Cyber Resilience Act – IT-Sicherheit internetfähiger Produkte
Immer mehr Anlagen und Maschinen, aber auch Verbraucherprodukte kommunizieren selbstständig über das Internet. Bei deren Entwicklung stand das technisch Machbare im Vordergrund. Das solche Produkte auch „offene Kellertüren“ für Cyberkriminelle darstellen, birgt aber ein erhebliches Gefahrenpotenzial, weil bei einem Vorfall an einem Produkt schnell ein ganzes Netz oder eine Lieferkette beeinträchtigen, was oft zu schwerwiegenden wirtschaftlichen Störungen führt. Laut Kommission entsteht jährlich ein Schaden von ca. 5,5 Billionen Euro weltweit. Damit Schwachstellen an „Produkten mit digitalen Elementen“ möglichst selten bis gar nicht auf den Markt gelangen, hat die EU Kommission nun eine „Verordnung über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen“ vorgelegt.
Die Kommission sieht neben dem geringen Maß an Cybersicherheit auch einen mangelnden Informationszugang der Nutzer, der dazu führt, dass sie Produkte mit hinreichenden Cybersicherheitsmerkmalen kaum auswählen können. Ziel der Verordnung ist deshalb:
- Rahmenbedingung für sichere Produkte mit digitalen Elementen zu schaffen und
- Den Nutzern durch die Hersteller Informationen bereitzustellen, die ihnen ermöglichen cybersichere Produkte auszuwählen.
Die vorgeschlagene Verordnung enthält folgende Kernpunkte:
- Cyber-Sicherheitsvorschriften für das Inverkehrbringen physisch oder logisch verbundener Produkte,
- Anforderungen an die Konzeption, Entwicklung und Herstellung dieser Produkte,
- grundlegende Anforderungen an die von den Herstellern festgelegten Verfahren zur Behandlung von Schwachstellen,
- Vorschriften für die Marktüberwachung und die Durchsetzung.
Neben einer „Standardkategorie“ gibt es Produkte, für die ein erhöhtes Cybersicherheitsrisiko besteht. Diese werden als „kritische Produkte mit digitalen Elementen“ eingestuft und in zwei Klassen eingeteilt. Dabei wirkt die Konformität mit dem CRA auf
- Hochrisiko-KI-Systeme zur Erfüllung der Cybersicherheitsanforderungen aus der KI-Verordnung und
- Maschinen zur Erfüllung der Sicherheitsvorgaben aus der Maschinenverordnung.
Für die Wirtschaftsakteure ergeben sich daraus folgende Verpflichtungen:
Hersteller
- müssen Cyber-Sicherheitsrisiken in der Planungs-, Konzeptions-, Entwicklungs-, Herstellungs-, Liefer– und Wartungsphase bewerten, so gering wie möglich halten und dokumentieren.
- müssen sicherstellen, dass Schwachstellen während eines Zeitraums von 5 Jahren offengelegt und geschlossen werden.
- müssen unverzüglich, aktiv ausgenutzte Schwachstellen sowie Sicherheitsvorfälle melden.
- müssen Nutzer über IT-Sicherheitsvorfälle und mögliche Korrekturmaßnahmen informieren, die der Nutzer ergreifen kann.
- müssen eine Schwachstelle der Person oder Einrichtung melden, die diese Komponente wartet.
- müssen eine Konformitätsprüfung durchführen oder durchführen lassen und die geforderte technische Dokumentation erstellen und zur Verfügung halten.
Importeure
- dürfen nur solche Produkte auf den europäischen Markt bringen, die den Anforderungen des Cyber-Resilience-Act entsprechen.
Händler
- sind dazu verpflichtet, Produkte erst zu verkaufen, wenn sichergestellt ist, dass die Cybersicherheitsanforderungen vom Hersteller und/oder Importeur erfüllt wurden.
- unterliegen Meldepflichten gegenüber Herstellern und Marktüberwachungsbehörden, sofern Hersteller oder Importeure Vorgaben aus dem Cyber-Resilience-Act nicht erfüllen.
- die Produkte in eigenem Namen oder unter eigener Marke in Verkehr bringen oder eine wesentliche Änderung an einem bereits in Verkehr gebrachten Produkt mit digitalen Elementen vornimmt, unterliegen denselben Pflichten wie der Hersteller.
- Eine natürliche oder juristische Person, die kein Hersteller, Importeur oder Händler ist, aber eine substanzielle Änderung an einem Produkt mit digitalen Elementen durchführt, soll als Hersteller gelten und den gleichen Anforderungen unterliegen.
Wirtschaftsteilnehmer
- müssen auf Nachfrage folgende Informationen an die Marktüberwachungsstellen weitergeben und 10 Jahre lang auf Nachfrage zur Verfügung stellen können:
- Name und Adresse von Wirtschaftsakteuren, von welchen sie Produkte mit digitalen Elementen erhalten haben,
- Name und Adresse von Wirtschaftsakteuren, die sie mit Produkten mit digitalen Elementen versorgt haben.
Wenn das EU-Parlament und der Rat dem Gesetzesentwurf zustimmen, tritt bereits ein Jahr später die Verpflichtung Schwachstellen und Cybersicherheitsvorfälle zu melden in Kraft. Nach zwei Jahren müssen dann von allen Beteiligten die Anforderungen des CRA umgesetzt werden.
Quelle: Michael Dietzsch, IHK Hessen innovativ