Cyber Resilience Act: Vernetzte Produkte müssen bald besser abgesichert sein

Produkte "mit digitalen Elementen" wie Software dürfen in der EU bald nur noch auf den Markt kommen, wenn sie Mindestanforderungen an Cybersicherheit einhalten. Dies sieht der Cyber Resilience Act (CRA) vor, der am Mittwoch in Kraft getreten ist. Hersteller haben damit bis zu 36 Monate – also bis zum Dezember 2027 – Zeit, vernetzte Produkte an die neuen Vorgaben anzupassen. Diese müssen dann in der Regel mindestens fünf Jahre lang mit Sicherheitsupdates versorgt werden. Den Herstellern obliegt es, über den gesamten Lebenszyklus ihrer Produkte und Anwendungen die Verantwortung für deren Cybersicherheit zu übernehmen ("Security by Design"). Die Verordnung zur Cyber-Widerstandsfähigkeit verpflichtet auch Importeure und den Handel. Produkte, die das bekannte CE-Kennzeichen tragen, müssen künftig generell gegen IT-Angriffe gesichert sein.

Bereits ab September 2026 müssen EU-Hersteller zudem aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle im Zusammenhang mit ihren digitalen Produkten den zuständigen Behörden wie hierzulande dem Computer Security Incident Response Team (CSIRT) des Bundesamts für Sicherheit in der Informationstechnik (BSI) melden. Die Liste der erfassten Geräteklassen und Software ist lang. Sie reicht von Computern und Servern über Babyphones bis zu "smarten" Türklingeln. Ein Schwerpunkt liegt auf dem Internet der Dinge sowie auf "Plaste-Routern", die aufgrund vieler eingebauter Sicherheitslücken bislang häufig einfach angreifbar sind. Das reine Verfügbarmachen von Open-Source-Software wird nicht erfasst, solange die Hersteller damit keinen Gewinn erzielen wollen. Ausgenommen ist auch freie Software, die von einer öffentlichen Verwaltung ausschließlich für die eigene Verwendung entwickelt wird.

BSI will hierzulande die Aufsicht übernehmen

Beim CRA handelt es sich um eine Verordnung, die im Rahmen der vorgesehenen Übergangsfristen direkt in allen EU-Mitgliedsstaaten Geltung erlangt. Die Politik muss hierzulande aber etwa noch eine nationalen Marktaufsichtsbehörde benennen, die die Einhaltung der Vorgaben durch Hersteller und Händler gewährleistet. Dafür bringt sich das BSI in Stellung. "Als zentrale Cybersicherheitsbehörde des Bundes verfügen wir über umfassende Erfahrung mit Blick auf die Absicherung digitaler Produkte und Prozesse", betont der Vizepräsident des Bonner Amtes, Gerhard Schabhüser.

Die produktbezogenen Anforderungen des CRA und des vom BSI vergebenen IT-Sicherheitskennzeichens deckten sich auch bereits zu großen Teilen. Um die Anforderungen der Verordnung plastisch zu machen, hat das Amt eine technische Richtlinie (TR-03183) veröffentlicht. Bereits am Sonntag ist die reformierte Produkthaftungsrichtlinie in Kraft getreten, die Schadenersatzansprüche bei fehlerhaften Artikeln auch im IT-Bereich vorsieht.

(dmk)