Der EU Cyber Resilience Act: Was man darĂĽber wissen muss
Der neue Cyber Resilience Act geht die Cybersicherheit produktseitig an. Hersteller sollen Produkte standardmäßig weniger anfällig für Angriffe machen.
- Prof. Dennis-Kenji Kipker
Mit dem jüngst im Oktober beschlossenen Cyber Resilience Act (CRA) geht die Europäische Union ganz neue Wege in der Regulierung von Cybersicherheit: Wo die NIS2-Richtlinie und ihre Umsetzungen durch die Mitgliedsstaaten unternehmensbezogene Vorgaben enthalten, liegt der Fokus des CRA als unmittelbar geltende europäische Verordnung auf Produkten mit digitalen Elementen, die von Unternehmen hergestellt, importiert und auf dem europäischen Markt vertrieben werden. Dazu zählen auch rein digitale Produkte, also Software.
Die dahinterstehende Grundidee ist einfach: Es bedarf nicht nur sicherer Prozesse, sondern auch sicherer Produkte, um flächendeckend mehr Cybersicherheit zu erreichen. Insoweit kann der CRA auch als bislang noch fehlendes Puzzlestück in der europäischen Cybersicherheitslandschaft gesehen werden, das in diesen Zeiten dringender denn je benötigt wird. Dabei reicht die Geschichte der hinter dem CRA stehenden regulatorischen Intention noch weiter in die Vergangenheit zurück, denn in den letzten zehn Jahren hat die Vernetzung durch digitale Produkte sowohl im betrieblichen wie auch im privaten Umfeld massiv zugenommen – und damit zwangsläufig auch die Bedrohungslage.
- Neben der NIS2-Richtlinie, die von betroffenen Unternehmen die Umsetzung diverser Sicherheitsmaßnahmen verlangt, ist der Cyber Resilience Act ein weiterer Baustein zur europäischen Cybersicherheit: Er richtet sich an Hersteller und Vertreiber von Produkten mit digitalen Elementen.
- Unter Produkten mit digitalen Elementen versteht der CRA Geräte wie Router oder Smarthome-Produkte, die eine Datenverbindung mit einem Gerät oder Netz herstellen, aber auch reine Software wie Betriebssysteme oder eine VP-Software.
- Um maximale Wirkung zu entfalten, sind die Definitionen der Regulierung bewusst weit gefasst und betreffen nicht nur eine breite Produktpalette, sondern auch sämtliche Beteiligten in der Lieferkette.
- Je nach Produktkategorie regelt der CRA den Umgang mit Schwachstellen, das Implementieren von SicherheitsmaĂźnahmen, Informationspflichten gegenĂĽber Kunden sowie RĂĽcknahme und RĂĽckruf von Produkten.
Einerseits führt Vernetzung zu neuen Angriffsvektoren, andererseits haben die Hersteller digitaler Produkte mit Blick auf ihre digitale Sicherheit nicht immer das geleistet, was eigentlich nötig gewesen wäre. Die dadurch bedingten Anforderungen an die Cybersicherheit können sich ganz deutlich voneinander unterscheiden, angefangen bei Verbraucherprodukten über den Einsatz in KMU und Industriebetrieben bis hin zur Verwendung in kritischen Infrastrukturen.
Das war die Leseprobe unseres heise-Plus-Artikels "Der EU Cyber Resilience Act: Was man darüber wissen muss". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.Immer mehr Wissen. Das digitale Abo für IT und Technik.
Strippenziehen leicht gemacht: So erhält jedes Zimmer optimales Internet
DJI Air 3S im Test: Quadrokopter mit Dualkamera und Lidar
Alte Nachtspeicheröfen smart machen – mit ESP & Co.
M4 im MacBook Pro im Test: Das können Apples neue Profi-Notebooks
Fotosammlung organisieren: Wie Sie Ihre digitalen Bilder clever verwalten