Direkt zum Inhalt

Der European Cyber Resilience Act - Nachhaltige Erhöhung der Cybersicherheit oder Bremse für digitale Produktinnovation?

Header

Der Vorschlag zum European Cyber Resilience Act (CRA-E) ist seit September 2022 öffentlich zugänglich, wobei zuletzt weitere Anpassungen im Zuge des aktuellen EU-Ratsvorsitz durch Schweden eingebracht wurden. Die generelle Notwendigkeit des European Cyber Resilience Act oder einer ähnlich ausgerichteten Verordnung zur allgemeinen Verbesserung der Cybersicherheit steht außer Frage – ebenso die Tatsache, dass der CRA-E große Auswirkungen auf alle Unternehmen, die vernetzte Produkte in Europa entwickeln und verkaufen, haben wird.

In diesem Blog-Post werden wir eine Analyse der Verordnung selbst präsentieren, ihren Anwendungsbereich und ihre potenziellen Auswirkungen erläutern. Ebenso werden wir unmittelbare Maßnahmen vorstellen, die Unternehmen ergreifen können, um die zukünftigen Anforderungen erfüllen zu können. Dieser Artikel konzentriert sich dabei hauptsächlich auf Fragen, die für Entwickler und Hersteller digitaler vernetzter Produkte relevant sind.

SPOILER-ALARM: Sie werden mit großer Wahrscheinlichkeit Ihren Entwicklungsprozess, Ihre Produktdokumentation und Ihre Support-Prozesse evaluieren und anpassen müssen.

Und wenn Sie immer noch unsicher sind, ob Sie weiterlesen sollen: Die Nichteinhaltung der Vorschriften kann mit einer Geldstrafe von bis zu 15 Millionen Euro oder 2,5 % des gesamten weltweiten Jahresumsatzes eines Unternehmens geahndet werden.

Überblick über den European Cyber Resilience Act

Die Europäische Union verfolgt mit dem European Cyber Resilience Act zwei Hauptziele:

1. Die Schaffung der Bedingungen für die Entwicklung sicherer Produkte, damit Hardware- und Softwareprodukte mit weniger Schwachstellen in Verkehr gebracht werden und damit die Hersteller sich während des gesamten Lebenszyklus eines Produkts ernsthaft um die Sicherheit bemühen

2. Die Schaffung von Bedingungen, die es den Nutzern ermöglichen, bei der Auswahl und Verwendung von Produkten mit digitalen Elementen die Cybersicherheit zu berücksichtigen.

Mit dieser neuen Verordnung soll die derzeitige Cybersicherheitslage insgesamt verbessert werden, indem eine striktere Haltung gegenüber non-embedded Software eingenommen wird, die derzeit von keiner EU-Rechtsvorschrift angemessen erfasst werden. Darüber hinaus sollte durch diese zukünftig geografisch weit verbreitete und allgemein anwendbare Verordnung die allgemeine Cyber-Resilienz der EU-Mitgliedstaaten und der Gesellschaft nachhaltig verbessert werden. In diesem Sinne wird der European Cyber Resilience Act ein zusätzliches Maß an Sicherheit in Bereichen forcieren, die in anderen Bemühungen wie die NIS2-Richtlinie oder dem Cyber Security Act nicht unmittelbar adressiert werden.

Entlang den formulierten Zielen wird der European Cyber Resilience Act eine Reihe von Anforderungen an Hersteller von Produkten mit digitalen Elementen in Bezug auf ihren Entwicklungsprozess, ihre Fähigkeiten in Bezug auf das Schwachstellenmanagement und die Bereitstellung relevanter Cybersicherheitsdokumentation durchsetzen.

Anwendungsbereich und Grenzen

Hinsichtlich des Geltungsbereichs des European Cyber Resilience Act müssen zwei Dimensionen berücksichtigt werden. Der erste betrifft die Art der Produkte, die unter diese Verordnung fallen, und der zweite die Organisationen, die zur Einhaltung verpflichtet sind.

Ganz allgemein erfasst die Verordnung jegliche Produkte mit digitalen Elementen, die eine direkte oder indirekte Datenverbindung mit anderen Geräten oder Netzwerken erlauben oder vorsehen.

Definition Produkt mit digitalen Elementen: Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in Verkehr gebracht werden sollen. (Quelle: European Cyber Resilience Act, Kapitel 1, Artikel 3 (1))

Bei genauerer Betrachtung zeigt sich, wie weitreichend diese Definitionen formuliert sind. Dadurch wird sichergestellt, dass jede Art von vernetzter Software oder Hardware sowie alle relevanten Remote-Computing-Elemente erfasst sind, die am Europäischen Markt in Verkehr gebracht werden.

