Cyber Resilience Act: Neue Cybersicherheitsanforderungen für Unternehmen

Angelika Maria Szalek

Der Cyber Resilience Act („CRA“) soll das Cybersicherheitsniveau in der EU erhöhen und ist, wie die NIS2-Richtlinie und DORA, Baustein der Cybersicherheitsstrategie der EU. Der CRA legt für bestimmte Hardware- und Softwareprodukte verbindliche Sicherheitsstandards fest, die von betroffenen Unternehmen umzusetzen und einzuhalten sind.

Welche Produkte fallen unter den CRA?

Gegenstand des CRA sind „Produkte mit digitalen Elementen“ (nachfolgend „Produkte“). Unter diesen Begriff fallen grundsätzlich Software- und Hardwareprodukte, die mit Netzwerken oder anderen Geräten verbunden sind. Beispiele hierfür sind:

  • Vernetzte Geräte, wie bspw. intelligente Industriesysteme, Router und IoT-Sensoren.
  • Software, wie bspw. Lösungen zur Smart-Home-Steuerung; Steuerungssoftware für IoT-Geräte und mobile Apps.
  • Passwortmanager, Firewalls, Intrusion-Detection-Systeme und Intrusion-Prevention-Systeme.
  • Cloud-Lösungen, ohne welche das Produkt eine Funktion nicht erfüllen könnte, wie bspw. vom Hersteller bereitgestellte Cloud-Funktionen zur Fernsteuerung von IoT-Haushaltsgeräten.

Vom Anwendungsbereich ausgeschlossen sind hingegen:

  • Websites, Cloud- und Saas-Lösungen, soweit diese nicht für die Erfüllung einer Funktion eines Produkts erforderlich sind, wie bspw. nicht vom Hersteller bereitgestellte Back-Up Software für ein IoT Gerät.
  • Produkte, die bereits von anderen EU-Vorschriften reguliert werden, wie bspw. Medizinprodukte, die der Medical Device Regulation (MDR) unterliegen.
  • Open-Source-Software („OSS“), soweit diese außerhalb einer kommerziellen Tätigkeit bereitgestellt wird.

Der CRA unterteilt dabei Produkte in vier Kategorien, die je nach Sicherheitsrelevanz unterschiedlich streng reguliert werden. Unterschiede ergeben sich insbesondere bei den Anforderungen an die Konformitätsbewertung der jeweiligen Produkte. 

Was sind die wesentlichen Pflichten für Hersteller von Produkten?

Hersteller von Produkten treffen umfangreiche Vorgaben. Die Hersteller tragen die Hauptverantwortung für die Sicherheit ihrer Produkte. Zu den wesentlichen Anforderungen an Hersteller zählen insbesondere:

  • Sicherheit während des gesamten Lifecycles 

Die IT-Sicherheit des Produkts ist von der Produktentwicklung bis zum Ende der Nutzungsdauer zu denken. Dies geschieht bspw. durch sichere Architektur, sichere Standardkonfigurationen und regelmäßige Sicherheitsaktualisierungen. Entsprechende Prozesse sind – wenn noch nicht vorhanden – zu etablieren.

  • Meldepflichten

Aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle sind an das zuständige Computer Security Incident Response Team („CSIRT“) und die Europäische Agentur für Cybersicherheit („ENISA“) zu melden. Die Fristen sind kurz bemessen. Entsprechende Geschehnisse sind unverzüglich, jedenfalls innerhalb von 24 Stunden ab Kenntnis zu melden. Im Anschluss sind weiterführende Informationen bereitzustellen. 

  • Konformitätsbewertungen 

Vor dem Inverkehrbringen des Produkts ist eine Konformitätsbewertung zu durchlaufen, um die Einhaltung der Anforderungen des CRA nachzuweisen. Welcher Konformitätsbewertungsprozess zu durchlaufen ist, hängt von der Klassifizierung des Produkts gemäß dem CRA ab. Je sicherheitskritischer das Produkt, desto strenger sind die Anforderungen. Ist die Prüfung erfolgreich, so erhält das Produkt ein CE-Kennzeichen. 

