Verbundene Produkte mit einer besseren Sicherheit

Der Cyber Resilience Act (CRA) wurde am 20. November 2024 veröffentlicht. Diese neue Verordnung der EU enthält „horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen“. Anders ausgedrückt legt er Mindestanforderungen für die Cybersicherheit aller vernetzten Produkte fest, die auf dem EU-Markt angeboten werden, und macht das Internet der Dinge (IoT) sicherer. Die neuen Regeln gelten in allen EU-Ländern und werden schrittweise umgesetzt. Es wird letztlich erwartet, dass der CRA dazu beiträgt, die Vision des ZCB zu verwirklichen, Belgien sicherer im Bereich Cybersicherheit zu machen, indem er dafür sorgt, dass sowohl Bürger als auch öffentliche und private Organisationen weniger anfällig für Cyberangriffe sind.

Siehe auch unten Häufig gestellte Fragen

Warum diese Verordnung?

Bürger und Organisationen sind in ihrem täglichen Leben zunehmend von vernetzten Produkten abhängig. Denken Sie zum Beispiel an Smartphones, an smarte Kameras, die zu Sicherheitszwecken verwendet werden, an intelligente Zähler, die verwendet werden, um die Produktion und den Verbrauch von Strom zu optimieren, usw. Gleichzeitig haben viele vernetzte Produkte, die auf den Markt gebracht werden, immer noch geringe Cybersicherheitsstandards (z. B. schwache Standardpasswörter, fehlende Datenverschlüsselung, ...), was sie zu idealen Zielen für Cyberangriffe macht. Solche kleineren Schwachstellen können sogar zu schweren Supply-Chain-Angriffen führen, die wesentliche Akteure beeinträchtigen und potenziell schwere Auswirkungen auf unsere Wirtschaft und Gesellschaft haben können. Da sich die Nutzer oft der Risiken nicht bewusst sind und schlecht darauf vorbereitet sind, sich zu schützen, wurde der CRA entwickelt, um sicherzustellen, dass Hersteller die Cybersicherheit ihre Produkte verbessern und dass Produkte während ihres gesamten Lebenszyklus sicher gemacht werden können.

Welche „vernetzten Produkte“ fallen unter den CRA?

Die Produkte, die unter den CRA fallen, reichen von günstigen Produkten für Verbraucher bis hin zu B2B-Software und komplexen industriellen Systemen. Genauer gesagt werden „Produkte mit digitalen Elementen“ definiert als Produkte, die irgendwie mit einem Gerät oder einem Netzwerk verbunden sein können und folgendes umfassen:

  • Hardware-Produkte mit vernetzten Funktionen wie Smartphones, Laptops, Überwachungskameras, Smartwatches, vernetzte Spielzeuge, aber auch Router, Firewalls und Smart Meter,
  • Software, die nicht in ein Produkt integriert ist und separat verkauft wird, wie z. B. Buchhaltungssoftware und mobile Spiele-Apps.

Von den folgenden Produkten gelten jedoch keine Anforderungen des CRA:

  • Open-Source-Software für nicht kommerzielle Zwecke,
  • Ersatzteile, die identische Komponenten in vernetzte Produkte ersetzen (sofern sie nach den gleichen Spezifikationen hergestellt werden),
  • Prototypen, die auf Messen ausgestellt werden (unter bestimmten Bedingungen),
  • Unvollständige Software, die zu Testzwecken für eine begrenzte Zeit verwendet wird (unter bestimmten Bedingungen),
  • Cloud-Dienste und Software-as-a-Service (SaaS), die durch die NIS2-Richtlinie separat geregelt werden,
  • Produkte „die ausschließlich für nationale Sicherheits- oder Verteidigungszwecke entwickelt wurden oder speziell für die Verarbeitung klassifizierter Informationen bestimmt sind“,
  • Produkte, die durch andere europäische Gesetzgebungen geregelt werden, wie z. B. Medizinprodukte, Kraftfahrzeuge, maritime Ausrüstungen und Produkte, die in der zivilen Luftfahrt verwendet werden.

