Cyber Resilience Act – IT-Sicherheit internetfähiger Produkte

Immer mehr Anla­gen und Maschi­nen, aber auch Ver­brau­cher­pro­dukte kom­mu­ni­zie­ren selbst­stän­dig über das Inter­net. Bei deren Ent­wick­lung stand das tech­nisch Mach­bare im Vor­der­grund. Das sol­che Pro­dukte auch „offene Kel­ler­tü­ren“ für Cyber­kri­mi­nelle dar­stel­len, birgt aber ein erheb­li­ches Gefah­ren­po­ten­zial, weil bei einem Vor­fall an einem Pro­dukt schnell ein gan­zes Netz oder eine Lie­fer­kette beein­träch­ti­gen, was oft zu schwer­wie­gen­den wirt­schaft­li­chen Stö­run­gen führt. Laut Kom­mis­sion ent­steht jähr­lich ein Scha­den von ca. 5,5 Bil­lio­nen Euro welt­weit. Damit Schwach­stel­len an „Pro­duk­ten mit digi­ta­len Ele­men­ten“ mög­lichst sel­ten bis gar nicht auf den Markt gelan­gen, hat die EU Kom­mis­sion nun eine „Ver­ord­nung über hori­zon­tale Cyber­si­cher­heits­an­for­de­run­gen für Pro­dukte mit digi­ta­len Ele­men­ten“ vor­ge­legt.

Die Kom­mis­sion sieht neben dem gerin­gen Maß an Cyber­si­cher­heit auch einen man­geln­den Infor­ma­ti­ons­zu­gang der Nut­zer, der dazu führt, dass sie Pro­dukte mit hin­rei­chen­den Cyber­si­cher­heits­merk­ma­len kaum aus­wäh­len kön­nen. Ziel der Ver­ord­nung ist des­halb:

  1. Rah­men­be­din­gung für sichere Pro­dukte mit digi­ta­len Ele­men­ten zu schaf­fen und
  2. Den Nut­zern durch die Her­stel­ler Infor­ma­tio­nen bereit­zu­stel­len, die ihnen ermög­li­chen cyber­si­chere Pro­dukte aus­zu­wäh­len.

Die vor­ge­schla­gene Ver­ord­nung ent­hält fol­gende Kern­punkte:

  1. Cyber-​​Sicherheitsvorschriften für das Inver­kehr­brin­gen phy­sisch oder logisch ver­bun­de­ner Pro­dukte,
  2. Anfor­de­run­gen an die Kon­zep­tion, Ent­wick­lung und Her­stel­lung die­ser Pro­dukte,
  3. grund­le­gende Anfor­de­run­gen an die von den Her­stel­lern fest­ge­leg­ten Ver­fah­ren zur Behand­lung von Schwach­stel­len,
  4. Vor­schrif­ten für die Markt­über­wa­chung und die Durch­set­zung.

Neben einer „Stan­dard­ka­te­go­rie“ gibt es Pro­dukte, für die ein erhöh­tes Cyber­si­cher­heits­ri­siko besteht. Diese wer­den als „kri­ti­sche Pro­dukte mit digi­ta­len Ele­men­ten“ ein­ge­stuft und in zwei Klas­sen ein­ge­teilt. Dabei wirkt die Kon­for­mi­tät mit dem CRA auf

  1. Hochrisiko-​​KI-​​Systeme zur Erfül­lung der Cyber­si­cher­heits­an­for­de­run­gen aus der KI-​​Verordnung und
  2. Maschi­nen zur Erfül­lung der Sicher­heits­vor­ga­ben aus der Maschi­nen­ver­ord­nung.

