Der Cyber Resilience Act (CRA) wurde am 20. November 2024 veröffentlicht. Diese neue Verordnung der EU enthält „horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen“. Anders ausgedrückt legt er Mindestanforderungen für die Cybersicherheit aller vernetzten Produkte fest, die auf dem EU-Markt angeboten werden, und macht das Internet der Dinge (IoT) sicherer. Die neuen Regeln gelten in allen EU-Ländern und werden schrittweise umgesetzt. Es wird letztlich erwartet, dass der CRA dazu beiträgt, die Vision des ZCB zu verwirklichen, Belgien sicherer im Bereich Cybersicherheit zu machen, indem er dafür sorgt, dass sowohl Bürger als auch öffentliche und private Organisationen weniger anfällig für Cyberangriffe sind.

Warum diese Verordnung?

Bürger und Organisationen sind in ihrem täglichen Leben zunehmend von vernetzten Produkten abhängig. Denken Sie zum Beispiel an Smartphones, an smarte Kameras, die zu Sicherheitszwecken verwendet werden, an intelligente Zähler, die verwendet werden, um die Produktion und den Verbrauch von Strom zu optimieren, usw. Gleichzeitig haben viele vernetzte Produkte, die auf den Markt gebracht werden, immer noch geringe Cybersicherheitsstandards (z. B. schwache Standardpasswörter, fehlende Datenverschlüsselung, ...), was sie zu idealen Zielen für Cyberangriffe macht. Solche kleineren Schwachstellen können sogar zu schweren Supply-Chain-Angriffen führen, die wesentliche Akteure beeinträchtigen und potenziell schwere Auswirkungen auf unsere Wirtschaft und Gesellschaft haben können. Da sich die Nutzer oft der Risiken nicht bewusst sind und schlecht darauf vorbereitet sind, sich zu schützen, wurde der CRA entwickelt, um sicherzustellen, dass Hersteller die Cybersicherheit ihre Produkte verbessern und dass Produkte während ihres gesamten Lebenszyklus sicher gemacht werden können.

Welche „vernetzten Produkte“ fallen unter den CRA?

Die Produkte, die unter den CRA fallen, reichen von günstigen Produkten für Verbraucher bis hin zu B2B-Software und komplexen industriellen Systemen. Genauer gesagt werden „Produkte mit digitalen Elementen“ definiert als Produkte, die irgendwie mit einem Gerät oder einem Netzwerk verbunden sein können und folgendes umfassen:

• Hardware-Produkte mit vernetzten Funktionen wie Smartphones, Laptops, Überwachungskameras, Smartwatches, vernetzte Spielzeuge, aber auch Router, Firewalls und Smart Meter,
• Software, die nicht in ein Produkt integriert ist und separat verkauft wird, wie z. B. Buchhaltungssoftware und mobile Spiele-Apps.

Von den folgenden Produkten gelten jedoch keine Anforderungen des CRA:

• Open-Source-Software für nicht kommerzielle Zwecke,
• Ersatzteile, die identische Komponenten in vernetzte Produkte ersetzen (sofern sie nach den gleichen Spezifikationen hergestellt werden),
• Prototypen, die auf Messen ausgestellt werden (unter bestimmten Bedingungen),
• Unvollständige Software, die zu Testzwecken für eine begrenzte Zeit verwendet wird (unter bestimmten Bedingungen),
• Cloud-Dienste und Software-as-a-Service (SaaS), die durch die NIS2-Richtlinie separat geregelt werden,
• Produkte „die ausschließlich für nationale Sicherheits- oder Verteidigungszwecke entwickelt wurden oder speziell für die Verarbeitung klassifizierter Informationen bestimmt sind“,
• Produkte, die durch andere europäische Gesetzgebungen geregelt werden, wie z. B. Medizinprodukte, Kraftfahrzeuge, maritime Ausrüstungen und Produkte, die in der zivilen Luftfahrt verwendet werden.

Wer ist von den neuen Regeln betroffen?

