Die Cyberresilienz-Verordnung (Cyber Resilience Act - CRA)
Alles über die neue Gesetzgebung, die vernetzte Produkte sicherer macht
Der Cyber Resilience Act (CRA) ist eine bevorstehende EU-Verordnung, die alle vernetzten Produkte sicherer machen wird. Nach der formellen Annahme im Herbst 2024 wird erwartet, dass sie langfristige Auswirkungen auf die Cybersicherheitslandschaft in Europa hat, mit spürbaren positiven Effekten für unsere Gesellschaft und Wirtschaft. Als nationale Behörde für Cybersicherheit hat das Zentrum für Cybersicherheit Belgien (ZCB) bereits nationale Vorbereitungen eingeleitet, um Wirtschaftsakteure bei der Einhaltung der neuen Regeln zu unterstützen.
Aber was genau ist der CRA? Welche Produkte fallen unter die neuen Regeln? Was sollten Hersteller genau tun? Wie wird der CRA die Verbraucher beeinflussen? Und vor allem, wann wird er in Kraft treten?
Diese Seite bietet vorläufige Antworten auf diese Fragen und wird in den kommenden Monaten mit detaillierteren Anleitungen aktualisiert.
1. Geltungsbereich der Produkte
Der CRA ist die erste europäische Verordnung, die Mindestanforderungen an die Cybersicherheit für alle auf dem EU-Markt angebotenen vernetzten Produkte vorschreibt. Ihr Ziel: das sogenannte "Internet of Things" (IoT) sicherer zu machen.
Die vom CRA abgedeckten Produkte reichen von kostengünstigen Verbraucherprodukten über B2B-Software bis hin zu hochkomplexen industriellen Systemen. Genauer gesagt, werden „Produkte mit digitalen Elementen“ als Produkte definiert, die mit einem Gerät oder Netzwerk verbunden werden können und folgendes umfassen:
- Hardwareprodukte mit Vernetzungsfunktionen wie zum Beispiel Smartphones, Laptops, Heimkameras, Smartwatches, vernetzte Spielzeuge, aber auch Modems, Firewalls und intelligente Messgeräte,
- Software, die nicht in ein Produkt eingebettet ist und eigenständig verkauft wird, zum Beispiel Buchhaltungssoftware, Online-Spiele und Mobile Apps.
Produkte, die NICHT den Anforderungen des CRA unterliegen, umfassen nicht-kommerzielle Open-Source-Software, Cloud-Dienste und Software as a Service (SaaS), wobei die letzteren beiden bereits unter der NIS2 Richtlinie reguliert sind.
2. Hauptverpflichtungen für Hersteller
Alle Hersteller, die Produkte auf den EU-Markt bringen, müssen die CRA-Anforderungen erfüllen, auch wenn sie außerhalb der EU ansässig sind. Die neuen Anforderungen umfassen drei Hauptarten von Bestimmungen:
- Mindestanforderungen, in Übereinstimmung mit den Prinzipien von „Cybersecurity by design“ und „Cybersecurity by default“, die für Produkte vor deren Markteinführung gelten (z.B. Sicherstellung, dass sensible Daten im Produkt verschlüsselt sind, dass die Angriffsfläche so gering wie möglich ist, …),
- Verpflichtungen über den gesamten Lebenszyklus des vernetzten Produkts, insbesondere in Bezug auf das Management von Schwachstellen (z.B. automatische Installation von Sicherheitsupdates standardmäßig, …)
- Regeln für die Marktüberwachung und Durchsetzung, mit unterschiedlichen Konformitätsbewertungen je nach Bedeutung und Kritikalität des Produkts, von der Selbstbewertung durch den Hersteller bis hin zu verpflichtenden Audits oder Zertifizierungen durch Dritte.
3. Auswirkungen für Benutzer
Heute fällt es Verbrauchern oft schwer zu wissen, ob ein vernetztes Produkt ausreichend sicher ist oder ob es leicht von Dritten gehackt werden kann. Dank dem CRA haben Verbraucher die Garantie, dass die Produkte, die sie in der EU kaufen, Mindeststandards entsprechen und nicht etwa eine große bekannte Schwachstelle oder schwache Standardeinstellungen haben.
Der CRA ermächtigt den Verbraucher auch, besser informierte Entscheidungen zu treffen, indem er von den Herstellern Transparenz darüber fordert, bis zu welchem Datum Sicherheitsupdates für das Produkt bereitgestellt werden. Mit anderen Worten: Benutzer können Produkte nicht nur nach ihrem Preis und ihren Merkmalen vergleichen, sondern auch nach der Länge der Unterstützungsperiode – ein wichtiger Indikator, um sicherzustellen, dass Produkte während ihrer erwarteten Lebensdauer sicher verwendet werden können.
4. Erfahren Sie mehr
Die Umsetzung der CRA wird in verschiedenen Phasen von Ende 2024 bis 2027 erfolgen. Um mehr z erfahren, lesen Sie unsere CRA Fragen und Antworten.