EU Cyber Resilience Act

Ihre Expertin für Fragen

Siri Oberpottkamp
Senior Managerin bei PwC Deutschland
Tel.: +49 1516 4500068
E-Mail

Neue Anforderungen an die digitale Produktsicherheit

Vernetzte Geräte und Services nehmen im digitalen Zeitalter eine immer größere Rolle ein. Mit dem EU Cyber Resilience Act (CRA) hat die EU neue Cybersicherheitsanforderungen an Produkte mit digitalen Elementen gestellt, um diese besser gegen Cyberangriffe zu schützen und ein einheitliches Vorgehen der Cyber Security zu harmonisieren. Produkte, für die bereits einschlägige Cyber-Security-Regularien seitens der EU existieren, sind vom CRA ausgenommen, so bspw. Automotive-Produkte. Der CRA wurde am 10.10.2024 verabschiedet und tritt nach Veröffentlichung im Amtsblatt der EU in Kraft. Ab dann greift die neue Verordnung schrittweise mit einer Übergangsfrist von 36 Monaten. Bereits nach 21 Monaten gelten für Produkthersteller jedoch Vorgaben zur Meldepflicht bei Sicherheitsvorfällen.

Video

CRA in 90 Sekunden

0:02:32
More tools
  • Closed captions
  • Transcript
  • Full screen
  • Share
  • Closed captions

Playback of this video is not currently available

Transcript

Kategorien des Cyber Resilience Act

Der Cyber Resilience Act betrifft Produkte mit digitalen Elementen – also Produkte, die eine direkte oder indirekte Verbindung mit anderen Geräten oder Netzwerken herstellen können. Dies beinhaltet sowohl Software als auch Hardware. Der entscheidende Indikator für die Anwendbarkeit des CRA liegt in der grundsätzlichen Fähigkeit eines Produkts zur Kommunikation mit anderen Produkten oder Komponenten.

Die konkreten Verpflichtungen für Unternehmen sind abhängig von der Einstufung der Produkte. Der Gesetzgeber unterscheidet die Produkte mit aufsteigendem Sicherheitsrisiko in folgende Kategorien:

„Default“-Produkte mit digitalen Elementen

Smart-Home-Systeme oder Industrial-IoT-Sensoren gehören zu dieser Kategorie. Diese erfordert eine interne Konformitätsprüfung, die belegt, dass die Cybersicherheitsanforderungen aus dem CRA erfüllt werden.

Wichtige Produkte mit digitalen Elementen der Klasse 1

Produkte dieser Kategorie, wie beispielsweise Mikroprozessoren oder Antivirensoftware, müssen eine der folgenden Bedingung erfüllen:

  • haben eine cybersicherheitsrelevante Aufgabe
  • stellen eine Funktion bereit, die das Risiko birgt, eine große Anzahl anderer Produkte zu beeinträchtigen,
  • oder stellen ein Risiko für die Sicherheit einer großen Anzahl von Menschen dar.

Gefordert ist hier die Verwendung eines harmonisierten Standards oder alternativ eine externe Prüfung der Konformität durch eine Prüfstelle.

Wichtige Produkte mit digitalen Elementen der Klasse 2

Produkte wie Firewalls oder Hypervisors erfordern verpflichtend eine externe Konformitätsprüfung. Es müssen zwei oder mehr der zuvor genannten Bedingungen aus Klasse 1 erfüllt sein.

Kritische Produkte mit digitalen Elementen

Betroffen sind kritische Produkte mit digitalen Elementen, die Teil des Anhangs IV sind und in kritischen Infrastrukturen eingesetzt werden, wie z. B. Smart-Meter-Gateways oder Smart Cards. Hier ist die Anwendung eines Zertifizierungssystems als Konformitätsnachweis erforderlich.

Haben Sie Fragen zum CRA?

Kontaktieren Sie uns gerne

Was müssen Produkthersteller jetzt tun?

Unternehmen, deren Produkte in eine der Kategorien eingeordnet werden, müssen zukünftig sicherstellen, dass ein hohes Niveau an Cybersicherheit entlang des gesamten Produktlebenszyklus gewährleistet ist.

