Ihre Expertin für Fragen
Siri Oberpottkamp
Senior Managerin bei PwC Deutschland
Tel.: +49 1516 4500068
E-Mail
Vernetzte Geräte und Services nehmen im digitalen Zeitalter eine immer größere Rolle ein. Mit dem EU Cyber Resilience Act (CRA) hat die EU neue Cybersicherheitsanforderungen an Produkte mit digitalen Elementen gestellt, um diese besser gegen Cyberangriffe zu schützen und ein einheitliches Vorgehen der Cyber Security zu harmonisieren. Produkte, für die bereits einschlägige Cyber-Security-Regularien seitens der EU existieren, sind vom CRA ausgenommen, so bspw. Automotive-Produkte. Der CRA wurde am 10.10.2024 verabschiedet und tritt nach Veröffentlichung im Amtsblatt der EU in Kraft. Ab dann greift die neue Verordnung schrittweise mit einer Übergangsfrist von 36 Monaten. Bereits nach 21 Monaten gelten für Produkthersteller jedoch Vorgaben zur Meldepflicht bei Sicherheitsvorfällen.
Playback of this video is not currently available
Der Cyber Resilience Act betrifft Produkte mit digitalen Elementen – also Produkte, die eine direkte oder indirekte Verbindung mit anderen Geräten oder Netzwerken herstellen können. Dies beinhaltet sowohl Software als auch Hardware. Der entscheidende Indikator für die Anwendbarkeit des CRA liegt in der grundsätzlichen Fähigkeit eines Produkts zur Kommunikation mit anderen Produkten oder Komponenten.
Die konkreten Verpflichtungen für Unternehmen sind abhängig von der Einstufung der Produkte. Der Gesetzgeber unterscheidet die Produkte mit aufsteigendem Sicherheitsrisiko in folgende Kategorien:
Unternehmen, deren Produkte in eine der Kategorien eingeordnet werden, müssen zukünftig sicherstellen, dass ein hohes Niveau an Cybersicherheit entlang des gesamten Produktlebenszyklus gewährleistet ist.
Auch kleinere Unternehmen, die Produkte mit digitalen Elementen herstellen, müssen sicherstellen, dass ihre Produkte die CRA-Anforderungen erfüllen. Besonders bei limitierten Ressourcen ist es wichtig, frühzeitig auf standardisierte Konformitätsprüfungen und Security-by-Design zu setzen. KMUs sollten zudem prüfen, ob sie auf bestehende Zertifizierungen und Sicherheitslösungen zurückgreifen können. Da die EU die Herausforderungen für KMUs erkannt hat, werden diese gesondert betrachtet, bspw. erhalten sie zusätzliche Unterstützung und Anforderungen wurden angepasst.
Die CE-Kennzeichnung für Produkte mit digitalen Elementen ist zukünftig an die Erfüllung des Cyber Resilience Act gekoppelt. Hierbei ist entscheidend, den Security-Aspekt von Anfang an in den Entwicklungsprozess neuer Produkte mit einzubeziehen. Insbesondere Risiko Assessments und Security-by-Design sind hier elementare Bestandteile. Darüber hinaus muss das Produkt auch bei Auslieferung, Wartung und Entsorgung sicher sein.
Das hat zur Folge, dass potenzielle Risiken umfassend dokumentiert und regelmäßig überprüft werden müssen. Dies gilt auch für Schwachstellen eines Produkts. Angenommen, ein Hersteller entdeckt, dass ein Hacker eine Schwachstelle in der Software eines Smart-Home-Systems ausgenutzt hat: Der Hersteller ist verpflichtet, die Schwachstelle innerhalb von 24 Stunden den zuständigen Behörden zu melden, um weiteren Schaden zu verhindern. Zusätzlich müssen Kunden zeitnah über das Problem und verfügbare Patches informiert werden.
Damit tragen Hersteller die Verantwortung, Sicherheitslücken für die erwartete Lebensdauer eines Produktes zu identifizieren und zu beheben. Dies umfasst auch die Bereitstellung kostenloser Security-Updates.
Um diesen Anforderungen gerecht werden zu können, sollten innerhalb der eigenen Organisation rechtzeitig die erforderlichen Ressourcen und Prozesse geschaffen werden. Dabei sollten sowohl technische als auch prozessuale Maßnahmen berücksichtigt werden.
Unternehmen, die den CRA nicht einhalten, riskieren hohe Geldstrafen und können ihre Produkte möglicherweise nicht mehr auf den EU-Markt bringen. Im Falle von schweren Verstößen drohen Strafen von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Dies unterstreicht die Bedeutung der frühzeitigen Umsetzung der Sicherheitsanforderungen.
Mit Inkrafttreten des Cyber Resilience Acts sowie erhöhter Kundenanfragen in Bezug auf Cybersicherheit sah sich ein internationaler Anlagenbauer mit zahlreichen Anforderungen an die Security seiner Produkte konfrontiert. Mit dem Auftrag einer ganzheitlichen Product-Security-Strategie wandte sich das Unternehmen an unser interdisziplinäres Product Security Team, um fortan ein hohes Niveau an Cybersicherheit entlang des gesamten Produktlebenszyklus zu gewährleisten.
Webcastaufzeichnungen, unser neuestes Whitepaper und Handlungempfehlungen – das gibt's hier zum Download. Registrieren Sie sich einmalig für den Zugang zu all unseren CRA-Assets und sichern Sie sich alle relevanten Insights.