© Foto von Luca Bravo auf unsplash.com

Cyber Resilience Act

Mehr Sicherheit für vernetzte Geräte

Wenn alles vernetzt ist, kann alles gehackt werden.
– Ursula von der Leyen

Cyberkriminalität ist mittlerweile eine mehr als ernst zu nehmende Gefahr. Insbesondere mit der zunehmenden Vernetzung durch das Internet of Things (IoT), kann man sich nicht mehr 100%ig gegen diese Bedrohung absichern. Während es im Jahr 2022 etwa 10 Milliarden IoT-Geräte weltweit gab[1], wird sich diese Zahl bis 2025 vermutlich verdoppelt haben. Mit der zunehmenden Konnektivität eröffnen sich zahlreiche Möglichkeiten, jedoch haben sich leider auch die Risiken vervielfacht. Denn je mehr Verbindungen es gibt, desto mehr kann auch gehackt werden. Und je umfangreicher die Abhängigkeiten zwischen den Geräten ist, desto eher findet sich ein Schwachpunkt, über den man auch die stärker gesicherten Komponenten angreifen kann. Umso wichtiger wird es, die genutzten Programme und die Software der vernetzten Geräte sowie deren Verarbeitungskette sorgfältig abzusichern.

Zu diesem Thema hat die EU im September 2022 unter dem Namen Cyber Resilience Act (CRA) einen Entwurf vorgestellt, der für mehr Cybersicherheit bei Hardware und Software sorgen soll. Der Entwurf wird aktuell noch diskutiert und verfeinert, soll aber laut EU-Zeitplan im Sommer 2024 verabschiedet werden können[2].

Worum geht es?

Bei den meisten genutzten Geräten, die auf Software beruhen, treten früher oder später Sicherheitslücken auf. Schwierigkeiten entstehen vor allem dann, wenn diese Sicherheitslücken gar nicht oder nicht rechtzeitig behoben werden und Kund:innen sowie Nutzer:innen vor dem Kauf nicht ausreichend informiert werden. Diese Schwachstellen haben im Jahr 2021 weltweit Kosten in Höhe von etwa 5,5 Billionen Euro verursacht.

Aus den genannten Schwierigkeiten ergeben sich zwei Hauptziele für den CRA
  1. „Produkte mit digitalen Elementen“ sollen weniger angreifbar sein.
    Dies soll geschehen, indem vom Entwurf betroffene Hardware und Software zum einen ohne Schwachstellen auf den Markt gebracht werden und zum anderen aufkommende Schwachstellen innerhalb des Lebenszyklus des Produkts geschlossen („gepatcht“) werden. Der Lebenszyklus wird vom Entwurf aktuell auf 5 Jahre ausgelegt.
  2. Den Nutzer:innen soll es einfacher gemacht werden, bei der Auswahl geeigneter Produkte auf deren Cybersicherheit zu achten. Unter anderem sollen Zertifizierungen notwendig sein und mehr bzw. bessere Informationen hierzu bereitgestellt werden.

Sobald Hardware oder Software auf den Markt gebracht wird, sollen für die Hersteller und ggf. Distributoren und Importeure demnach besondere Verantwortlichkeiten und Regeln gelten. Zukünftig soll jeder Hersteller, der Produkte mit digitalen Elementen auf den Markt bringt, für die Sicherheit dieser verantwortlich sein. Das beinhaltet neben der angesprochenen Bereitstellung von Sicherheitsupdates auch Reporting-Pflichten, bei denen Sicherheitslücken, die ausgenutzt werden (können), an die zuständige europäische Behörde (ENISA) gemeldet werden müssen.

Welche Geräte sind wie betroffen?

Unter „Produkten mit digitalen Elementen“ zählen zum Beispiel Laptops und Smartphones oder auch Software wie Betriebssysteme, Spiele oder Apps. Explizit ausgeschlossen sind nicht-kommerzielle Projekte (z. B. Open Source), solange diese Projekte nicht Teil einer kommerziellen Tätigkeit sind. Auch Dienstleistungen, insbesondere solche, die bereits durch die NIS-2-Richtlinie abgedeckt sind, bzw. Produkte, die bereits ausreichend anderweitig reguliert sind (z. B. viele Produkte, die mit embedded Software funktionieren), sind vom CRA ausgenommen.