Wer ist von den neuen Regeln betroffen?

Alle Hersteller, die Produkte auf den EU-Markt bringen, müssen sich an den CRA halten, auch wenn sie außerhalb der EU ansässig sind. Beispielsweise gilt der CRA für einen US-Entwickler, der eine mobile App auf europäischen Smartphones verkauft, oder für einen chinesischen Hersteller, der Solarpaneele in Belgien verkauft.

Der CRA verpflichtet hauptsächlich die Hersteller (in Bezug auf das Design, die Konformitätsbewertung ihrer Produkte, die Meldung von Schwachstellen und Sicherheitsvorfällen, die Transparenz gegenüber den Nutzern...), um sicherzustellen, dass ihre Produkte sicher sind, bevor sie auf den EU-Markt kommen, aber auch während des gesamten Produktlebenszyklus.

Der CRA enthält auch Bestimmungen, die andere Parteien betreffen, wie z. B. Importeure, Händler, Open-Source-Software-Manager (wie Stiftungen), Konformitätsbewertungsstellen (KBS/CABs) und öffentliche Behörden (nationale Cybersicherheitsbehörden, Marktaufsichtsbehörden).

Was sind die wichtigsten Verpflichtungen für Hersteller von vernetzten Produkten?

Die wichtigste Neuerung des CRA ist, dass er ein Mindestniveau an Cybersicherheit für alle vernetzten Produkte auf dem EU-Markt festlegt – etwas, das vorher nicht existierte. Beispielsweise:

  • Entsprechend dem Prinzip „Cybersicherheit durch Technikgestaltung“ müssen vernetzte Produkte mit Blick auf Cybersicherheit entwickelt werden, z. B. durch die Gewährleistung, dass die in oder durch das Produkt gespeicherten oder übermittelten Daten verschlüsselt sind und die Angriffsfläche so gering wie möglich gehalten wird.
  • Entsprechend dem Prinzip „Cybersicherheit als Voreinstellung“ müssen die Standardkonfigurationen von vernetzten Produkten, wo immer möglich, zur Verringerung von Schwachstellen beitragen, z. B. durch das Verhindern schwacher Standardpasswörter und das automatische Bereitstellen von Sicherheitsupdates.
  • Um den Nutzern zu helfen, Kaufentscheidungen nicht nur auf der Grundlage des Preises und der Funktionalität zu treffen, sondern auch des Cybersicherheitsniveaus, erhöht der CRA die Transparenz für die Nutzer, indem er eine klare Offenlegung auf dem Produkt oder der Verpackung des Datums der Beendigung des Supportzeitraums fordert, d. h. das Datum, bis zu dem der Hersteller Sicherheitsupdates bereitstellt.
  • Um den Austausch von Informationen über Schwachstellen zu fördern und eine schnelle Lösung durch Patches zu gewährleisten, verpflichtet der CRA Hersteller, alle aktiv ausgenutzten Schwachstellen sowie schwerwiegende Vorfälle, die die Sicherheit von vernetzten Produkten betreffen, innerhalb von 72 Stunden (mit einer Frühwarnung innerhalb von 24 Stunden) an die Behörden zu melden. Um den Meldungsprozess für Hersteller zu erleichtern und einen sicheren und effizienten Austausch von Daten zwischen den europäischen Computer Security Incident Response Teams (CSIRTs) und der ENISA zu gewährleisten, sieht der CRA die Einrichtung einer neuen zentralen Meldestelle mit mehreren nationalen „Kontaktpunkten“ vor.

Gilt dasselbe für alle Produkte?

Ja und nein. Einerseits gibt es einen einheitlichen Satz von Cybersicherheitsanforderungen, die für alle vernetzten Produkte gelten, unabhängig davon, ob sie billig oder teuer sind, ob sie von Verbrauchern oder fortgeschrittenen gewerblichen Nutzern verwendet werden. Verpflichtungen wie die Meldung von Schwachstellen und Vorfällen und die klare Angabe des Supportzeitraums für ein Produkt gelten für alle Produkttypen.