 

Für die Wirt­schafts­ak­teure erge­ben sich dar­aus fol­gende Ver­pflich­tun­gen:

Her­stel­ler

  • müs­sen Cyber-​​Sicherheitsrisiken in der Planungs-​​, Konzeptions-​​, Entwicklungs-​​, Herstellungs-​​, Lie­fer– und War­tungs­phase bewer­ten, so gering wie mög­lich hal­ten und doku­men­tie­ren.
  • müs­sen sicher­stel­len, dass Schwach­stel­len wäh­rend eines Zeit­raums von 5 Jah­ren offen­ge­legt und geschlos­sen wer­den.
  • müs­sen unver­züg­lich, aktiv aus­ge­nutzte Schwach­stel­len sowie Sicher­heits­vor­fälle mel­den.
  • müs­sen Nut­zer über IT-​​Sicherheitsvorfälle und mög­li­che Kor­rek­tur­maß­nah­men infor­mie­ren, die der Nut­zer ergrei­fen kann.
  • müs­sen eine Schwach­stelle der Per­son oder Ein­rich­tung mel­den, die diese Kom­po­nente war­tet.
  • müs­sen eine Kon­for­mi­täts­prü­fung durch­füh­ren oder durch­füh­ren las­sen und die gefor­derte tech­ni­sche Doku­men­ta­tion erstel­len und zur Ver­fü­gung hal­ten.

 Impor­teure

  • dür­fen nur sol­che Pro­dukte auf den euro­päi­schen Markt brin­gen, die den Anfor­de­run­gen des Cyber-​​Resilience-​​Act ent­spre­chen.

 Händ­ler

  • sind dazu ver­pflich­tet, Pro­dukte erst zu ver­kau­fen, wenn sicher­ge­stellt ist, dass die Cyber­si­cher­heits­an­for­de­run­gen vom Her­stel­ler und/​oder Impor­teur erfüllt wur­den.
  • unter­lie­gen Mel­de­pflich­ten gegen­über Her­stel­lern und Markt­über­wa­chungs­be­hör­den, sofern Her­stel­ler oder Impor­teure Vor­ga­ben aus dem Cyber-​​Resilience-​​Act nicht erfül­len.
  • die Pro­dukte in eige­nem Namen oder unter eige­ner Marke in Ver­kehr brin­gen oder eine wesent­li­che Ände­rung an einem bereits in Ver­kehr gebrach­ten Pro­dukt mit digi­ta­len Ele­men­ten vor­nimmt, unter­lie­gen den­sel­ben Pflich­ten wie der Her­stel­ler.
  • Eine natür­li­che oder juris­ti­sche Per­son, die kein Her­stel­ler, Impor­teur oder Händ­ler ist, aber eine sub­stan­zi­elle Ände­rung an einem Pro­dukt mit digi­ta­len Ele­men­ten durch­führt, soll als Her­stel­ler gel­ten und den glei­chen Anfor­de­run­gen unter­lie­gen.

 

Wirt­schafts­teil­neh­mer

  • müs­sen auf Nach­frage fol­gende Infor­ma­tio­nen an die Markt­über­wa­chungs­stel­len wei­ter­ge­ben und 10 Jahre lang auf Nach­frage zur Ver­fü­gung stel­len kön­nen:
    • Name und Adresse von Wirt­schafts­ak­teu­ren, von wel­chen sie Pro­dukte mit digi­ta­len Ele­men­ten erhal­ten haben,
    • Name und Adresse von Wirt­schafts­ak­teu­ren, die sie mit Pro­duk­ten mit digi­ta­len Ele­men­ten ver­sorgt haben.

 

Wenn das EU-​​Parlament und der Rat dem Geset­zes­ent­wurf zustim­men, tritt bereits ein Jahr spä­ter die Ver­pflich­tung Schwach­stel­len und Cyber­si­cher­heits­vor­fälle zu mel­den in Kraft. Nach zwei Jah­ren müs­sen dann von allen Betei­lig­ten die Anfor­de­run­gen des CRA umge­setzt wer­den.

 

Quelle: Michael Diet­zsch, IHK Hes­sen inno­va­tiv