Strenge Anforderungen an die Cybersicherheit: Der Entwurf des Cyber Resilience Act

Im Herbst 2022 hat die Eu­ropäische Kom­mis­sion ih­ren „Vor­schlag für eine Ver­ord­nung über ho­ri­zon­tale An­for­de­run­gen an die Cy­ber­si­cher­heit von Pro­duk­ten mit di­gi­ta­len Ele­men­ten“, den Cy­ber Re­si­li­ence Act, veröff­ent­licht. Erklärtes Ziel ist es, der zu­neh­men­den Zahl von Cy­ber­at­ta­cken auf Hard- und Soft­ware­pro­dukte zu be­geg­nen. Bis­lang be­steht in Sa­chen Cy­ber­si­cher­heit ein ge­setz­li­cher Fli­cken­tep­pich aus EU-Vor­schrif­ten so­wie na­tio­na­len Ge­set­zen, die sich wie­derum von Bran­che zu Bran­che un­ter­schei­den. Der Cy­ber Re­si­li­ence Act soll nun einen ein­heit­li­chen Min­dest­stan­dard in Sa­chen Cy­ber­si­cher­heit für na­hezu alle Bran­chen schaf­fen, ohne sek­tor­spe­zi­fi­sche Re­ge­lun­gen zu verdrängen. Und die­ser Ent­wurf hat es in sich.

© Unsplash

Der Ent­wurf des Cy­ber Re­si­li­ence Act er­fasst alle „Pro­dukte mit di­gi­ta­len Ele­men­ten“, das heißt sämt­li­che Pro­dukte, die be­stim­mungs­gemäß oder vernünf­ti­ger­weise vor­her­seh­bar dazu be­nutzt wer­den können, eine Da­ten­ver­bin­dung zu einem Gerät oder einem Netz­werk auf­zu­bauen. Da­mit dürfte jede Soft­ware, je­des „smarte“ und je­des mit einem PC oder Smart­phone an­steu­er­bare Pro­dukt von den neuen An­for­de­run­gen be­trof­fen sein. Her­stel­ler, Im­por­teure und Händ­ler, die Pro­dukte mit di­gi­ta­len Ele­men­ten in der EU auf den Markt brin­gen, müssen künf­tig einen um­fang­rei­chen Pflich­ten­ka­ta­log im Be­reich der Cy­ber­si­cher­heit um­set­zen.

Be­gin­nend mit dem Pro­dukt­ent­wick­lungs­pro­zess bis zu fünf Jahre nach Markt­einführung sind die Her­stel­ler ver­pflich­tet, ver­schie­dene Maßnah­men für ein an­ge­mes­se­nes Cy­ber­se­cu­rity-Ni­veau der Pro­dukte um­zu­set­zen. Bei neuen Pro­duk­ten müssen si­cher­heits­re­le­vante Ein­stel­lun­gen vor­kon­fi­gu­riert sein („Cy­ber­se­cu­rity by de­fault”). Nach dem In­ver­kehr­brin­gen des Pro­dukts hat der Her­stel­ler für ma­xi­mal fünf Jahre si­cher­zu­stel­len, dass die­ses wei­ter­hin den Si­cher­heits­an­for­de­run­gen des Cy­ber Re­si­li­ence Act ge­recht wird; da­mit führt die EU eine ge­setz­li­che Pflicht ein, dass Si­cher­heitslücken in die­sem Zeit­raum durch Up­dates be­ho­ben oder die Pro­dukte zurück­ge­ru­fen wer­den müssen. Wei­ter­hin müssen die Her­stel­ler bei­spiels­weise um­fas­sende Ri­si­ko­be­wer­tun­gen vor­neh­men, Pro­zesse zum Er­ken­nen von IT-Schwach­stel­len ein­rich­ten, tech­ni­sche Do­ku­men­ta­tio­nen er­stel­len (u. a. „Soft­ware bill of ma­te­ri­als“) und si­cher­heits­re­le­vante Zwi­schenfälle an Behörden und Be­trof­fene mel­den. Noch wei­ter­ge­hende Pflich­ten tref­fen Her­stel­ler von kri­ti­schen oder hoch­kri­ti­schen Pro­duk­ten mit di­gi­ta­len Ele­men­ten. Zu die­sen zählen etwa Pass­wort­ma­na­ger, Fire­walls, Mi­cro­pro­zes­so­ren oder Be­triebs­sys­teme. Hier gel­ten ge­stei­gerte An­for­de­run­gen für die Ri­si­ko­be­wer­tungs­pro­zesse, bis hin zur Durchführung die­ser Prüfun­gen durch un­abhängige Dritte. Da­mit sol­len ei­ner­seits die Ge­fah­ren für sol­che kri­ti­schen An­wen­dun­gen re­du­ziert wer­den und durch die Trans­pa­renz auch für zusätz­li­che Si­cher­heit ge­sorgt wer­den, wel­che Pro­dukte von ver­trau­enswürdi­gen An­bie­tern stam­men.

