Auditierung & Beratung

Der EU Cyber Resilience Act (CRA) betrifft viele, verlangt viel

Kurz erklärt: wer betroffen ist und was gefordert wird.

CRA ist eine Verordnung der EU (Verordnung = gilt unmittelbar; Richtlinie = muss in nationales Recht umgesetzt werden) die ein „Mindestmaß an Cybersicherheit für alle vernetzten Produkte festlegt, die auf dem EU-Markt erhältlich sind“1

Der CRA gilt für alle Hersteller, Einführer oder Händler, die Produkte mit digitalen Elementen auf dem EU-Markt in Verkehr bringen.

Weit gefasster Geltungsbereich

Das BSI führt aus: „Das umfasst neben preisgünstigen Verbraucherprodukten auch B2B-Software sowie komplexe High-End-Industriesysteme. „Produkte mit digitalen Elementen“ werden im CRA als Produkte definiert, die mit einem Gerät oder einem Netzwerk verbunden werden können, und umfassen sowohl Hardwareprodukte mit vernetzten Funktionen (z.B. Smartphones, Laptops, Smarthomeprodukte, Smartwatches, vernetztes Spielzeug, aber auch Mikroprozessoren, Firewalls und intelligente Zähler) als auch reine Softwareprodukte (z.B. Buchhaltungssoftware, Computerspiele, mobile Apps). Nicht-kommerzielle Open-Source-Softwareprodukte sind vom CRA ausgenommen und müssen daher die Anforderungen des CRA nicht erfüllen.“

Ab dem 11. Dezember 2027 müssen neue Produkte alle Anforderungen einhalten. Aber vorsicht: als Hersteller, Einführer oder Händler ist es unbedingt notwendig, sich bereits jetzt vorzubereiten!
Und: der CRA betrifft auch Verwalter Quelloffener Software.

Der CRA unterscheidet neben Standardprodukten auch „wichtige“ sowie „kritische“ Produkte. Wichtige Produkte sind z.B Passwortmanager oder Firewalls (im Anhang III gelistet), kritische Produkte sind z.B. Smartcards oder intelligente Zähler (Anhang IV).

Das BSI liefert folgende kleine Prüfliste um festzustellen, ob ein Produkt vom CRA betroffen ist:

Mein Produkt:

  • verwendet digitale Elemente oder ist ein Softwareprodukt
  • wird ab Ende 2027 neu auf den EU-Markt gebracht
  • fällt unter keinen der Ausnahmesektoren (Medizinprodukte, Fahrzeuge, In-vitro-Diagnostika, zivile Luftfahrt, Schiffsausrüstung) oder ist ein Produkt im Kontext der nationalen Sicherheit
  • ist keine kostenfreie Open-Source-Software ohne Gewinnerzielungsabsicht
  • ist kein Ersatzteil für ein Bestandsprodukt

Dann muss ich muss den CRA anwenden.

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Cyber_Resilience_Act/cyber_resilience_act_node.html

Die Anforderungen an die Produkte beginnen im Anhang I mit folgenden Punkte:

  • Produkte mit digitalen Elementen werden so konzipiert, entwickelt und hergestellt, dass sie angesichts der Risiken ein angemessenes Cybersicherheitsniveau gewährleisten.
  • Sie müssen
    • ohne bekannte ausnutzbare Schwachstellen auf dem Markt bereitgestellt werden
    • mit einer sicheren Standardkonfiguration auf dem Markt bereitgestellt werden
    • Schwachstellen müssen durch Sicherheitsaktualisierungen behoben werden können, gegebenenfalls auch durch automatische Sicherheitsaktualisierungen
    • durch geeignete Kontrollmechanismen Schutz vor unbefugtem Zugriff bieten, darunter u. a. zumindest Authentifizierungs-, Identitäts- oder Zugangsverwaltungssysteme, und einen möglicherweise unbefugten Zugriff melden
    • die Vertraulichkeit gespeicherter, übermittelter oder anderweitig verarbeiteter personenbezogener oder sonstiger Daten schützen, z. B. durch Verschlüsselung relevanter Daten

Dieser Auszug zeigt bereits, dass eine erhöhte Sofrgfalt bei der Umsetzung von Sicherheitsaspekten in der Produktentwicklung gefordert wird.

Es gibt auch klare Anforderungen zur Umsetzung eines Schwachstellen-Managements, worin auch die Forderung nach Erstellung einer SBOM (Software Bill of Materials, also ein Inventar der in einem Softwareprodukt verarbeiteten externen Quellen) formuliert wird.

Auch Cloud-Produkte betroffen

Auch Cloud-Protukte können betroffen sein.
Die Verordnung erklärt:
„(…) So fallen beispielsweise vom Hersteller von intelligenten Haushaltsgeräten angebotene Cloud-Funktionen, die es den Nutzern ermöglichen, das Gerät aus der Ferne zu steuern, in den Anwendungsbereich dieser Verordnung. Dagegen fallen Websites, die die Funktionalität eines Produkts mit digitalen Elementen nicht unterstützen, oder Cloud-Dienste, die außerhalb der Verantwortung eines Herstellers eines Produkts mit digitalen Elementen entworfen und entwickelt wurden, nicht in den Anwendungsbereich dieser Verordnung.(…)“

Fazit

Insgesamt ist die CRA ein komplexes Regelwerk mit Anforderungen an digitale Produkte (und ja, auch reine Softwareprodukte), mit dem sich alle Hersteller, Importeure oder Vertreiber frühzeitig auseinandersetzen sollten.

Den Originaltext des CRA finden Sie hier:
https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=OJ:L_202402847

  1. https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Cyber_Resilience_Act/cyber_resilience_act_node.html ↩︎