Andererseits unterscheidet sich das Verfahren zur Bewertung der Konformität der Produkte mit den CRA-Regeln je nach Produkttyp. Diese Produkte, die als „wichtig“ oder „kritisch“ aus Cybersicherheitsgründen gelten, sind in den Anhängen III und IV der Verordnung aufgeführt (z. B. Passwort-Manager, Firewalls, Smartcards, Smart Meter…). Diese Produkte müssen strengere Konformitätsbewertungsverfahren durchlaufen, z. B. eine Cybersicherheitszertifizierung der EU (oder eine gleichwertige nationale Zertifizierung) erhalten, von einem externen Prüfer im Rahmen des bestehenden Produktregulierung (NLF) bewertet werden oder – in einigen begrenzten Fällen – den harmonisierten Normen auf europäischer Ebene entsprechen, um die Anforderungen des CRA zu erfüllen.

Was ist mit Open-Source-Software?

Es ist wichtig zu beachten, dass Open-Source-Software für nicht-kommerzielle Zwecke, wie Software, deren Quellcode öffentlich zugänglich ist und kostenlos heruntergeladen werden kann, nicht den Anforderungen des CRA unterliegt, da viele Open-Source-Projekte auf freiwillige Beiträge angewiesen sind und die Auferlegung strenger gesetzlicher Verpflichtungen auf diese Projekte ihre Existenz gefährden könnte.

Andere Arten von Open-Source-Software werden jedoch kommerziell vertrieben und können weltweit von Einzelpersonen und Organisationen in großem Maßstab genutzt werden. Diese Software muss wie andere kommerzielle Software behandelt werden und unterliegt daher den gleichen Anforderungen des CRA.

Der CRA sieht jedoch ein spezielles Regime für Open-Source-Software vor, die nach einem Stiftungsmodell verwaltet wird, da Stiftungen oft die Rolle von „Managern“ von Open-Source-Projekten spielen und nicht für die Arbeit einzelner Entwickler verantwortlich gemacht werden können. Im Rahmen des speziellen Regimes, das der CRA geschaffen hat, müssen Open-Source-Manager keine Konformitätsbewertungsverfahren nach CRA durchlaufen, müssen jedoch ihre Cybersicherheitspolitik dokumentieren. Sie müssen auch Sicherheitsvorfälle und Schwachstellen melden, die sie betreffen, und werden ermutigt, an freiwilligen Sicherheitszertifizierungsprogrammen teilzunehmen.

Besteht nicht die Gefahr, dass kleine Hersteller mit den neuen Anforderungen überfordert werden?

Der CRA berücksichtigt, dass einige Unternehmen, insbesondere kleine Unternehmen, Schwierigkeiten haben könnten, die Cybersicherheitsanforderungen der Verordnung umzusetzen. Die Verordnung erkennt auch an, dass kleine Unternehmen über begrenzte Ressourcen für Investitionen in Cybersicherheit verfügen. Daher ist vorgesehen, dass die EU im Rahmen ihres Cybersicherheitsplans für die EU kleine und mittlere Unternehmen (KMU) in Bezug auf die Schulung und Weiterbildung unterstützt, damit sie den CRA umsetzen können. Außerdem muss jeder EU-Mitgliedstaat einen speziellen Kommunikationskanal für Mikro-Unternehmen und kleine Unternehmen einrichten, um deren Fragen und Beratungsanfragen zur Umsetzung des CRA zu beantworten.

Was bedeutet der CRA für Verbraucher und kommerzielle Nutzer vernetzter Produkte?

Heutzutage haben Verbraucher oft Schwierigkeiten, zu wissen, ob ein vernetztes Produkt ausreichend sicher ist oder ob es leicht von Dritten gehackt werden kann. Dank des CRA können sich europäische Verbraucher sicher sein, dass die Produkte, die sie auf dem EU-Markt kaufen, mindestens den festgelegten Sicherheitsstandards entsprechen und keine wesentlichen bekannten Schwachstellen oder schwache Standardkonfigurationen aufweisen.

