Der EU Cyber Resilience Act: Was Sie wissen müssen
Der EU Cyber Resilience Act ist ein vorgeschlagener Verordnungsentwurf, der die Cybersicherheit von Produkten und Software verbessern soll, die eine digitale Komponente haben und mit dem Internet verbunden sind. Er würde verbindliche Cybersicherheitsanforderungen für Hersteller und Händler solcher Produkte und Software einführen, und sicherstellen, dass sie Sicherheitsupdates und Patches während des gesamten Produktlebenszyklus bereitstellen. Die Verordnung würde auch verlangen, dass Produkte und Software das CE-Zeichen tragen, um ihre Übereinstimmung mit den Cybersicherheitsstandards anzuzeigen. Die Verordnung ist Teil der digitalen Strategie und der Cybersicherheitspolitik der EU und wird derzeit vom Europäischen Parlament und dem Rat diskutiert.
Warum ist der EU Cyber Resilience Act wichtig?
Der EU Cyber Resilience Act ist wichtig, weil er die wachsenden Cyberbedrohungen und Herausforderungen anspricht, die durch die digitale Transformation von Gesellschaft und Wirtschaft entstehen. Laut der Europäischen Kommission sind mehr als 14 Milliarden Geräte in Europa mit dem Internet verbunden, und diese Zahl soll bis 2025 auf 25 Milliarden steigen. Diese Geräte umfassen Smartphones, Laptops, Smart TVs, Smart Watches, Smart Home Appliances, medizinische Geräte, industrielle Maschinen und viele mehr. Viele dieser Geräte sind jedoch nicht sicher genug und können leicht von böswilligen Akteuren gehackt oder kompromittiert werden. Dies kann zu Datenverletzungen, Identitätsdiebstahl, Betrug, Ransomware-Angriffen, Sabotage oder sogar physischen Schäden an Personen und Eigentum führen.
Der EU Cyber Resilience Act zielt darauf ab, diese Risiken zu vermeiden und das Vertrauen und die Sicherheit von Verbrauchern und Unternehmen zu erhöhen. Er würde sicherstellen, dass Produkte und Software von Anfang an mit Sicherheit im Sinn entworfen werden, und dass sie regelmäßig aktualisiert und gewartet werden, um neue Schwachstellen und Bedrohungen anzugehen. Er würde auch einen fairen Wettbewerb für Hersteller und Händler auf dem EU-Markt schaffen und den grenzüberschreitenden Handel und die Zusammenarbeit erleichtern. Darüber hinaus würde er Innovation und Wettbewerbsfähigkeit im EU-Digitalsektor fördern, indem er die Entwicklung und Einführung von modernsten Cybersicherheitstechnologien und -lösungen unterstützt.
Was sind die wichtigsten Merkmale des EU Cyber Resilience Act?
Der EU Cyber Resilience Act hat mehrere wichtige Merkmale, wie zum Beispiel:
- Wesentliche Cybersicherheitsanforderungen: Die Verordnung würde einen Satz von wesentlichen Cybersicherheitsanforderungen definieren, die Produkte und Software erfüllen müssen, bevor sie auf den Markt gebracht werden. Diese Anforderungen würden Aspekte wie Identifizierung, Schutz, Erkennung, Reaktion, Wiederherstellung, Datenschutz, Governance, Risikomanagement und Compliance abdecken. Die Anforderungen würden auf bestehenden Standards und bewährten Verfahren basieren, wie z.B. ISO/IEC 27001 oder ISO/SAE 21434.
- Konformitätsbewertung: Die Verordnung würde ein System der Konformitätsbewertung einführen, um zu überprüfen, ob Produkte und Software den wesentlichen Cybersicherheitsanforderungen entsprechen. Je nach dem Grad des Risikos, das damit verbunden ist, würden Produkte und Software entweder einer Drittprüfung durch benannte Stellen oder einer Selbstbewertung durch Hersteller oder Händler unterzogen werden. Die Konformitätsbewertung würde zu einem Zertifikat oder einer Konformitätserklärung führen, die für einen bestimmten Zeitraum gültig wäre.