Auch kleinere Unternehmen, die Produkte mit digitalen Elementen herstellen, müssen sicherstellen, dass ihre Produkte die CRA-Anforderungen erfüllen. Besonders bei limitierten Ressourcen ist es wichtig, frühzeitig auf standardisierte Konformitätsprüfungen und Security-by-Design zu setzen. KMUs sollten zudem prüfen, ob sie auf bestehende Zertifizierungen und Sicherheitslösungen zurückgreifen können. Da die EU die Herausforderungen für KMUs erkannt hat, werden diese gesondert betrachtet, bspw. erhalten sie zusätzliche Unterstützung und Anforderungen wurden angepasst.

Die CE-Kennzeichnung für Produkte mit digitalen Elementen ist zukünftig an die Erfüllung des Cyber Resilience Act gekoppelt. Hierbei ist entscheidend, den Security-Aspekt von Anfang an in den Entwicklungsprozess neuer Produkte mit einzubeziehen. Insbesondere Risiko Assessments und Security-by-Design sind hier elementare Bestandteile. Darüber hinaus muss das Produkt auch bei Auslieferung, Wartung und Entsorgung sicher sein.

Das hat zur Folge, dass potenzielle Risiken umfassend dokumentiert und regelmäßig überprüft werden müssen. Dies gilt auch für Schwachstellen eines Produkts. Angenommen, ein Hersteller entdeckt, dass ein Hacker eine Schwachstelle in der Software eines Smart-Home-Systems ausgenutzt hat: Der Hersteller ist verpflichtet, die Schwachstelle innerhalb von 24 Stunden den zuständigen Behörden zu melden, um weiteren Schaden zu verhindern. Zusätzlich müssen Kunden zeitnah über das Problem und verfügbare Patches informiert werden.

Damit tragen Hersteller die Verantwortung, Sicherheitslücken für die erwartete Lebensdauer eines Produktes zu identifizieren und zu beheben. Dies umfasst auch die Bereitstellung kostenloser Security-Updates.

Um diesen Anforderungen gerecht werden zu können, sollten innerhalb der eigenen Organisation rechtzeitig die erforderlichen Ressourcen und Prozesse geschaffen werden. Dabei sollten sowohl technische als auch prozessuale Maßnahmen berücksichtigt werden.

Was passiert bei Nichteinhaltung des Cyber Resilience Act?

Unternehmen, die den CRA nicht einhalten, riskieren hohe Geldstrafen und können ihre Produkte möglicherweise nicht mehr auf den EU-Markt bringen. Im Falle von schweren Verstößen drohen Strafen von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Dies unterstreicht die Bedeutung der frühzeitigen Umsetzung der Sicherheitsanforderungen.

Case Study: Sichere Produktentwicklung und CRA-Compliance

Mit Inkrafttreten des Cyber Resilience Acts sowie erhöhter Kundenanfragen in Bezug auf Cybersicherheit sah sich ein internationaler Anlagenbauer mit zahlreichen Anforderungen an die Security seiner Produkte konfrontiert. Mit dem Auftrag einer ganzheitlichen Product-Security-Strategie wandte sich das Unternehmen  an unser interdisziplinäres Product Security Team, um fortan ein hohes Niveau an Cybersicherheit entlang des gesamten Produktlebenszyklus zu gewährleisten.

Mehr erfahren

Zum Download: Cyber Resilience Act Asset Library

Webcastaufzeichnungen, unser neuestes Whitepaper und Handlungempfehlungen – das gibt's hier zum Download. Registrieren Sie sich einmalig für den Zugang zu all unseren CRA-Assets und sichern Sie sich alle relevanten Insights.

Hier registrieren

Follow us

Contact us

Dr. Oliver  Hanka

Dr. Oliver Hanka

Partner, Cyber Security & Privacy, PwC Germany

Tel.: +49 160 5105836

Siri Sophia Oberpottkamp

Siri Sophia Oberpottkamp

Senior Managerin, Cyber Security & Privacy, PwC Germany

Tel.: +49 1516 4500068

Hide