Aber der CRA ermöglicht es den Verbrauchern auch, fundiertere Entscheidungen zu treffen, indem er von Herstellern verlangt, dass sie transparent gegenüber des Cybersicherheitsniveaus ihre Produkte sind. Eine der wichtigsten Neuerungen des CRA ist, dass Hersteller verpflichtet sind, auf dem Produkt, der Verpackung oder einer leicht zugänglichen Webseite deutlich anzugeben, bis zu welchem Datum Sicherheitsupdates für das Produkt bereitgestellt werden. Mit anderen Worten, Nutzer können nicht nur Produkte nach Preis und Funktionen vergleichen, sondern auch nach der Dauer des Supportzeitraums – ein entscheidender Faktor, um sicherzustellen, dass Produkte während ihrer voraussichtlichen Lebensdauer sicher genutzt werden können.

Welche Rolle spielt das ZCB bei der ordnungsgemäßen Umsetzung des CRA?

Durch die Förderung von Cybersicherheit durch Technikgestaltung und Cybersicherheit als Voreinstellung, die Pflicht zur Meldung aktiv ausgenutzter Schwachstellen und die Gewährleistung eines ordnungsgemäßen Update-Prozesses wird der CRA dem ZCB helfen, seine Vision zu verwirklichen, Belgien zu einem der sichersten Länder im Bereich Cybersicherheit zu machen. Als nationale Cybersicherheitsbehörde:

  • Arbeitet das ZCB daran, Bürger und Organisationen für die Bedeutung der Cybersicherheit zu sensibilisieren und effektive Schutzmaßnahmen zu fördern. Das ZCB wird die Bewusstseinsbildung und die Umsetzung des CRA unterstützen und dabei besonderen Augenmerk auf kleine Hersteller und Entwickler legen. Beispielsweise wird das Nationale Koordinierungszentrum (NCC-BE) den belgischen Marktakteuren Informationen zu EU-Finanzierungsmöglichkeiten sowie zu Schulungen und Werkzeugen bereitstellen, die die Umsetzung des CRA unterstützen.
  • Es fungiert als Computer Security Incident Response Team (CSIRT) für Belgien und empfängt Meldungen zu Schwachstellen und Sicherheitsvorfällen von Organisationen, ob verpflichtend oder freiwillig. Im Rahmen des CRA wird das ZCB die künftige zentrale Meldestelle von ENISA, um die Meldungen von Schwachstellen und Vorfällen von Herstellern vernetzter Produkte zu sammeln, die den CRA-Meldeanforderungen unterliegen.
  • Es fungiert als Nationale Zertifizierungsbehörde für Cybersicherheit (NCCA). In dieser Funktion trägt das ZCB aktiv zur Entwicklung der CRA-Normen bei und spielt eine Rolle in der Überwachung des CRA-Konformitätsbewertungssystems – was in einigen Fällen auch eine Cybersicherheitszertifizierung umfassen wird.

Wann tritt der CRA in Kraft?

Der CRA tritt offiziell 20 Tage nach seiner Veröffentlichung in Kraft, also am 10. Dezember 2024. Da es sich um eine EU-Verordnung handelt und nicht um eine Richtlinie, ist sie in allen EU-Ländern unmittelbar anwendbar, ohne dass eine nationale Umsetzung erforderlich ist. Es gibt jedoch eine Übergangsfrist, um sicherzustellen, dass die Wirtschaftsteilnehmer ausreichend Zeit haben, sich auf die neuen Anforderungen einzustellen. Die Umsetzung des CRA erfolgt schrittweise zwischen Ende 2024 und 2027:

  • 18 Monate nach Inkrafttreten des CRA werden Konformitätsbewertungsstellen (KBS/CABs) befugt sein, die Konformität der Produkte mit den CRA-Anforderungen zu bewerten.
  • 3 Monate später werden Hersteller von vernetzten Produkten verpflichtet sein, Schwachstellen und Sicherheitsvorfälle zu melden.
  • Schließlich, 3 Jahre nach Inkrafttreten des CRA, werden alle CRA-Anforderungen anwendbar sein, einschließlich der grundlegenden Cybersicherheitsanforderungen bevor ein Produkt auf den Markt kommt, des Umgangs mit Schwachstellen während des gesamten Produktlebenszyklus und der Transparenz gegenüber dem Nutzer.