- CE-Kennzeichnung: Die Verordnung würde verlangen, dass Produkte und Software das CE-Zeichen tragen, um ihre Übereinstimmung mit den wesentlichen Cybersicherheitsanforderungen anzuzeigen. Das CE-Zeichen würde auch Informationen über das Niveau der Sicherheit (grundlegendes, wesentliches oder hohes) und die Dauer der Gültigkeit der Konformitätsbewertung liefern. Das CE-Zeichen würde von klaren und genauen Informationen über die Cybersicherheitsmerkmale und -eigenschaften von Produkten und Software begleitet werden.
- Sicherheitsupdates: Die Verordnung würde Hersteller und Händler verpflichten, Sicherheitsupdates und Patches für Produkte und Software während ihres Lebenszyklus bereitzustellen. Sie müssten auch die Nutzer über die Dauer und Häufigkeit solcher Updates informieren, sowie über alle Änderungen in der Funktionalität oder Leistung, die daraus resultieren können.
- Schwachstellenmanagement: Die Verordnung würde Hersteller und Händler verpflichten, Produktverwundbarkeiten effektiv zu verwalten, indem sie sie identifizieren, bewerten, mindern, melden und offenlegen. Sie müssten auch mit den zuständigen Behörden und Interessengruppen zusammenarbeiten, falls Vorfälle oder Verstöße auftreten, die die Produktsicherheit oder die Nutzersicherheit beeinträchtigen könnten.
- Durchsetzung: Die Verordnung würde den nationalen Behörden die Befugnis geben, die Einhaltung der Verordnung zu überwachen und durchzusetzen. Sie hätten Zugang zu Informationen über Produkte und Software auf dem Markt sowie zu ihren Konformitätsbewertungen. Sie hätten auch die Möglichkeit, Sanktionen oder Korrekturmaßnahmen im Falle von Nichteinhaltung oder Betrug zu verhängen, wie z.B. Bußgelder, Rückrufe oder Verbote.
Wie wird der EU Cyber Resilience Act Sie beeinflussen?
Der EU Cyber Resilience Act wird verschiedene Interessengruppen auf unterschiedliche Weise beeinflussen:
- Verbraucher: Als Verbraucher werden Sie von sichereren Produkten und Software profitieren, die Ihre Daten, Privatsphäre, Identität, Vermögenswerte und Ihr Wohlbefinden schützen werden. Sie werden auch mehr Informationen und Auswahlmöglichkeiten über die Cybersicherheitsmerkmale und -eigenschaften von Produkten und Software haben, die Sie kaufen oder verwenden. Sie werden sich auf das CE-Zeichen als Garantie für Qualität und Vertrauenswürdigkeit verlassen können.
- Unternehmen: Als Unternehmen werden Sie sich an einen einheitlichen Satz von Cybersicherheitsregeln auf dem EU-Markt halten müssen, was die Komplexität und die Kosten der Einhaltung reduzieren wird. Sie werden auch Zugang zu einem größeren Kundenkreis haben, der Ihren Produkten und Software mehr vertrauen wird. Sie werden in der Lage sein, innovativer und wettbewerbsfähiger im EU-Digitalsektor zu sein, indem Sie moderne Cybersicherheitstechnologien und -lösungen annehmen und anbieten.
- Behörden: Als Behörde werden Sie mehr Sichtbarkeit und Kontrolle über die Cybersicherheit von Produkten und Software auf dem Markt haben. Sie werden auch mehr Werkzeuge und Ressourcen haben, um Cyber-Vorfällen oder -Verstößen vorzubeugen und darauf zu reagieren, die die Produktsicherheit oder die Nutzersicherheit beeinträchtigen könnten. Sie werden in der Lage sein, leichter mit anderen Behörden und Interessengruppen in der EU zusammenzuarbeiten und sich abzustimmen.
Wann wird der EU Cyber Resilience Act in Kraft treten?