  • Management von Schwachstellen / Sicherheitsupdates

Schwachstellen in dem Produkt sind grundsätzlich für einen Zeitraum von fünf Jahren wirksam zu beheben (z.B. durch Sicherheitsupdates), jedenfalls für den Zeitraum der voraussichtlichen Nutzungsdauer. Dies soll grundsätzlich mit keinen weiteren Kosten verbunden sein.

  • Dokumentation

Der Hersteller hat die Einhaltung der Sicherheitsanforderungen hinsichtlich des Produkts zu dokumentieren. Die Dokumentation ist während des Lifecycles des Produkts aktuell zu halten und hat den Mindestanforderungen des CRA zu genügen.

Warum ist der CRA auch für Einführer und Händler relevant?

Neben dem Hersteller treffen auch den Einführer und Händler des jeweiligen Produkts bestimmte Pflichten, da die Gewährleistung der Cybersicherheit nach dem CRA entlang der gesamten Lieferkette erfolgen soll. 

So müssen sowohl Einführer als auch Händler sicherstellen, dass die von ihnen importierten bzw. bereitgestellten Produkte den Anforderungen des CRA entsprechen, bevor sie diese in Verkehr bzw. auf den Markt bringen. Ferner treffen den Einführer und Händler bestimmte Meldepflichten gegenüber den zuständigen Behörden, wenn Sicherheitsrisiken oder Schwachstellen in den Produkten entdeckt werden. Dies hat in der Praxis zur Folge, dass sowohl Einführer als auch Händler stärker in die Verantwortung genommen werden.

Ab wann gilt der CRA?

Der CRA ist am 10. Dezember 2024 in Kraft getreten. Die Pflichten gelten abgestuft:

  • Ab 11. Juni 2026: Anforderungen an Institutionen, welche die Einhaltung von Sicherheitsstandards prüfen (Konformitätsbewertungsstellen) treten in Kraft.
  • Ab 11. September 2026: Meldepflichten der Hersteller bzgl. Schwachstellen und schwerwiegender Sicherheitsvorfälle werden verbindlich.
  • Ab 11. Dezember 2027: Die übrigen CRA-Regelungen sind einzuhalten (z.B. Anforderungen an Sicherheitsupdates/Schwachstellenmanagement)

Was passiert bei Nichteinhaltung des CRA?

Im Falle des Verstoßes gegen den CRA drohen Geldbußen, wobei sich der Bußgeldrahmen nach der Art des Verstoßes richtet:

  • 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes: z.B. bei Verstoß gegen bestimmte Herstellerpflichten
  • 10 Millionen Euro oder 2 % des Umsatzes: z.B. bei Verstößen gegen Anforderungen an CE-Kennzeichnung; Dokumentationspflichten
  • 5 Millionen Euro oder 1 % des Umsatzes: z.B. im Falle von falschen Angaben im Rahmen von Auskunftsverlangen von Marktüberwachungsbehörden

Ferner kann die Marktüberwachungsbehörde Produkte vom Markt nehmen und Unternehmen verpflichten, Sicherheitslücken zu schließen, wenn schwerwiegende Sicherheitsmängel festgestellt werden.

Was ist jetzt zu tun?

  • Für Unternehmen ergeben sich durch den CRA erhebliche Anpassungsbedarfe in den Entwicklungs-, Herstellungs- und Wartungsprozessen, so dass eine frühzeitige Auseinandersetzung mit der neuen Regulierung zu empfehlen ist.
  • Unternehmen, die Hersteller von Hard- und/oder Software sind, sollten daher frühzeitig und sorgfältig prüfen, ob sie in den Anwendungsbereich des CRA fallen.
  • Gleiches gilt für Einführer und Händler entsprechender Produkte, da auch diese ein Pflichtenprogramm trifft.  
  • Ist der Anwendungsbereich des CRA eröffnet, sind interne Standards und Prozesse auf Konformität mit dem CRA zu überprüfen und im Bedarfsfalle entsprechend anzupassen.