Fragen und Antworten zur Cyber Resilience Act (CRA)

Frequently Asked Questions

 

Die Cyberresilienz-Verordnung oder der Cyber Resilience Act (CRA) wurde am 20.11.2024 verabschiedet. Hier sind einige vorläufige Antworten auf die am häufigsten gestellten Fragen zu dieser neuen europäischen Verordnung und ihrer Anwendung in Belgien. Bitte beachten Sie, dass die hier bereitgestellten Informationen nur zu Informationszwecken dienen und nicht als Rechtsberatung gedacht sind. Der Rechtstext der CRA, sobald veröffentlicht, wird Vorrang vor jeglichen hier bereitgestellten Erklärungen haben.

  • Was ist der CRA?

    Der Cyber Resilience Act ist die erste europäische Verordnung, die Mindestanforderungen an die Cybersicherheit für alle auf dem EU-Markt angebotenen vernetzten Produkte vorschreibt. Sein Ziel: das sogenannte "Internet of Things" (IoT) sicherer zu machen. Die neuen Regeln gelten in allen EU-Ländern und werden in Phasen umgesetzt. Letztendlich wird erwartet, dass der CRA zur Vision des Zentrums für Cybersicherheit Belgien (ZCB) beiträgt, Belgien durch die Gewährleistung der Sicherheit seiner Bürger und Organisationen, ob öffentlich oder privat, weniger anfällig für Cyberangriffe zu machen.

    Bürger und Organisationen verlassen sich im Alltag zunehmend auf vernetzte Produkte. Gleichzeitig weisen viele auf den Markt gebrachte vernetzte Produkte immer noch niedrige Cybersicherheitsstandards auf (z.B. schwache Standardpasswörter, keine Datenverschlüsselung, schwierige Aktualisierungsprozesse), was sie zu idealen Zielen für Cyberangriffe macht. Da Benutzer oft nicht über die Risiken informiert sind und unzureichend ausgestattet sind, um sich zu schützen, ist der CRA so gestaltet, dass er Hersteller dazu anhält, ihren Teil beizutragen. Sie müssen Produkte entwerfen, die sicherer sind und es den Benutzern leichter machen, diese Produkte während deren gesamten Lebenszyklus in einem sicheren Zustand zu halten.

  • Welche Art von „vernetzten Produkten“ wird der CRA betreffen?

    Die von dem CRA abgedeckten Produkte reichen von kostengünstigen Verbraucherprodukten über B2B-Software bis hin zu komplexen industriellen Systemen. Speziell werden „Produkte mit digitalen Elementen“ als Produkte definiert, die mit einem Gerät oder Netzwerk verbunden werden können und folgendes umfassen:

    • Hardwareprodukte mit Vernetzungsfunktionen wie zum Beispiel Smartphones, Laptops, Heimkameras, Smartwatches, vernetzte Spielzeuge, aber auch Modems, Firewalls und intelligente Messgeräte,
    • Software, die nicht in ein Produkt eingebettet ist und eigenständig verkauft wird, wie zum Beispiel Buchhaltungssoftware, Online-Spiele und Mobile Apps.

    Produkte, die NICHT den Anforderungen des CRA unterliegen, umfassen nicht-kommerzielle Open-Source-Software, Cloud-Dienste und Software as a Service (SaaS), wobei die letzteren beiden bereits unter der NIS2-Richtlinie reguliert sind.

  • Wer ist von den neuen Regeln betroffen?