Der EU Cyber Resilience Act befindet sich noch in der Verhandlung durch das Europäische Parlament und den Rat. Der endgültige Text der Verordnung wird voraussichtlich Ende 2023 oder Anfang 2024 verabschiedet werden. Die Verordnung wird dann nach einer Übergangsfrist von 18 Monaten in Kraft treten, während Hersteller und Händler ihre Produkte und Software an die neuen Anforderungen anpassen müssen. Die Verordnung wird für alle Produkte und Software gelten, die nach ihrem Inkrafttreten auf den Markt gebracht oder in Betrieb genommen werden.
Wo können Sie mehr Informationen über den EU Cyber Resilience Act finden?
Sie können mehr Informationen über den EU Cyber Resilience Act auf diesen Webquellen finden:
- EU Cyber Resilience Act | Shaping Europe’s digital future
- EU cyber-resilience act – European Parliament
- European Cyber Resilience Act (CRA)
- ISC and the EU Cyber Resilience Act – ISC
- The Cyber Resilience Act: a disruptive regulation for the EU market
Welche Konsequenzen sind für Hersteller zu erwarten:
Der EU Cyber Resilience Act hat aller Voraussicht nach wesentliche Konsequenzen für Hersteller von Produkten mit digitalen Komponenten.
- Hersteller müssen EU-weit einheitliche Cybersicherheitsvorschriften einhalten, was die Komplexität und Kosten der Einhaltung verringern kann, oder auch nicht.
- Hersteller müssen vor dem Inverkehrbringen ihrer Produkte eine Cyber-Risikobewertung durchführen und sicherstellen, dass sie die in Anhang 1 der Verordnung aufgeführten grundlegenden Cybersicherheitsanforderungen erfüllen.
- Hersteller müssen während des gesamten Produktlebenszyklus Sicherheitsupdates und Patches bereitstellen und Benutzer über die Dauer und Häufigkeit solcher Updates informieren.
- Hersteller müssen Produktschwachstellen effektiv verwalten und alle Vorfälle oder Verstöße den zuständigen Behörden melden.
- Hersteller müssen die CE-Kennzeichnung verwenden, um ihre Einhaltung der Cybersicherheitsstandards anzuzeigen und klare und genaue Informationen über die Cybersicherheitsmerkmale und -eigenschaften ihrer Produkte bereitzustellen.
- Je nach Risikograd müssen sich Hersteller einer Konformitätsbewertung durch benannte Stellen unterziehen oder ihre Produkte selbst zertifizieren.
- Bei Nichteinhaltung oder Betrug unterliegen Hersteller Durchsetzungsmaßnahmen und Sanktionen, zu denen Bußgelder, Rückrufe oder Verbote gehören können.
Welche Investitionen kommen auf Hersteller zu:
Von den Herstellern wird wahrscheinlich erwartet, dass sie in ihre Herstellungsprozesse investieren, um die Verordnung auf verschiedene Weise zu erfüllen, wie zum Beispiel:
- Entwicklung und Implementierung eines Cyber-Risikomanagementsystems, das den gesamten Produktlebenszyklus abdeckt, von der Planung und dem Design bis zur Entwicklung und Wartung.
- Einführung von Sicherheitsmaßnahmen und Best Practices, um unbefugten Zugriff, Datenschutzverletzungen oder böswillige Angriffe auf ihre Produkte zu verhindern, wie z. B. Endpunkterkennung, Berechtigungsverwaltung, Verschlüsselung, Authentifizierung und Datenminimierung.
- Einrichtung eines Schwachstellenmanagementprogramms, das regelmäßige Tests, Patches, Überwachung und Meldung von Produktschwachstellen sowie eine verantwortungsvolle Offenlegungsrichtlinie und eine klare Kommunikationsstrategie mit Benutzern und Behörden umfasst.
- Je nach Risikostufe eine Konformitätsbewertung oder eine Selbstzertifizierung für ihre Produkte einholen und sicherstellen, dass ihre Produkte die CE-Kennzeichnung tragen und genaue Informationen über ihre Cybersicherheitsmerkmale und -eigenschaften liefern.
