Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Cyber Resilience Act vom EU-Parlament angenommen

Das EU-Parlament hat den Cyber Resilience Act beschlossen. Das Gesetz sieht viele Security-Anforderungen für Produkte mit digitalen Elementen vor.

In Pocket speichern vorlesen Druckansicht 12 Kommentare lesen
Digitale Identitäten auf einem Tablet, darüber ein Schloss in dem ein Gesicht steckt (Symbolbild)

(Bild: Pe3k/Shutterstock.com)

Lesezeit: 5 Min.
iX Magazin
Von
  • Prof. Dennis-Kenji Kipker

Während sich alle noch auf NIS-2 stürzen, steht der nächste europäische Cybersecurity-Rechtsakt schon in den Startlöchern: Das Europäische Parlament hat in dieser Woche die künftige "Verordnung über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen" angenommen – kurz Cyber Resilience Act (CRA). Nun muss das Gesetz noch den Rat passieren, um in Kraft treten zu können.

Der CRA wird künftig die Cybersicherheitsanforderungen für Produkte mit digitalen Elementen regeln und ist insoweit als komplementäre Regelungen zu NIS-2 zu sehen, die sich im Schwerpunkt mit der betriebsbezogenen Cybersicherheit befasst. Nachdem die politische Einigung zum CRA schon im Dezember 2023 erzielt worden war, war es noch zu Beginn des Jahres 2024 fraglich, ob der neueste EU-Rechtsakt zur Cybersicherheit pünktlich vor den Wahlen zum Europäischen Parlament im Juni verabschiedet würde. Mit der Annahme des CRA verdeutlicht die Europäische Union nun aber, dass Cybersicherheit von Produkten künftig eine zentrale Anforderung sein wird, um im EU-Binnenmarkt eine Wirtschaftstätigkeit zu entfalten.

BSI oder BNetzA zuständig?

Da der CRA eine Verordnung ist, gilt er im Gegensatz zu NIS-2 unmittelbar in allen europäischen Mitgliedstaaten – ein nationaler Umsetzungsrechtsakt ist somit nicht erforderlich. Zurzeit ist noch unklar, welche Behörde in Deutschland für die Aufsicht der CRA-Vorschriften zuständig sein wird. Diskutiert wird neben dem Bundesamt für Sicherheit in der Informationstechnik (BSI) auch eine neue Zuständigkeit der Bundesnetzagentur (BNetzA). In seinem Anwendungsbereich wird der CRA für alle Produkte mit digitalen Elementen gelten, deren bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekt logische oder physische Datenverbindung zu einem Gerät oder Netz umfasst.

Das betrifft Software- oder Hardwareprodukte sowie mit ihnen verbundene Cloudlösungen, aber auch separat in Verkehr gebrachte Software- und Hardwarekomponenten. Aufgrund dieses weit gefassten Anwendungsbereichs, der grundsätzlich nicht zwischen B2B- und B2C-Anwendungen differenziert, kann bereits jetzt davon ausgegangen werden, dass der CRA eine erhebliche Anzahl von Produkten mit digitalen Elementen erfassen wird – und das branchenübergreifend.

Mit dem CRA wird zudem erstmals der Grundsatz der "Security by Design" in das europäische Technikrecht aufgenommen. So ist es in Zukunft nicht mehr ausreichend, die CRA-Konformität für ein Produkt mit digitalen Elementen nur zum Zeitpunkt des Markteintritts zu gewährleisten, sondern es hat eine fortlaufende Risikobewertung zu erfolgen. Auch werden die Bezüge zu weiteren EU-Rechtsakten wie dem künftigen AI Act im Hinblick auf Hochrisiko-KI-Systeme hergestellt. In mehreren Anhängen werden die regulatorischen Vorgaben des CRA konkretisiert, so im Hinblick auf die umzusetzenden Cybersicherheitsanforderungen, Informationen und Instruktionen, die den Nutzern bereitzustellen sind, Maßgaben für unterschiedliche Kritikalitätsklassen von Produkten mit digitalen Elementen, die EU-Konformitätserklärung und Bewertungsverfahren und die Anforderungen, die an die Produktdokumentation anzulegen sind. Weitere Konkretisierungen des CRA können durch delegierte Rechtsakte und technische Beschreibungen der EU-Kommission vorgesehen werden, hierbei sind auch die betroffenen Stakeholder einzubeziehen.

Verbesserungen für Open Source

Nach erheblicher Kritik durch die Open-Source-Community im Gesetzgebungsverfahren gab es umfassende Nachbesserungen, darunter zahlreiche Bereichsausnahmen, um das Open-Source-Ökosystem nicht zu beschädigen. Dennoch sollten insbesondere Entwickler einen Blick auf die Regelungen zu den neuen "Open-Source Software Stewards" und zum Schwachstellenmanagement für Open-Source-Komponenten werfen.

Von den Pflichten des CRA adressierte Unternehmensgruppen sind zunächst die Hersteller, aber auch Importeure und Händler, sodass die Regelung die (digitale) Lieferkette als wesentliches Schutzinstrument für den EU-Binnenmarkt adressiert. Die Anforderungen betreffen einerseits die Risikobewertung für Entwurf, Entwicklung, Herstellung, Lieferung und Wartung von Produkten mit digitalen Elementen, andererseits aber auch Meldepflichten für Cybersicherheitsrisiken sowie den Umgang mit Sicherheitslücken und Patches. Hersteller und ihre Branchenverbände müssen dafür künftig die typische und branchenübliche Lebensdauer ihrer Produkte bestimmen – grundsätzlich beträgt diese nach CRA mindestens fünf Jahre. Für Produkte, die sich bereits auf dem Markt befinden, sieht der Rechtsakt Übergangsbestimmungen vor. Produkte, die vor Ablauf von 36 Monaten nach dem Inkrafttreten dieser Verordnung in Verkehr gebracht wurden, unterliegen den Anforderungen des CRA mit Ausnahme der Meldepflichten nur, wenn diese Produkte ab diesem Zeitpunkt wesentliche Änderungen erfahren haben.

Die Bußgelder bei Verstößen knüpfen an die bereits bekannten Konzernregelungen an: So sind bei Zuwiderhandlungen Bußgelder bis zu 15 Millionen Euro oder 2,5 Prozent des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahrs möglich. Die Umsetzungszeit für betroffene Akteure beträgt grundsätzlich 36 Monate nach dem Inkrafttreten des CRA.

(fo)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten