bundesamt für Sicherheit in der Informationstechnik (BSI), Cyber Resilience Act: BSI bewirbt sich um Marktaufsicht für vernetzte Produkte, Pressemitteilung, Dezember 2024, www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2024/241211_Inkrafttreten-CRA.html

[6] Bundesamt für Sicherheit in der Informationstechnik (BSI), Cyber-Resilienz-Anforderungen, Technische Richtlinie BSI TR-03183, September 2024, www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TR-nach-Thema-sortiert/tr03183/TR-03183_node.html

[7] Bundesamt für Sicherheit in der Informationstechnik (BSI), Mit dem IT-Sicherheitskennzeichen auf den Cyber Resilience Act vorbereiten, undatiert, www.bsi.bund.de/dok/sik-cra