- Investitionen in Cybersicherheitstechnologien und -lösungen, die die Widerstandsfähigkeit und Leistung ihrer Produkte verbessern können, wie etwa künstliche Intelligenz, Cloud Computing, Blockchain oder Quantenkryptographie.
- Zusammenarbeit mit anderen Stakeholdern in der Lieferkette, wie Lieferanten, Händlern, Einzelhändlern, Kunden oder Regulierungsbehörden, um einen koordinierten und konsistenten Ansatz zur Cybersicherheit auf dem gesamten EU-Markt sicherzustellen.
An welchen normativen Referenzen können sich Unternehmen orientieren?
Es gibt verschiedene Normen und Standards, die sich mit Cybersecurity im Herstellungsprozess befassen. Einige Beispiele sind:
- ISO/SAE 21434: Diese Norm legt die Anforderungen an die Cybersicherheit von Produkten und Software im Automobilbereich fest. Sie umfasst Maßnahmen für die Produktentwicklung während des gesamten Produktlebenszyklus, von der Konzeptphase bis zur Außerbetriebnahme.
- ISO/IEC 27001: Diese Norm spezifiziert die Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS), das die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen schützt. Sie gilt für alle Arten von Organisationen, die Informationen verarbeiten, speichern oder übertragen.
- ISO/IEC 62443: Diese Normenreihe beschreibt die Anforderungen an die Cybersicherheit von industriellen Automatisierungssystemen (IAS), die in verschiedenen Branchen wie Energie, Transport oder Gesundheit eingesetzt werden. Sie deckt sowohl technische als auch organisatorische Aspekte ab, wie z.B. Risikomanagement, Systemarchitektur oder Sicherheitsbewertung.
- ISO/IEC 15408: Die Common Criteria (CC) ist ein internationaler Standard für die Zertifizierung von Computersicherheit. Es ist ein Rahmenwerk, in dem Benutzer von Computersystemen ihre Sicherheitsanforderungen in einem Sicherheitsziel (Security Target, ST) spezifizieren können, das aus Schutzprofilen (Protection Profiles, PP) übernommen werden kann. Hersteller können dann die Sicherheitseigenschaften ihrer Produkte implementieren oder behaupten, und Prüflabore können die Produkte bewerten, um zu bestimmen, ob sie die Behauptungen erfüllen. Die CC ist die treibende Kraft für die breiteste verfügbare gegenseitige Anerkennung von sicheren IT-Produkten. Die CC unterhält eine Liste von zertifizierten Produkten, wie z.B. Betriebssysteme, Zugriffskontrollsysteme, Datenbanken und Schlüsselverwaltungssysteme.
Wie kann INFORITAS betroffene Unternehmen unterstützen?
INFORITAS ist ein Beratungsunternehmen für Informationssicherheitsmanagement, das vom EU Cyber Resilience Act betroffene Unternehmen unterstützen kann. INFORITAS bietet folgende Dienstleistungen an:
- Beratung und Begleitung bei der Einführung und Aufrechterhaltung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO/IEC 27001 oder IT-Grundschutz des BSI, um die wesentlichen Cybersicherheitsanforderungen der Verordnung zu erfüllen.
- Durchführung von Risikoanalysen, Schwachstellenbewertungen, Sicherheitstests und Audits, um die Sicherheitseigenschaften und -lücken von Produkten und Software zu identifizieren und zu beheben.
- Unterstützung bei der Erstellung und Aktualisierung von Sicherheitsdokumentationen, wie z.B. Sicherheitsziele, Schutzprofile, Konformitätserklärungen, Sicherheitsrichtlinien und -verfahren.
- Schulung und Sensibilisierung von Mitarbeitern, Kunden und Partnern zu den Themen Cybersicherheit, Datenschutz und Compliance.
- Hilfe bei der Vorbereitung und Durchführung von Konformitätsbewertungen durch benannte Stellen oder Selbstzertifizierungen, um das CE-Zeichen für Produkte und Software zu erhalten.
Autor: Rudolf A. Bolek // INFORITAS // 2023-10-06