Mitten im Monat der Cybersicherheit ist es an der Zeit, einen Blick auf die neueste EU-Verordnung zum Thema Cybersicherheit zu werfen – den Cyber Resilience Act, der gerade in Kraft tritt.
Der Cyber Resilience Act (CRA) ist eine Ergänzung zu bestehenden EU Verordnungen, einschließlich NIS2, über das wir letzte Woche berichtet haben. Im Gegensatz zu NIS2, das sich eng auf kritische Infrastrukturen und Schlüsselbereiche konzentriert, ist der Cyber Resilience Act deutlich breiter gefasst. Die ursprünglich am 15. September 2022 vorgeschlagene und letzte Woche am Donnerstag verabschiedete Ratingagentur legt Cybersicherheitsanforderungen für Produkte mit digitalen Elementen fest.
Was deckt der Cyber Resilience Act ab?
Zu den explizit genannten Kategorien gehört das Internet der Dinge (IoT), das intelligente Geräte wie Kühlschränke, Mikrowellen und andere vernetzte Haushaltsgeräte verbindet. Andere Artikel und Dokumente berühren andere Gruppen, beispielsweise Spielzeug. Das Argument der Europäischen Union ist, dass es eine Vielzahl von Geräten gibt, die mit dem Internet verbunden sind und von keinerlei Cybersicherheitsvorschriften abgedeckt sind, was eine gefährliche Lücke für böswillige Akteure darstellt.
Daher wurde die CRA eingerichtet, um „Design, Entwicklung, Produktion und Bereitstellung von Hardware und Softwareprodukten auf dem Markt“ zu regeln und die Ergebnisse unter neue CE-Normen zu fassen. Die Verordnung gilt für alle Produkte, die entweder direkt oder indirekt mit einem anderen Gerät oder einem Netzwerk verbunden sind. Die einzigen Ausnahmen gelten für Produkte, die bereits von bestehenden Vorschriften abgedeckt sind (z. B. die Automobilindustrie).
Was wird die CRA von Unternehmen verlangen?
Die ersten und wichtigsten Anforderungen der CRA betreffen die Hersteller, die regelmäßige Risikobewertungen durchführen müssen, um Cyberrisiken in ihren Produkten zu vermitteln, standardmäßigen Datenschutz sicherzustellen und regelmäßig Informationen zu Fehlern bereitzustellen und diese auch schnell zu beheben.
Gemäß diesem Artikel von GovInfoSecurity müssen Produkte, die die Vorschriften erfüllen, auch eine „CE“ Kennzeichnung anbringen. Bei Nichteinhaltung drohen Unternehmen Geldbußen von bis zu 15 Millionen Euro oder 2,5 % ihres weltweiten Umsatzes, je nachdem, welcher Betrag höher ist.
Schließlich müssen Anbieter jede ausgenutzte Schwachstelle in den von ihnen verkauften Produkten unverzüglich innerhalb von 24 Stunden nach Entdeckung melden. Der Bericht soll an die Agentur der Europäischen Union für Cybersicherheit gehen, die ihn dann an die zuständigen Reaktionsteams oder die Regulierungsbehörde auf nationaler Ebene weiterleitet.
Hersteller müssen bis 2027 konforme Produkte auf den EU-Markt bringen, wobei ihnen mehrere Jahre Nachfrist eingeräumt wird um die vollständige Einhaltung der neuen Vorschriften sicherzustellen.
Wie geht es weiter ?
Mit der Einführung des Cyber Resilience Act wird die europäische Regulierungslandschaft noch strenger geregelt. Das Ergebnis wird hoffentlich eine sicherere Online-Landschaft sein, obwohl einige Stimmen Bedenken hinsichtlich der wahrscheinlichen Auswirkungen des CRA.
Gleichzeitig wird diese erhöhte Sicherheit unweigerlich auf Kosten einer immer undurchdringlicheren Umgebung mit immer komplexeren Rechtssystemen sein. Dies kann in Zukunft zu einigen Problemen führen, da Hersteller und Anbieter eine weitere Ebene von Vorschriften berücksichtigen müssen, um weiter tätig sein zu können. Wir werden diesen Bereich weiterhin mit Interesse beobachten und sehen, wie er sich in Zukunft entwickelt.
Ihre Daten in Ihren Händen – mit TECH-ARROW