Die Im­por­teure und Händ­ler ha­ben in ers­ter Li­nie si­cher­zu­stel­len, dass die von ih­nen im­por­tier­ten bzw. ver­mark­te­ten Pro­dukte die An­for­de­run­gen des Cy­ber Re­si­li­ence Act erfüllen, die er­for­der­li­che Do­ku­men­ta­tion be­reit­liegt und die Pro­dukte ent­spre­chend ge­kenn­zeich­net sind. Wenn Im­por­teure oder Händ­ler ein Pro­dukt mit di­gi­ta­len Ele­men­ten aber un­ter ih­rem ei­ge­nen Na­men, un­ter ih­rer ei­ge­nen Marke oder mit er­heb­li­chen Verände­run­gen auf dem EU-Markt in den Ver­kehr brin­gen, gel­ten sie als Her­stel­ler und un­ter­lie­gen den Pflich­ten des Her­stel­lers.

Verstöße ge­gen den Cy­ber Re­si­li­ence Act können mit emp­find­li­chen Bußgel­dern be­legt wer­den, die bis zu 15 Mio. Euro oder 2,5 % des welt­wei­ten Um­sat­zes des vor­an­ge­gan­ge­nen Ge­schäfts­jahrs um­fas­sen können. Die Markt­auf­sicht­behörden sind zu­dem be­fugt, ge­eig­nete Ab­hil­femaßnah­men oder Pro­duktrück­rufe an­ord­nen.

Der Cy­ber Re­si­li­ence Act be­fin­det sich der­zeit noch im Ge­setz­ge­bungs­ver­fah­ren. Der Ent­wurf wurde weit­hin begrüßt, wenn­gleich in ei­ni­gen Punk­ten Nach­bes­se­rungs­be­darf an­ge­mahnt wurde. Eine Ver­ab­schie­dung könnte noch im Jahr 2023 er­fol­gen. Als Ver­ord­nung ist der Cy­ber Re­si­li­ence Act di­rekt in al­len EU-Mit­glied­staa­ten an­wend­bar. Den Un­ter­neh­men wer­den nach der Veröff­ent­li­chung der Ver­ord­nung im Amts­blatt der Eu­ropäischen Union 24 Mo­nate für die Um­set­zung der er­for­der­li­chen Maßnah­men blei­ben.

Hin­weis: Auch wenn noch Ände­run­gen bis zum fi­na­len Stand der Ver­ord­nung zu er­war­ten sind, wird der Cy­ber Re­si­li­ence Act tief­grei­fende An­pas­sun­gen bei zahl­rei­chen Un­ter­neh­men er­for­dern. Ne­ben der Im­ple­men­tie­rung neuer Pro­zesse und der Er­stel­lung von Do­ku­men­ta­tio­nen dürfte auch die An­pas­sung be­ste­hen­der Ver­trags­be­zie­hun­gen ge­bo­ten sein, um die Um­set­zung der Pflich­ten aus dem Cy­ber Re­si­li­ence Act in der Supply Chain si­cher­zu­stel­len. In Ex­tremfällen könn­ten Un­ter­neh­men so­gar ge­zwun­gen sein, die ge­samte Hard- oder Soft­ware­ar­chi­tek­tur ih­rer Pro­dukte zu über­ar­bei­ten. Wir emp­feh­len da­her, be­reits jetzt den An­pas­sungs­be­darf zu eva­lu­ie­ren und den wei­te­ren Ge­setz­ge­bungs­pro­zess eng zu ver­fol­gen.