Ähnlich der KI-Richtlinie der EU werden auch hier die Produkte in Risikoklassen eingeteilt, für die verschiedene Risikoabschätzungen und Minderungsmaßnahmen durchgeführt werden müssen. Die EU schätzt, dass etwa 90% aller Produkte in die Standardkategorie fallen werden. Lediglich 10% der Produkte werden strengeren Auflagen und ggf. sogar verpflichtenden Zertifizierungen unterliegen. Unterschiede gibt es zum Beispiel auch darin, ob die Risikoeinschätzung bzw. die Konformitätsprüfung selbst durchgeführt werden darf oder durch eine unabhängige dritte Partei erfolgen muss. Grundsätzlich gelten jedoch immer die Prinzipien Cybersecurity by Design und Cybersecurity by Default.

Welche Hilfsmittel stellt die EU bereit?

KMU werden bei der Umsetzung des CRA finanzielle Hilfe erhalten können. Zusätzlich werden Standards für verschiedene technische Anwendungen und Verfahren entwickelt, an denen das eigene Produkt geprüft und entwickelt werden kann. Diese Standards werden allerdings voraussichtlich erst 24 Monate nach Inkrafttreten der Verordnung fertig sein, vermutlich also im Sommer 2026. Anzumerken sei an dieser Stelle jedoch auch, dass die meisten Bestimmungen des CRA ebenfalls erst 24 Monate nach Inkrafttreten wirksam werden.

Überwachung und Sanktionsmöglichkeiten

Für die Überwachung und Sanktionierung von Nichtkonformität sind die Aufsichtsbehörden zuständig. Diese können sowohl Informationen als auch Dokumente anfordern oder Prüfungen durchführen.

Sollten Verstöße festgestellt werden, …
  1. … kann der Hersteller dazu verpflichtet werden, entstandene Risiken zu beseitigen und Non-Compliance zu beenden.
  2. … kann das Produkt vom Markt genommen oder zurückgerufen, bzw. der Produkt-Launch verboten werden.
  3. … können Bußgelder in Höhe von bis zu 15.000.000€ oder bis zu 2,5% des weltweiten Umsatzes verhängt werden.

Fazit und Handlungsempfehlungen

Der CRA soll für mehr Cybersicherheit sorgen.
Hersteller werden dadurch in die Verantwortung gezogen, Sicherheitslücken zu beheben sowie Risikoeinschätzungen durchzuführen. Betroffen sind Unternehmen unabhängig der Größe gleichermaßen.

Nachdem der CRA noch im Entwurfsstadium ist, können sich Unternehmen noch nicht auf belastbare Informationen verlassen. Ein erster Schritt wäre zum Beispiel, zu prüfen, ob die eigenen Produkte unter die Definition der „Produkte mit digitalen Elementen“ fallen und (Entwicklungs-) Teams interdisziplinär mit mehr IT-Expertise zu besetzen. Nachdem auch viele Wechselwirkungen mit anderen Gesetzen und Verordnungen zu sehen sind, wie zum Beispiel dem AI Act oder der NIS-2-Richtlinie, tun Unternehmen gut daran, sich bereits jetzt grundsätzlich mit dem neuen Rechtsrahmen und dessen Zielen auseinander zu setzen.
Wer außerdem jetzt bereits mehr Augenmerk auf die Beseitigung von Cyberrisiken in den eigenen Produkten legt, hat in Zukunft klar die Nase vor. Unabhängig davon, wie der CRA genau ausgestaltet sein wird, ist nämlich die grundsätzliche Ausrichtung der EU auf mehr Cybersicherheit sehr deutlich.


Notes
[1] statista.com/statistics/1183457/iot-connected-devices-worldwide
[2] germany.representation.ec.europa.eu/news/kommission-will-cybersicherheit-von-vernetzten-geraten-erhohen-2022-09-15_de

Total
0
Shares
Prev
LAG Thüringen: Keine Pflicht des Arbeitnehmers zur Mitteilung der privaten Mobiltelefonnummer | 16.05.2018 (Az. 6 Sa 442/17)
Markenparfüm Discounter

LAG Thüringen: Keine Pflicht des Arbeitnehmers zur Mitteilung der privaten Mobiltelefonnummer | 16.05.2018 (Az. 6 Sa 442/17)

Urteil der Woche

Next
NIS 2
© Foto von Philipp Katzenberger auf unsplash.com

NIS 2

Verschärfte Sicherheitsanforderungen für Betreiber kritischer Infrastruktur

You May Also Like