Alle Hersteller, die Produkte auf den EU-Markt bringen, müssen sich an den CRA halten, auch wenn sie außerhalb der EU ansässig sind. Beispielsweise gilt der CRA für einen US-Entwickler, der eine mobile App auf europäischen Smartphones verkauft, oder für einen chinesischen Hersteller, der Solarpaneele in Belgien verkauft.

Der CRA verpflichtet hauptsächlich die Hersteller (in Bezug auf das Design, die Konformitätsbewertung ihrer Produkte, die Meldung von Schwachstellen und Sicherheitsvorfällen, die Transparenz gegenüber den Nutzern...), um sicherzustellen, dass ihre Produkte sicher sind, bevor sie auf den EU-Markt kommen, aber auch während des gesamten Produktlebenszyklus.

Der CRA enthält auch Bestimmungen, die andere Parteien betreffen, wie z. B. Importeure, Händler, Open-Source-Software-Manager (wie Stiftungen), Konformitätsbewertungsstellen (KBS/CABs) und öffentliche Behörden (nationale Cybersicherheitsbehörden, Marktaufsichtsbehörden).

Was sind die wichtigsten Verpflichtungen für Hersteller von vernetzten Produkten?

Die wichtigste Neuerung des CRA ist, dass er ein Mindestniveau an Cybersicherheit für alle vernetzten Produkte auf dem EU-Markt festlegt – etwas, das vorher nicht existierte. Beispielsweise:

• Entsprechend dem Prinzip „Cybersicherheit durch Technikgestaltung“ müssen vernetzte Produkte mit Blick auf Cybersicherheit entwickelt werden, z. B. durch die Gewährleistung, dass die in oder durch das Produkt gespeicherten oder übermittelten Daten verschlüsselt sind und die Angriffsfläche so gering wie möglich gehalten wird.
• Entsprechend dem Prinzip „Cybersicherheit als Voreinstellung“ müssen die Standardkonfigurationen von vernetzten Produkten, wo immer möglich, zur Verringerung von Schwachstellen beitragen, z. B. durch das Verhindern schwacher Standardpasswörter und das automatische Bereitstellen von Sicherheitsupdates.
• Um den Nutzern zu helfen, Kaufentscheidungen nicht nur auf der Grundlage des Preises und der Funktionalität zu treffen, sondern auch des Cybersicherheitsniveaus, erhöht der CRA die Transparenz für die Nutzer, indem er eine klare Offenlegung auf dem Produkt oder der Verpackung des Datums der Beendigung des Supportzeitraums fordert, d. h. das Datum, bis zu dem der Hersteller Sicherheitsupdates bereitstellt.
• Um den Austausch von Informationen über Schwachstellen zu fördern und eine schnelle Lösung durch Patches zu gewährleisten, verpflichtet der CRA Hersteller, alle aktiv ausgenutzten Schwachstellen sowie schwerwiegende Vorfälle, die die Sicherheit von vernetzten Produkten betreffen, innerhalb von 72 Stunden (mit einer Frühwarnung innerhalb von 24 Stunden) an die Behörden zu melden. Um den Meldungsprozess für Hersteller zu erleichtern und einen sicheren und effizienten Austausch von Daten zwischen den europäischen Computer Security Incident Response Teams (CSIRTs) und der ENISA zu gewährleisten, sieht der CRA die Einrichtung einer neuen zentralen Meldestelle mit mehreren nationalen „Kontaktpunkten“ vor.

Gilt dasselbe für alle Produkte?

Ja und nein. Einerseits gibt es einen einheitlichen Satz von Cybersicherheitsanforderungen, die für alle vernetzten Produkte gelten, unabhängig davon, ob sie billig oder teuer sind, ob sie von Verbrauchern oder fortgeschrittenen gewerblichen Nutzern verwendet werden. Verpflichtungen wie die Meldung von Schwachstellen und Vorfällen und die klare Angabe des Supportzeitraums für ein Produkt gelten für alle Produkttypen.