    Alle Hersteller, die Produkte auf den EU-Markt bringen, müssen den CRA einhalten, auch wenn sie außerhalb der EU ansässig sind. Zum Beispiel gilt der CRA für einen US-Entwickler, der eine mobile App auf europäischen Handys verkauft, oder für einen chinesischen Hersteller, der Solarmodule in Belgien verkauft. Auch Händler und Importeure von vernetzten Produkten müssen sicherstellen, dass die Regeln eingehalten werden.

  • Was werden die neuen Anforderungen sein?

    Eine große Neuheit des CRA ist, dass er ein Mindestmaß an Cybersicherheit für alle auf dem EU-Markt verfügbaren vernetzten Produkte definiert – etwas, das zuvor nicht existierte. Zum Beispiel:

    • Im Einklang mit dem Prinzip „Cybersecurity by design“ müssen vernetzte Produkte unter Berücksichtigung der Cybersicherheit konzipiert werden, z.B. durch die Verschlüsselung von gespeicherten oder übertragenen Daten innerhalb des Produkts und durch die Minimierung der Angriffsfläche.
    • Im Einklang mit dem Prinzip der „Cybersecurity by default“ müssen die Standardeinstellungen vernetzter Produkte, soweit möglich, zur Verringerung von Schwachstellen beitragen, z.B. durch das Verbot schwacher Standardpasswörter, durch die Voraussetzung einer automatischen Installation von Sicherheitsupdates, usw.
    • Um den Benutzern zu helfen, gut informierte Kaufentscheidungen zu treffen, d.h. nicht nur basierend auf Preis und Funktionalität, sondern auch in Bezug auf Cybersicherheit, verbessert der CRA die Transparenz für den Benutzer, indem es unter anderem eine klare Offenlegung des Endes der Unterstützungsfrist auf dem Produkt oder seiner Verpackung fordert. Hier geht es um das Datum, bis zu dem sich der Hersteller verpflichtet, Sicherheitsupdates bereitzustellen.
    • Um den Austausch von Informationen über Schwachstellen und schnelle Behebungen durch Patching zu unterstützen, wird der CRA verlangen, dass aller aktiv ausgenutzten Schwachstellen sowie schwerwiegender Vorfälle, die die Sicherheit vernetzter Produkte beeinträchtigen innerhalb von 72 Stunden (mit einer Vorwarnung innerhalb von 24 Stunden), an die öffentlichen Behörden gemeldet werden. Um den Meldeprozess für Hersteller zu vereinfachen und einen sicheren und effizienten Austausch der Daten zwischen den europäischen Computer-Sicherheitsvorfall-Reaktionsteams (CSIRTs) und der ENISA zu gewährleisten, sieht der CRA die Schaffung einer neuen einheitlichen Meldeplattform mit verschiedenen nationalen „Endpunkten“ vor.
  • Werden die Regeln für alle Produkte identisch sein?

    a und nein. Einerseits enthält der CRA einen einheitlichen Satz von Cybersicherheitsanforderungen, der für alle vernetzten Produkte gilt, unabhängig von dessen Preis, ob sie von einzelnen Verbrauchern oder anspruchsvollen Geschäftsnutzern verwendet werden. Die Anforderungen zur Meldung von Schwachstellen und zur klaren Angabe des Endes der Unterstützungsperiode auf dem Produkt werden beispielsweise für alle Produktarten gelten.

    Andererseits wird das Verfahren zur Bewertung, ob Produkte den CRA-Regeln entsprechen, für Standardprodukte und für Produkte, die aus Sicht der Cybersicherheit als sensibler eingestuft werden, unterschiedlich sein. Diese Produkte werden als „wichtig“ oder „kritisch“ bezeichnet und in den Anhängen III & IV der Verordnung aufgelistet (z. B. Passwortmanager, Firewalls, Smartcards, intelligente Messgeräte, ...). Sie müssen strengeren Konformitätsbewertungsverfahren unterzogen werden, z.B. durch Erhalt einer EU-Cybersicherheitszertifizierung (oder entsprechender nationaler Zertifizierung), durch eine Bewertung der Einhaltung der Anforderungen durch einen Drittpartei-Auditor im Rahmen der bestehenden Produktgesetzgebung (NLF) oder – in begrenzten Fällen – durch Einhaltung harmonisierter Standards, die auf europäischer Ebene anerkannt sind um die CRA-Anforderungen zu erfüllen. Die EU arbeitet derzeit an der Entwicklung der notwendigen Standards für diese verschiedenen Produktarten.

