-
» Herausragend «
Mit dem Cyber Resilience Act (CRA) schafft die Europäische Union erstmals eine einheitliche Rechtsgrundlage für die Cybersicherheit digitaler Produkte. Künftig sind Hersteller verpflichtet, bereits bei Planung, Entwicklung und Bereitstellung umfassende Sicherheitsanforderungen zu berücksichtigen. Der Beitrag erläutert die Hintergründe, die rechtlichen Strukturen sowie die praktischen Folgen dieses weitreichenden Regelwerks.
Die zunehmende Digitalisierung hat die Abhängigkeit von vernetzten Produkten erheblich gesteigert. Bisher fehlte jedoch ein horizontaler Rechtsrahmen für Cybersicherheit. Fragmentierte Vorschriften und Sicherheitslücken führten zu erheblichen Risiken, wie der WannaCry-Ransomware-Angriff von 2017 verdeutlichte. Vor diesem Hintergrund kündigte die EU-Kommission 2021 den CRA an, der im Oktober 2024 verabschiedet wurde und ab Dezember 2027 vollständig anwendbar sein wird. Ziel ist es, „Security by Design“ zur verbindlichen Pflicht zu machen.
Der CRA gilt für nahezu alle Produkte mit digitalen Elementen, die in der EU in Verkehr gebracht werden. Erfasst sind sowohl klassische Hardware wie Server, Router oder Mikroprozessoren als auch Software – von Betriebssystemen über Büroanwendungen bis hin zu Apps. Entscheidend ist stets die Konnektivität.
Ausgenommen sind nur Produktkategorien, für die bereits sektorspezifische Vorschriften bestehen. Dazu zählen etwa Medizinprodukte, In-vitro-Diagnostika, Kraftfahrzeuge sowie Luftfahrt- und Marineausrüstung. Auch Produkte, die ausschließlich für militärische Zwecke bestimmt sind, fallen nicht unter die Verordnung.
Besondere Bedeutung hat die Einführung risikobasierter Produktgruppen. Anhang III des CRA unterscheidet zwischen „wichtigen“ und „kritischen“ Produkten. Während erstere unter eine Konformitätsselbstbewertung fallen können, sind kritische Produkte zwingend durch unabhängige Stellen zu prüfen. Diese Einstufung führt zu einem neuen Sicherheitsstandard, der je nach Gefährdungspotenzial unterschiedliche Anforderungen vorsieht.
Hersteller müssen während des gesamten Produktlebenszyklus zahlreiche Sicherheitsmaßnahmen umsetzen. Dazu gehören insbesondere die Minimierung bekannter Schwachstellen, sichere Voreinstellungen, verpflichtende Passwortstandards, Schutz vor Datenlecks und Maßnahmen gegen gängige Angriffsmethoden wie Buffer Overflows.
Bereits einfache Software-Komponenten dürfen nicht vernachlässigt werden, da Angreifer gerade solche Schwachstellen für großflächige Attacken ausnutzen. Der CRA fordert daher, jedes Produkt müsse ein Mindestmaß an Sicherheit mitbringen.
Kernstück der Pflichten ist die systematische Risikobewertung. Hersteller müssen mögliche Cyberrisiken für jedes Produkt analysieren, Missbrauchsszenarien berücksichtigen und entsprechende Schutzmaßnahmen dokumentieren. Diese technische Dokumentation bildet zugleich die Grundlage für die Marktüberwachung und ist mindestens zehn Jahre aufzubewahren.
Ein zentrales Novum ist die Pflicht, auch für zugekaufte Hard- und Softwarekomponenten die Sicherheit zu gewährleisten. Hersteller müssen die Sorgfaltspflichten („due diligence“) bei der Integration von Drittkomponenten nachweisen. Besonders relevant ist dies für Open-Source-Bibliotheken, die oft unkritisch übernommen werden. Künftig verlangt der CRA eine Software Bill of Materials (SBOM), die sämtliche Bestandteile dokumentiert und Abhängigkeiten offenlegt.
Zu den zentralen Neuerungen zählt die Pflicht, Produkte über einen Mindestzeitraum mit Sicherheitsupdates zu versorgen. Hersteller müssen angemessene Supportzeiträume festlegen und transparent kommunizieren. Dabei ist die Dauer an Faktoren wie Produktnutzung, Vergleichsprodukte oder Verfügbarkeit des Betriebssystems auszurichten.
Während des Supportzeitraums entdeckte Schwachstellen sind unverzüglich zu schließen. Zudem müssen Updates mindestens zehn Jahre lang verfügbar sein, sofern die Lebensdauer des Produkts dies erfordert. Ein End-of-Life-Hinweis soll Nutzern anzeigen, wann keine weiteren Updates mehr bereitgestellt werden.
Der CRA verpflichtet Hersteller zur Meldung aktiv ausgenutzter Schwachstellen und schwerwiegender Sicherheitsvorfälle. Innerhalb von 24 Stunden muss eine Erstmeldung erfolgen, binnen 72 Stunden eine detaillierte Nachreichung. Diese Vorgaben sollen gewährleisten, dass Sicherheitslücken frühzeitig adressiert und abgestimmte Gegenmaßnahmen eingeleitet werden. Zuständig ist unter anderem die EU-Agentur für Cybersicherheit (ENISA).
Die Herstellerpflichten enden nicht mit dem Inverkehrbringen. Marktüberwachungsbehörden prüfen Produkte auch nach Markteinführung. Bei schwerwiegenden Sicherheitsmängeln können Rückrufe angeordnet werden. Für den Fall einer Geschäftsaufgabe oder Insolvenz enthält der CRA zudem eine Vorsorgeklausel: Hersteller müssen Behörden und Nutzer informieren, sobald Supportleistungen nicht mehr erbracht werden können.
Wie im Produktsicherheitsrecht üblich, wird die Einhaltung der Anforderungen durch Konformitätsbewertung und CE-Kennzeichnung dokumentiert. Produkte mit CE-Zeichen signalisieren künftig nicht nur physische, sondern auch digitale Sicherheit. Ergänzend können bestehende Zertifizierungsschemata genutzt werden, um die Konformität zu belegen.
Verstöße gegen den CRA können erhebliche Konsequenzen nach sich ziehen. Neben Bußgeldern von bis zu 15 Millionen Euro oder 2 % des weltweiten Jahresumsatzes drohen auch Verbandsklagen sowie zivilrechtliche Schadensersatzansprüche. Damit wird Cybersicherheit nicht mehr als freiwillige Kür betrachtet, sondern als einklagbare Pflicht.