Der Cyber Resilience Act der EU tritt in Kraft – neue Cybersicherheitsanforderungen für Software und vernetzte Produkte

Der Cyber Resilience Act der EU tritt in Kraft – neue Cybersicherheitsanforderungen für Software und vernetzte Produkte

Am 10. Dezember 2024 ist der „Cyber Resilience Act“ (CRA, der deutsche Name lautet „Cyberresilienz-Verordnung“) der EU in Kraft getreten. Mit dieser Verordnung werden europaweit erstmalig horizontal geltende Cybersicherheitsvoraussetzungen für Produkte mit digitalen Elementen gesetzlich normiert. Vernetzte Produkte wie Heimkameras, Kühlschränke, Fernsehgeräte und Spielzeug müssen hiernach „cybersicher“ sein, bevor sie in Verkehr gebracht werden, und auch über ihren gesamten Lebenszyklus hinweg bleiben. Um diese Cybersicherheit zu belegen, müssen sie künftig mit einer CE-Kennzeichnung versehen sein.

Zwar gelten die wesentlichen Regelungen der Verordnung erst ab dem 11. Dezember 2027, sodass Unternehmen eine großzügige Übergangsfrist haben, ihre in das Internet eingebundenen Produkte an die neuen Regelungen anzupassen. Doch da Produktentwicklungszyklen mehrere Monate bis Jahren dauern können, soll bereits jetzt auf einige wesentliche Anforderungen unter dem CRA hingewiesen werden:

– Der Anwendungsbereich des CRA ist äußerst weit und umfasst Software, in das Internet eingebundene Hardware wie intelligente Haushaltsgeräte (Stichwort „Internet of Things“) und Cloud-Dienste, die es den Nutzern ermöglichen, Geräte aus der Ferne zu steuern

– Hersteller, die ein Produkt mit digitalen Elementen in den Verkehr bringen, müssen dieses gemäß den grundlegenden, im CRA näher spezifizierten Cybersicherheitsanforderungen konzipieren, entwickeln und herstellen

– Grundlegende Cybersicherheitsanforderungen umfassen beispielsweise, sicherzustellen, dass Schwachstellen durch Sicherheits-Updates behoben werden können, dass geeignete Kontrollmechanismen bestehen, die Schutz vor unbefugtem Zugriff bieten, dass die Vertraulichkeit und Integrität gespeicherter und übermittelter Daten geschützt wird und dass den Nutzern die Möglichkeit geboten wird, alle Daten und Einstellungen dauerhaft sicher und einfach zu löschen

– Während der Supportdauer des Produkts ist dessen Cybersicherheitsrisiko zu bewerten, zu dokumentieren und ggf. zu aktualisieren

– Hersteller müssen Schwachstellen während der erwarteten Lebensdauer des Produkts oder über mindestens fünf Jahre ermitteln, beheben und entsprechende Sicherheits-Updates bereitstellen

– Hersteller müssen ein Konformitätsbewertungsverfahren durchführen (lassen) und, sofern das Produkt mit digitalen Elementen den grundlegenden Cybersicherheitsanforderungen genügt, eine CE-Kennzeichnung anbringen

– Produkte mit digitalen Elementen, die mit einem höheren Cybersicherheitsrisiko behaftet sind – als „wichtige Produkte mit digitalen Elementen“ bezeichnet – unterliegen einem strengeren Konformitätsbewertungsverfahren; dies gilt etwa für Betriebssysteme, Passwort-Manager, VPN, Modems für die Internetanbindung, intelligente Türschlösser, Babyphones, Alarmanlagen und Wearables

– Hersteller müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle dem zuständigen nationalen Computer-Notfallteam (Computer Security Incident Response Team – CSIRT) und der Agentur der Europäischen Union für Cybersicherheit (ENISA) über eine einheitliche Meldeplattform melden

– Der CRA enthält Ausnahmen und spezielle Regelungen für freie Software und Open Source Software

Autor

Dr. Thomas Stögmüller
Dr. Thomas Stögmüller
Ber­ke­ley

Partner, Fach­an­walt für In­for­ma­ti­ons­tech­no­lo­gie­recht

TCI Rechts­an­wäl­te Mün­chen

  • Twitter
  • LinkedIn