  • Was ist mit Open-Source-Software?

    Wichtig ist, dass nicht-kommerzielle Open-Source-Software nicht den Verpflichtungen des CRA unterliegt, da viele Open-Source-Projekte auf den Beitrag von Freiwilligen basieren und weil die Auferlegung strenger rechtlicher Verpflichtungen für solche Projekte deren Existenz gefährden könnte.

    Andere Arten von Open-Source-Software, die auf kommerzieller Basis vertrieben werden, werden jedoch genauso behandelt wie geschlossene kommerzielle Software und unterliegen somit denselben CRA-Anforderungen. Als Ausnahme für diese Kategorie sieht der CRA ein spezielles Regime für kommerzielle Open-Source-Software vor, die von einer Stiftung gewartet wird, da diese typischerweise als „Verwalter“ von Open-Source-Projekten agieren und nicht für die Arbeit einzelner Entwickler haftbar gemacht werden können.

    Da jedoch so viele kommerzielle Produkte stark von freier und Open-Source-Software abhängen, schließt der CRA diese Lücke, indem er Hersteller (oder Verteiler oder Importeure) dieser Produkte dazu verpflichtet, zu überprüfen ob die von ihnen verwendete Open-Source-Software auch sicher ist. Auf diese Weise wird die Möglichkeit von Angriffen auf die Lieferkette begrenzt.

  • Besteht nicht das Risiko, dass es für kleine Hersteller zu belastend wird, die CRA zu erfüllen?

    Um sicherzustellen, dass kleine und Kleinstunternehmen nicht im Nachteil gegenüber größeren Firmen stehen, enthält der CRA mehrere Bestimmungen, die darauf abzielen, die Compliance-Belastung für KMUs zu reduzieren. Beispiele für solche Maßnahmen umfassen die Möglichkeit für KMUs, ein vereinfachtes Format für die Erstellung der technischen Dokumentation ihrer Produkte zu verwenden, sowie die Verpflichtung für Konformitätsbewertungsstellen, die Größe eines Unternehmens bei der Festlegung der zu zahlenden Gebühren für eine Konformitätsbewertung zu berücksichtigen.

    Öffentliche Behörden werden ebenfalls eine Schlüsselrolle bei der Unterstützung kleinerer Hersteller in ihren Compliance-Bemühungen spielen. Die Europäische Kommission hat sich verpflichtet, speziell auf KMUs zugeschnittene CRA-Richtlinien zu veröffentlichen, während jedes EU-Land einen speziellen Kommunikationskanal für den Austausch mit kleinen und Kleinstunternehmen einrichten muss, um deren Anfragen und Anfragen zur Beratung bei der CRA-Umsetzung zu beantworten.

  • Der CRA sieht die Schaffung einer einzigen Plattform für die Meldung von Schwachstellen auf europäischer Ebene vor. Wird es dadurch nicht einfacher für böswillige Akteure, Schwachstellen zu finden und auszunutzen?

    Erstens ist es wichtig zu betonen, dass Hersteller nur aktiv ausgenutzte Schwachstellen an die einheitliche Meldeplattform melden müssen. Das bedeutet, dass die unter dem CRA gemeldeten Schwachstellen bereits von böswilligen Akteuren für Cyberangriffe genutzt worden sind.

