Der Cyber Resilience Act - für mehr IT-Sicherheit bei Produkten

Der Cyber Resilience Act soll dieses Jahr noch in Kraft treten. Am 15.09.2022 wurden die neuen Regeln erstmals bekannt gegeben und als “Proposal” vorgestellt, nachdem im Frühjahr verschiedene Organisationen Feedback zu einer ersten Fassung gegeben haben. Der aktuelle Vorschlag wird nun durch das europäische Parlament und den Rat geprüft und muss im Anschluss innerhalb von zwei Jahren umgesetzt werden.

Ziel des Proposals ist es, Verbraucher:innen und Unternehmen vor Produkten mit unzureichenden Sicherheitsmerkmalen zu schützen. Dies ist der erste Versuch, verbindliche Vorgaben im Bereich Cybersicherheit für Produkte mit digitalen Merkmalen über ihren gesamten Lebenszyklus hinweg einzuführen.

Warum ist das Gesetz wichtig?

Digitale Produkte oder Produkte die digitale Komponenten enthalten werden immer häufiger verwendet. Sie werden dabei nicht nur von Endverbrauchern verwendet sondern auch von Unternehmen und Organisationen. Gleichzeitig steigt mit jedem digitalen Produkt die potenzielle Angriffsfläche für Angreifer, da digitale Produkte auf deutlich mehr Arten angegriffen werden können.

So gibt es beispielsweise alle 11 Sekunden einen Ransomware-Angriff wodurch 2021 Kosten in Höhe von circa 20 Milliarden Euro entstanden sind. Auch einzelne Angriffe werden aufgrund der immer größeren Angriffsfläche immer spektakulärer, so wurde beispielsweise ein Casino über sein Aquarium, beziehungsweise den darin verwendeten Thermostat gehackt.

Was wird der Cyber Resilience Act einführen?

Der Cyber Resilience Act soll sicherstellen, dass alle in der EU in Verkehr gebrachten Produkte von vorne herein weniger Schwachstellen aufweisen und die Hersteller über den gesamten Produktlebenszyklus für die Cybersicherheit verantwortlich bleiben. Das bedeutet bereits während der Planungsphase müssen Produkte das Thema Cybersicherheit beachten (security-by-design-Ansatz). Diese Verpflichtung wird dann über die Entwicklungs-, Produktions, Liefer- und Wartungszeit hinaus aufrecht erhalten.

Die Hersteller werden dazu verpflichtet, alle Risiken zu dokumentieren und aktiv ausgenutzte Schwachstellen sowie Vorfälle zu melden, wodurch sich die EU eine höhere Transparenz in Bezug auf die Sicherheit von digitalen Produkten erhofft. Weiterhin werden die Hersteller von digitalen Produkten dazu verpflichtet, fünf Jahre lang Sicherheitsupdates zur Verfügung zu stellen und klare sowie verständliche Gebrauchsanweisungen für Ihre Produkte bereitzustellen.

Eine weitere Anforderung ist, dass die Produkte in einer sicheren Grundkonfiguration ausgeliefert werden. Diese Anforderung ist vergleichbar mit dem “Opt-In”-Prinzip beim Datenschutz, wo einer Verarbeitung von Daten aktiv zugestimmt werden soll.

Gibt es verschiedene Produktarten im Cyber Resilience Act?

Insgesamt definiert der Cyber Resilience Act drei Kategorien von digitalen Produkten. Die EU schätzt, dass 90% der Produkte als “Standard” kategorisiert werden können. Standardprodukte können selbst durch den Hersteller bewertet werden. Beispiele für Standardprodukte sind beispielsweise Festplatten, Spiele oder Programme zur Fotobearbeitung. Der ZVEI begrüßt den neuen Cyber Resilience Act, kritisiert gleichzeitig aber auch, dass er zu ungenau unterscheidet zwischen Produkten welche “kritisch” (Class 1) und “hochkritisch” (Class 2) sind.

Weiterhin wird die Definition der “kritischen” Produkte als zu weit gefasst aufgenommen. Kritische Produkte sind beispielsweise

• Identitätsmanagement-Systeme,
• Antivirensoftware oder
• Mikrocontroller.

Diese müssen entweder anhand eines Standards bewertet werden oder durch Dritte. Hochkritische Produkte werden immer durch Dritte bewertet werden müssen und beinhalten zum Beispiel

• Betriebssysteme,
• Industrielle Firewalls oder
• CPUs.

Der Bitkom begrüßt das Gesetz ebenfalls, kritisiert jedoch einen zu hohen bürokratischen Aufwand für die Hersteller von digitalen Produkten.

Ist der Cyber Resilience Act ein alleinstehendes Gesetz?

Der Cyber Resilience Act wird das EU-Rahmenwerk zum Thema Cybersicherheit ergänzen. Dieses besteht aus der

• Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS-Richtlinie),
• die Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Niveaus der Cybersicherheit in der gesamten EU (NIS-2-Richtlinie) sowie dem
• EU Cybersecurity Act.

Der Cyber Resilience Act soll die Sicherheit der gesamten Lieferkette stärken und für harmonisierte Vorschriften für das Inverkehrbringen und Sorgfaltspflichten über den gesamten Produktlebenszyklus von Produkten einführen. Für die Hersteller bedeutet der Cyber Resilience Act vorallem, dass die Aspekte Threat Modeling und Risk Assessment weiter in den Fokus rücken, sowie die Überprüfung der technisch eingesetzten Maßnahmen zur Steigerung der Schutzziele “Vertraulichkeit”, “Verfügbarkeit” und “Integrität”.