Die Cyberresilienz-Verordnung oder der Cyber Resilience Act (CRA) wird voraussichtlich im Herbst 2024 in Kraft treten. Hier sind einige vorläufige Antworten auf die am häufigsten gestellten Fragen zu dieser neuen europäischen Verordnung und ihrer Anwendung in Belgien. Bitte beachten Sie, dass die hier bereitgestellten Informationen nur zu Informationszwecken dienen und nicht als Rechtsberatung gedacht sind. Der Rechtstext der CRA, sobald veröffentlicht, wird Vorrang vor jeglichen hier bereitgestellten Erklärungen haben.

Was ist der CRA?

Der Cyber Resilience Act ist die erste europäische Verordnung, die Mindestanforderungen an die Cybersicherheit für alle auf dem EU-Markt angebotenen vernetzten Produkte vorschreibt. Sein Ziel: das sogenannte "Internet of Things" (IoT) sicherer zu machen. Die neuen Regeln gelten in allen EU-Ländern und werden in Phasen umgesetzt. Letztendlich wird erwartet, dass der CRA zur Vision des Zentrums für Cybersicherheit Belgien (ZCB) beiträgt, Belgien durch die Gewährleistung der Sicherheit seiner Bürger und Organisationen, ob öffentlich oder privat, weniger anfällig für Cyberangriffe zu machen.

Bürger und Organisationen verlassen sich im Alltag zunehmend auf vernetzte Produkte. Gleichzeitig weisen viele auf den Markt gebrachte vernetzte Produkte immer noch niedrige Cybersicherheitsstandards auf (z.B. schwache Standardpasswörter, keine Datenverschlüsselung, schwierige Aktualisierungsprozesse), was sie zu idealen Zielen für Cyberangriffe macht. Da Benutzer oft nicht über die Risiken informiert sind und unzureichend ausgestattet sind, um sich zu schützen, ist der CRA so gestaltet, dass er Hersteller dazu anhält, ihren Teil beizutragen. Sie müssen Produkte entwerfen, die sicherer sind und es den Benutzern leichter machen, diese Produkte während deren gesamten Lebenszyklus in einem sicheren Zustand zu halten.

Welche Art von „vernetzten Produkten“ wird der CRA betreffen?

Die von dem CRA abgedeckten Produkte reichen von kostengünstigen Verbraucherprodukten über B2B-Software bis hin zu komplexen industriellen Systemen. Speziell werden „Produkte mit digitalen Elementen“ als Produkte definiert, die mit einem Gerät oder Netzwerk verbunden werden können und folgendes umfassen:

• Hardwareprodukte mit Vernetzungsfunktionen wie zum Beispiel Smartphones, Laptops, Heimkameras, Smartwatches, vernetzte Spielzeuge, aber auch Modems, Firewalls und intelligente Messgeräte,
• Software, die nicht in ein Produkt eingebettet ist und eigenständig verkauft wird, wie zum Beispiel Buchhaltungssoftware, Online-Spiele und Mobile Apps.

Produkte, die NICHT den Anforderungen des CRA unterliegen, umfassen nicht-kommerzielle Open-Source-Software, Cloud-Dienste und Software as a Service (SaaS), wobei die letzteren beiden bereits unter der NIS2-Richtlinie reguliert sind.

Wer ist von den neuen Regeln betroffen?

Alle Hersteller, die Produkte auf den EU-Markt bringen, müssen den CRA einhalten, auch wenn sie außerhalb der EU ansässig sind. Zum Beispiel gilt der CRA für einen US-Entwickler, der eine mobile App auf europäischen Handys verkauft, oder für einen chinesischen Hersteller, der Solarmodule in Belgien verkauft. Auch Händler und Importeure von vernetzten Produkten müssen sicherstellen, dass die Regeln eingehalten werden.

Was werden die neuen Anforderungen sein?

Eine große Neuheit des CRA ist, dass er ein Mindestmaß an Cybersicherheit für alle auf dem EU-Markt verfügbaren vernetzten Produkte definiert – etwas, das zuvor nicht existierte. Zum Beispiel:

• Im Einklang mit dem Prinzip „Cybersecurity by design“ müssen vernetzte Produkte unter Berücksichtigung der Cybersicherheit konzipiert werden, z.B. durch die Verschlüsselung von gespeicherten oder übertragenen Daten innerhalb des Produkts und durch die Minimierung der Angriffsfläche.
• Im Einklang mit dem Prinzip der „Cybersecurity by default“ müssen die Standardeinstellungen vernetzter Produkte, soweit möglich, zur Verringerung von Schwachstellen beitragen, z.B. durch das Verbot schwacher Standardpasswörter, durch die Voraussetzung einer automatischen Installation von Sicherheitsupdates, usw.
• Um den Benutzern zu helfen, gut informierte Kaufentscheidungen zu treffen, d.h. nicht nur basierend auf Preis und Funktionalität, sondern auch in Bezug auf Cybersicherheit, verbessert der CRA die Transparenz für den Benutzer, indem es unter anderem eine klare Offenlegung des Endes der Unterstützungsfrist auf dem Produkt oder seiner Verpackung fordert. Hier geht es um das Datum, bis zu dem sich der Hersteller verpflichtet, Sicherheitsupdates bereitzustellen.
• Um den Austausch von Informationen über Schwachstellen und schnelle Behebungen durch Patching zu unterstützen, wird der CRA verlangen, dass aller aktiv ausgenutzten Schwachstellen sowie schwerwiegender Vorfälle, die die Sicherheit vernetzter Produkte beeinträchtigen innerhalb von 72 Stunden (mit einer Vorwarnung innerhalb von 24 Stunden), an die öffentlichen Behörden gemeldet werden. Um den Meldeprozess für Hersteller zu vereinfachen und einen sicheren und effizienten Austausch der Daten zwischen den europäischen Computer-Sicherheitsvorfall-Reaktionsteams (CSIRTs) und der ENISA zu gewährleisten, sieht der CRA die Schaffung einer neuen einheitlichen Meldeplattform mit verschiedenen nationalen „Endpunkten“ vor.

Werden die Regeln für alle Produkte identisch sein?

Ja und nein. Einerseits enthält der CRA einen einheitlichen Satz von Cybersicherheitsanforderungen, der für alle vernetzten Produkte gilt, unabhängig von dessen Preis, ob sie von einzelnen Verbrauchern oder anspruchsvollen Geschäftsnutzern verwendet werden. Die Anforderungen zur Meldung von Schwachstellen und zur klaren Angabe des Endes der Unterstützungsperiode auf dem Produkt werden beispielsweise für alle Produktarten gelten.

Andererseits wird das Verfahren zur Bewertung, ob Produkte den CRA-Regeln entsprechen, für Standardprodukte und für Produkte, die aus Sicht der Cybersicherheit als sensibler eingestuft werden, unterschiedlich sein. Diese Produkte werden als „wichtig“ oder „kritisch“ bezeichnet und in den Anhängen III & IV der Verordnung aufgelistet (z. B. Passwortmanager, Firewalls, Smartcards, intelligente Messgeräte, ...). Sie müssen strengeren Konformitätsbewertungsverfahren unterzogen werden, z.B. durch Erhalt einer EU-Cybersicherheitszertifizierung (oder entsprechender nationaler Zertifizierung), durch eine Bewertung der Einhaltung der Anforderungen durch einen Drittpartei-Auditor im Rahmen der bestehenden Produktgesetzgebung (NLF) oder – in begrenzten Fällen – durch Einhaltung harmonisierter Standards, die auf europäischer Ebene anerkannt sind um die CRA-Anforderungen zu erfüllen. Die EU arbeitet derzeit an der Entwicklung der notwendigen Standards für diese verschiedenen Produktarten.

Was ist mit Open-Source-Software?

Wichtig ist, dass nicht-kommerzielle Open-Source-Software nicht den Verpflichtungen des CRA unterliegt, da viele Open-Source-Projekte auf den Beitrag von Freiwilligen basieren und weil die Auferlegung strenger rechtlicher Verpflichtungen für solche Projekte deren Existenz gefährden könnte.

Andere Arten von Open-Source-Software, die auf kommerzieller Basis vertrieben werden, werden jedoch genauso behandelt wie geschlossene kommerzielle Software und unterliegen somit denselben CRA-Anforderungen. Als Ausnahme für diese Kategorie sieht der CRA ein spezielles Regime für kommerzielle Open-Source-Software vor, die von einer Stiftung gewartet wird, da diese typischerweise als „Verwalter“ von Open-Source-Projekten agieren und nicht für die Arbeit einzelner Entwickler haftbar gemacht werden können.

Da jedoch so viele kommerzielle Produkte stark von freier und Open-Source-Software abhängen, schließt der CRA diese Lücke, indem er Hersteller (oder Verteiler oder Importeure) dieser Produkte dazu verpflichtet, zu überprüfen ob die von ihnen verwendete Open-Source-Software auch sicher ist. Auf diese Weise wird die Möglichkeit von Angriffen auf die Lieferkette begrenzt.

Besteht nicht das Risiko, dass es für kleine Hersteller zu belastend wird, die CRA zu erfüllen?

Um sicherzustellen, dass kleine und Kleinstunternehmen nicht im Nachteil gegenüber größeren Firmen stehen, enthält der CRA mehrere Bestimmungen, die darauf abzielen, die Compliance-Belastung für KMUs zu reduzieren. Beispiele für solche Maßnahmen umfassen die Möglichkeit für KMUs, ein vereinfachtes Format für die Erstellung der technischen Dokumentation ihrer Produkte zu verwenden, sowie die Verpflichtung für Konformitätsbewertungsstellen, die Größe eines Unternehmens bei der Festlegung der zu zahlenden Gebühren für eine Konformitätsbewertung zu berücksichtigen.

