Der EU Cyber Resilience Act: Was man darĂĽber wissen muss

Der neue Cyber Resilience Act geht die Cybersicherheit produktseitig an. Hersteller sollen Produkte standardmäßig weniger anfällig für Angriffe machen.

Artikel verschenken
In Pocket speichern vorlesen Druckansicht 3 Kommentare lesen
Lesezeit: 10 Min.
Von
  • Prof. Dennis-Kenji Kipker
Inhaltsverzeichnis

Mit dem jüngst im Oktober beschlossenen Cyber Resilience Act (CRA) geht die Europäische Union ganz neue Wege in der Regulierung von Cybersicherheit: Wo die NIS2-Richtlinie und ihre Umsetzungen durch die Mitgliedsstaaten unternehmensbezogene Vorgaben enthalten, liegt der Fokus des CRA als unmittelbar geltende europäische Verordnung auf Produkten mit digitalen Elementen, die von Unternehmen hergestellt, importiert und auf dem europäischen Markt vertrieben werden. Dazu zählen auch rein digitale Produkte, also Software.

Die dahinterstehende Grundidee ist einfach: Es bedarf nicht nur sicherer Prozesse, sondern auch sicherer Produkte, um flächendeckend mehr Cybersicherheit zu erreichen. Insoweit kann der CRA auch als bislang noch fehlendes Puzzlestück in der europäischen Cybersicherheitslandschaft gesehen werden, das in diesen Zeiten dringender denn je benötigt wird. Dabei reicht die Geschichte der hinter dem CRA stehenden regulatorischen Intention noch weiter in die Vergangenheit zurück, denn in den letzten zehn Jahren hat die Vernetzung durch digitale Produkte sowohl im betrieblichen wie auch im privaten Umfeld massiv zugenommen – und damit zwangsläufig auch die Bedrohungslage.

iX-tract
  • Neben der NIS2-Richtlinie, die von betroffenen Unternehmen die Umsetzung diverser SicherheitsmaĂźnahmen verlangt, ist der Cyber Resilience Act ein weiterer Baustein zur europäischen Cybersicherheit: Er richtet sich an Hersteller und Vertreiber von Produkten mit digitalen Elementen.
  • Unter Produkten mit digitalen Elementen versteht der CRA Geräte wie Router oder Smarthome-Produkte, die eine Datenverbindung mit einem Gerät oder Netz herstellen, aber auch reine Software wie Betriebssysteme oder eine VP-Software.
  • Um maximale Wirkung zu entfalten, sind die Definitionen der Regulierung bewusst weit gefasst und betreffen nicht nur eine breite Produktpalette, sondern auch sämtliche Beteiligten in der Lieferkette.
  • Je nach Produktkategorie regelt der CRA den Umgang mit Schwachstellen, das Implementieren von SicherheitsmaĂźnahmen, Informationspflichten gegenĂĽber Kunden sowie RĂĽcknahme und RĂĽckruf von Produkten.
Dennis-Kenji Kipker

Dennis-Kenji Kipker ist Professor fĂĽr IT-Sicherheitsrecht an der Hochschule Bremen und arbeitet dort an der Schnittstelle von Recht und Technik in der Informationssicherheit und im Datenschutz.

Mehr zu IT-Security

Einerseits führt Vernetzung zu neuen Angriffsvektoren, andererseits haben die Hersteller digitaler Produkte mit Blick auf ihre digitale Sicherheit nicht immer das geleistet, was eigentlich nötig gewesen wäre. Die dadurch bedingten Anforderungen an die Cybersicherheit können sich ganz deutlich voneinander unterscheiden, angefangen bei Verbraucherprodukten über den Einsatz in KMU und Industriebetrieben bis hin zur Verwendung in kritischen Infrastrukturen.

Das war die Leseprobe unseres heise-Plus-Artikels "Der EU Cyber Resilience Act: Was man darüber wissen muss". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.