Andererseits unterscheidet sich das Verfahren zur Bewertung der Konformität der Produkte mit den CRA-Regeln je nach Produkttyp. Diese Produkte, die als „wichtig“ oder „kritisch“ aus Cybersicherheitsgründen gelten, sind in den Anhängen III und IV der Verordnung aufgeführt (z. B. Passwort-Manager, Firewalls, Smartcards, Smart Meter…). Diese Produkte müssen strengere Konformitätsbewertungsverfahren durchlaufen, z. B. eine Cybersicherheitszertifizierung der EU (oder eine gleichwertige nationale Zertifizierung) erhalten, von einem externen Prüfer im Rahmen des bestehenden Produktregulierung (NLF) bewertet werden oder – in einigen begrenzten Fällen – den harmonisierten Normen auf europäischer Ebene entsprechen, um die Anforderungen des CRA zu erfüllen.

Was ist mit Open-Source-Software?

Es ist wichtig zu beachten, dass Open-Source-Software für nicht-kommerzielle Zwecke, wie Software, deren Quellcode öffentlich zugänglich ist und kostenlos heruntergeladen werden kann, nicht den Anforderungen des CRA unterliegt, da viele Open-Source-Projekte auf freiwillige Beiträge angewiesen sind und die Auferlegung strenger gesetzlicher Verpflichtungen auf diese Projekte ihre Existenz gefährden könnte.

Andere Arten von Open-Source-Software werden jedoch kommerziell vertrieben und können weltweit von Einzelpersonen und Organisationen in großem Maßstab genutzt werden. Diese Software muss wie andere kommerzielle Software behandelt werden und unterliegt daher den gleichen Anforderungen des CRA.

Der CRA sieht jedoch ein spezielles Regime für Open-Source-Software vor, die nach einem Stiftungsmodell verwaltet wird, da Stiftungen oft die Rolle von „Managern“ von Open-Source-Projekten spielen und nicht für die Arbeit einzelner Entwickler verantwortlich gemacht werden können. Im Rahmen des speziellen Regimes, das der CRA geschaffen hat, müssen Open-Source-Manager keine Konformitätsbewertungsverfahren nach CRA durchlaufen, müssen jedoch ihre Cybersicherheitspolitik dokumentieren. Sie müssen auch Sicherheitsvorfälle und Schwachstellen melden, die sie betreffen, und werden ermutigt, an freiwilligen Sicherheitszertifizierungsprogrammen teilzunehmen.

Besteht nicht die Gefahr, dass kleine Hersteller mit den neuen Anforderungen überfordert werden?

Der CRA berücksichtigt, dass einige Unternehmen, insbesondere kleine Unternehmen, Schwierigkeiten haben könnten, die Cybersicherheitsanforderungen der Verordnung umzusetzen. Die Verordnung erkennt auch an, dass kleine Unternehmen über begrenzte Ressourcen für Investitionen in Cybersicherheit verfügen. Daher ist vorgesehen, dass die EU im Rahmen ihres Cybersicherheitsplans für die EU kleine und mittlere Unternehmen (KMU) in Bezug auf die Schulung und Weiterbildung unterstützt, damit sie den CRA umsetzen können. Außerdem muss jeder EU-Mitgliedstaat einen speziellen Kommunikationskanal für Mikro-Unternehmen und kleine Unternehmen einrichten, um deren Fragen und Beratungsanfragen zur Umsetzung des CRA zu beantworten.

Was bedeutet der CRA für Verbraucher und kommerzielle Nutzer vernetzter Produkte?

Heutzutage haben Verbraucher oft Schwierigkeiten, zu wissen, ob ein vernetztes Produkt ausreichend sicher ist oder ob es leicht von Dritten gehackt werden kann. Dank des CRA können sich europäische Verbraucher sicher sein, dass die Produkte, die sie auf dem EU-Markt kaufen, mindestens den festgelegten Sicherheitsstandards entsprechen und keine wesentlichen bekannten Schwachstellen oder schwache Standardkonfigurationen aufweisen.