Öffentliche Behörden werden ebenfalls eine Schlüsselrolle bei der Unterstützung kleinerer Hersteller in ihren Compliance-Bemühungen spielen. Die Europäische Kommission hat sich verpflichtet, speziell auf KMUs zugeschnittene CRA-Richtlinien zu veröffentlichen, während jedes EU-Land einen speziellen Kommunikationskanal für den Austausch mit kleinen und Kleinstunternehmen einrichten muss, um deren Anfragen und Anfragen zur Beratung bei der CRA-Umsetzung zu beantworten.

Der CRA sieht die Schaffung einer einzigen Plattform für die Meldung von Schwachstellen auf europäischer Ebene vor. Wird es dadurch nicht einfacher für böswillige Akteure, Schwachstellen zu finden und auszunutzen?

Erstens ist es wichtig zu betonen, dass Hersteller nur aktiv ausgenutzte Schwachstellen an die einheitliche Meldeplattform melden müssen. Das bedeutet, dass die unter dem CRA gemeldeten Schwachstellen bereits von böswilligen Akteuren für Cyberangriffe genutzt worden sind.

Zweitens dient die einheitliche Meldeplattform dazu, eine reibungslose und effiziente Übermittlung von Informationen über Schwachstellen und Vorfälle zwischen nationalen Cybersicherheitsbehörden (Computer Security Incident Response Teams) und der ENISA zu gewährleisten. Die Plattform wird keine sensiblen Informationen speichern, wie beispielsweise über ungepatchte Schwachstellen. Mehrere technische, betriebliche und organisatorische Sicherheitsmaßnahmen werden implementiert, um sicherzustellen, dass die Plattform sicher entwickelt und betrieben wird, wobei besonderes Augenmerk auf die Vertraulichkeit der übertragenen Daten gelegt wird.

Schließlich sollte die durch den CRA eingerichtete einheitliche Meldeplattform nicht mit der europäischen Schwachstellendatenbank verwechselt werden, die durch die NIS2-Richtlinie etabliert wurde.

Was bedeutet der CRA für Verbraucher und Geschäftsnutzer vernetzter Produkte?

Heute fällt es Verbrauchern oft schwer zu wissen, ob ein vernetztes Produkt ausreichend sicher ist oder ob es leicht von Dritten gehackt werden kann. Dank dem CRA werden europäische Verbraucher die Gewissheit haben, dass die Produkte, die sie in der EU kaufen, Mindeststandards entsprechen und nicht etwa eine große bekannte Schwachstelle oder schwache Standardeinstellungen aufweisen.

Der CRA ermächtigt jedoch auch die Verbraucher, besser informierte Entscheidungen zu treffen, indem er Transparenz von den Herstellern über das Cybersicherheitsniveau ihrer Produkte verlangt. Eine der wichtigen Neuerungen des CRA ist, dass er von Herstellern verlangt, klar auf dem Produkt, auf seiner Verpackung oder auf einer leicht zugänglichen Webseite anzugeben, bis wann Sicherheitsupdates für das Produkt bereitgestellt werden. Mit anderen Worten: Benutzer können Produkte nicht nur nach ihrem Preis und ihren Merkmalen vergleichen, sondern auch nach der Länge der Unterstützungsperiode – ein wichtiger Indikator, um sicherzustellen, dass Produkte während ihrer erwarteten Lebensdauer sicher verwendet werden können.

Wann tritt der CRA in Kraft?

Da der CRA eine EU-Verordnung und keine Richtlinie ist, wird er direkt in allen EU-Ländern anwendbar sein, ohne dass eine nationale Umsetzung erforderlich ist. Es ist jedoch eine Übergangsperiode vorgesehen, um den Marktbetreibern ausreichend Zeit zur Anpassung an die neuen Anforderungen zu geben. Das Europäische Parlament hat bereits über eine vorläufige Version des Textes abgestimmt. Nach einer rechtlichen und sprachlichen Überprüfung wird erwartet, dass die Verordnung Ende Sommer 2024 vom neu gewählten Europäischen Parlament und vom Rat der EU offiziell verabschiedet wird. Der endgültige Text wird dann im Amtsblatt der EU veröffentlicht und tritt 20 Tage später in Kraft. Im Anschluss wird die Umsetzung des CRA in verschiedenen Phasen von Ende 2024 bis 2027 erfolgen:

• 18 Monate nach Inkrafttreten des CRA, also wahrscheinlich nicht vor Frühjahr 2026, werden Konformitätsbewertungsstellen (CABs) autorisiert, die Konformität von Produkten mit den CRA-Anforderungen zu bewerten.
• 3 Monate später, also wahrscheinlich gegen Sommer 2026, werden Hersteller vernetzter Produkte den verpflichtenden Meldepflichten für Schwachstellen und Vorfälle unterliegen.
• Schließlich, 3 Jahre nach Inkrafttreten des CRA, also nicht vor Herbst 2027, werden alle CRA-Anforderungen gelten, einschließlich wesentlicher Cybersicherheitsanforderungen vor dem Inverkehrbringen eines Produkts, der Behandlung von Schwachstellen während des gesamten Lebenszyklus des Produkts und der Transparenz gegenüber dem Benutzer.