    Zweitens dient die einheitliche Meldeplattform dazu, eine reibungslose und effiziente Übermittlung von Informationen über Schwachstellen und Vorfälle zwischen nationalen Cybersicherheitsbehörden (Computer Security Incident Response Teams) und der ENISA zu gewährleisten. Die Plattform wird keine sensiblen Informationen speichern, wie beispielsweise über ungepatchte Schwachstellen. Mehrere technische, betriebliche und organisatorische Sicherheitsmaßnahmen werden implementiert, um sicherzustellen, dass die Plattform sicher entwickelt und betrieben wird, wobei besonderes Augenmerk auf die Vertraulichkeit der übertragenen Daten gelegt wird.

    Schließlich sollte die durch den CRA eingerichtete einheitliche Meldeplattform nicht mit der europäischen Schwachstellendatenbank verwechselt werden, die durch die NIS2-Richtlinie etabliert wurde.

  • Was bedeutet der CRA für Verbraucher und Geschäftsnutzer vernetzter Produkte?

    Heute fällt es Verbrauchern oft schwer zu wissen, ob ein vernetztes Produkt ausreichend sicher ist oder ob es leicht von Dritten gehackt werden kann. Dank dem CRA werden europäische Verbraucher die Gewissheit haben, dass die Produkte, die sie in der EU kaufen, Mindeststandards entsprechen und nicht etwa eine große bekannte Schwachstelle oder schwache Standardeinstellungen aufweisen.

    Der CRA ermächtigt jedoch auch die Verbraucher, besser informierte Entscheidungen zu treffen, indem er Transparenz von den Herstellern über das Cybersicherheitsniveau ihrer Produkte verlangt. Eine der wichtigen Neuerungen des CRA ist, dass er von Herstellern verlangt, klar auf dem Produkt, auf seiner Verpackung oder auf einer leicht zugänglichen Webseite anzugeben, bis wann Sicherheitsupdates für das Produkt bereitgestellt werden. Mit anderen Worten: Benutzer können Produkte nicht nur nach ihrem Preis und ihren Merkmalen vergleichen, sondern auch nach der Länge der Unterstützungsperiode – ein wichtiger Indikator, um sicherzustellen, dass Produkte während ihrer erwarteten Lebensdauer sicher verwendet werden können.

  • Wann tritt der CRA in Kraft?

    Da der CRA eine EU-Verordnung und keine Richtlinie ist, wird er direkt in allen EU-Ländern anwendbar sein, ohne dass eine nationale Umsetzung erforderlich ist. Es ist jedoch eine Übergangsperiode vorgesehen, um den Marktbetreibern ausreichend Zeit zur Anpassung an die neuen Anforderungen zu geben. Das Europäische Parlament hat bereits über eine vorläufige Version des Textes abgestimmt. Nach einer rechtlichen und sprachlichen Überprüfung wird erwartet, dass die Verordnung Ende Sommer 2024 vom neu gewählten Europäischen Parlament und vom Rat der EU offiziell verabschiedet wird. Der endgültige Text wird dann im Amtsblatt der EU veröffentlicht und tritt 20 Tage später in Kraft. Im Anschluss wird die Umsetzung des CRA in verschiedenen Phasen von Ende 2024 bis 2027 erfolgen:

    • 18 Monate nach Inkrafttreten des CRA, also wahrscheinlich nicht vor Frühjahr 2026, werden Konformitätsbewertungsstellen (CABs) autorisiert, die Konformität von Produkten mit den CRA-Anforderungen zu bewerten.
    • 3 Monate später, also wahrscheinlich gegen Sommer 2026, werden Hersteller vernetzter Produkte den verpflichtenden Meldepflichten für Schwachstellen und Vorfälle unterliegen.
    • Schließlich, 3 Jahre nach Inkrafttreten des CRA, also nicht vor Herbst 2027, werden alle CRA-Anforderungen gelten, einschließlich wesentlicher Cybersicherheitsanforderungen vor dem Inverkehrbringen eines Produkts, der Behandlung von Schwachstellen während des gesamten Lebenszyklus des Produkts und der Transparenz gegenüber dem Benutzer.