Aber der CRA ermöglicht es den Verbrauchern auch, fundiertere Entscheidungen zu treffen, indem er von Herstellern verlangt, dass sie transparent gegenüber des Cybersicherheitsniveaus ihre Produkte sind. Eine der wichtigsten Neuerungen des CRA ist, dass Hersteller verpflichtet sind, auf dem Produkt, der Verpackung oder einer leicht zugänglichen Webseite deutlich anzugeben, bis zu welchem Datum Sicherheitsupdates für das Produkt bereitgestellt werden. Mit anderen Worten, Nutzer können nicht nur Produkte nach Preis und Funktionen vergleichen, sondern auch nach der Dauer des Supportzeitraums – ein entscheidender Faktor, um sicherzustellen, dass Produkte während ihrer voraussichtlichen Lebensdauer sicher genutzt werden können.

Welche Rolle spielt das ZCB bei der ordnungsgemäßen Umsetzung des CRA?

Durch die Förderung von Cybersicherheit durch Technikgestaltung und Cybersicherheit als Voreinstellung, die Pflicht zur Meldung aktiv ausgenutzter Schwachstellen und die Gewährleistung eines ordnungsgemäßen Update-Prozesses wird der CRA dem ZCB helfen, seine Vision zu verwirklichen, Belgien zu einem der sichersten Länder im Bereich Cybersicherheit zu machen. Als nationale Cybersicherheitsbehörde:

• Arbeitet das ZCB daran, Bürger und Organisationen für die Bedeutung der Cybersicherheit zu sensibilisieren und effektive Schutzmaßnahmen zu fördern. Das ZCB wird die Bewusstseinsbildung und die Umsetzung des CRA unterstützen und dabei besonderen Augenmerk auf kleine Hersteller und Entwickler legen. Beispielsweise wird das Nationale Koordinierungszentrum (NCC-BE) den belgischen Marktakteuren Informationen zu EU-Finanzierungsmöglichkeiten sowie zu Schulungen und Werkzeugen bereitstellen, die die Umsetzung des CRA unterstützen.
• Es fungiert als Computer Security Incident Response Team (CSIRT) für Belgien und empfängt Meldungen zu Schwachstellen und Sicherheitsvorfällen von Organisationen, ob verpflichtend oder freiwillig. Im Rahmen des CRA wird das ZCB die künftige zentrale Meldestelle von ENISA, um die Meldungen von Schwachstellen und Vorfällen von Herstellern vernetzter Produkte zu sammeln, die den CRA-Meldeanforderungen unterliegen.
• Es fungiert als Nationale Zertifizierungsbehörde für Cybersicherheit (NCCA). In dieser Funktion trägt das ZCB aktiv zur Entwicklung der CRA-Normen bei und spielt eine Rolle in der Überwachung des CRA-Konformitätsbewertungssystems – was in einigen Fällen auch eine Cybersicherheitszertifizierung umfassen wird.

Wann tritt der CRA in Kraft?

Der CRA tritt offiziell 20 Tage nach seiner Veröffentlichung in Kraft, also am 10. Dezember 2024. Da es sich um eine EU-Verordnung handelt und nicht um eine Richtlinie, ist sie in allen EU-Ländern unmittelbar anwendbar, ohne dass eine nationale Umsetzung erforderlich ist. Es gibt jedoch eine Übergangsfrist, um sicherzustellen, dass die Wirtschaftsteilnehmer ausreichend Zeit haben, sich auf die neuen Anforderungen einzustellen. Die Umsetzung des CRA erfolgt schrittweise zwischen Ende 2024 und 2027:

• 18 Monate nach Inkrafttreten des CRA werden Konformitätsbewertungsstellen (KBS/CABs) befugt sein, die Konformität der Produkte mit den CRA-Anforderungen zu bewerten.
• 3 Monate später werden Hersteller von vernetzten Produkten verpflichtet sein, Schwachstellen und Sicherheitsvorfälle zu melden.
• Schließlich, 3 Jahre nach Inkrafttreten des CRA, werden alle CRA-Anforderungen anwendbar sein, einschließlich der grundlegenden Cybersicherheitsanforderungen bevor ein Produkt auf den Markt kommt, des Umgangs mit Schwachstellen während des gesamten Produktlebenszyklus und der Transparenz gegenüber dem Nutzer.