Mit Blick auf die betroffenen Organisationen wird klargestellt, dass jeder Marktteilnehmer, der betreffende Produkte am Europäischen Markt in Verkehr bringt und gewerblich tätig ist - unabhängig davon, ob das entgeltlich oder unentgeltlich angeboten wird - der Verordnung unterliegt.

Kurz zusammengefasst: Wenn Ihr Unternehmen Produkte mit digitalen Elementen entwickelt oder herstellt bzw. entwickeln oder herstellen lässt, müssen Sie Ihre aktuellen Entwicklungs- und Support-Prozesse bewerten und sicherstellen, dass Sie auf die Umsetzung des European Cyber Resilience Act vorbereitet sind.

Anforderungen

Die Anforderungen, die an die Hersteller von vernetzten Produkten gestellt werden, sind in erster Linie in den Artikeln 10 und 11 des European Cyber Resilience Act festgelegt. Eine wesentliche Forderung ist die Umsetzung eines Vorgehensmodells zur Identifikation und Bewertung von Cyberrisiken, welche dann in weiterer Folge zur Steuerung des gesamten Produktlebenszyklus dienen sollen.

Die beiden wesentlichen Anforderungen, die direkt die Sicherheit digitaler Produkte betreffen, sind die Umsetzung von sicheren Entwicklungspraktiken und eines angemessenen Schwachstellenmanagements. Diese wesentlichen Cybersicherheitsanforderungen sind in den Abschnitten 1 und 2 des European Cyber Resilience Act in Anhang I angeführt.

SICHERHEITSANFORDERUNGEN IN BEZUG AUF DIE EIGENSCHAFTEN VON PRODUKTEN MIT DIGITALEN ELEMENTEN

  1. Produkte mit digitalen Elementen werden so konzipiert, entwickelt und hergestellt, dass sie angesichts der Risiken ein angemessenes Cybersicherheitsniveau gewährleisten;
  2. Produkte mit digitalen Elementen werden ohne bekannte ausnutzbare Schwachstellen ausgeliefert;
  3. Auf der Grundlage der Risikobewertung gemäß Artikel 10 Absatz 2 müssen Produkte mit digitalen Elementen, soweit zutreffend, [..]
  4. [..]

Quelle: Europäisches Gesetz zur Cyber Resilienz, Anhang 1, Abschnitt 1

Damit wird verlangt, dass Unternehmen Cybersicherheitsrisiken systematisch managen müssen. Dies betrifft sowohl die Identifikation potenzielle Sicherheitsprobleme als auch deren Analyse und ein angemessenes, Risiko-orientiertes Vorgehen zur Wahrung der Informationssicherheit während des gesamten Entwicklungsprozesses. Eine weitere Forderung ist, dass Produkte ohne bekannte ausnutzbare Schwachstellen auszuliefern sind. Dies wird insbesondere für Unternehmen, die in Vergangenheit weniger Augenmerk auf Sicherheit in der Produktentwicklung gelegt haben, große Anstrengungen erfordern.

Die zweite Reihe grundlegender Cybersicherheitsanforderungen verlangt von betroffenen Herstellern die Entwicklung und Aufrechterhaltung eines Schwachstellenmanagementprozesses.

ANFORDERUNGEN AN DIE BEHANDLUNG VON SCHWACHSTELLEN

Die Hersteller der Produkte mit digitalen Elementen müssen

  1. Schwachstellen und Komponenten des Produkts ermitteln und dokumentieren, u.a. durch Erstellung einer Software-Stückliste in einem gängigen maschinenlesbaren Format, aus der zumindest die obersten Abhängigkeiten des Produkts hervorgehen;
  2. im Hinblick auf die Risiken im Zusammenhang mit den Produkten mit digitalen Elementen unverzüglich Schwachstellen behandeln und beheben, unter anderem durch Bereitstellung von Sicherheitsaktualisierungen;
  3. die Sicherheit des Produkts mit digitalen Elementen regelmäßig und wirksam testen und überprüfen;

[..]

  1. Mechanismen für die sichere Verbreitung von Aktualisierungen für Produkte mit digitalen Elementen bereitstellen, damit ausnutzbare Schwachstellen rechtzeitig behoben oder eingedämmt werden;>
  2. dafür sorgen, dass Sicherheits-Patches oder -Aktualisierungen, die zur Bewältigung festgestellter Sicherheitsprobleme zur Verfügung stehen, unverzüglich und kostenlos verbreitet werden, zusammen mit Hinweisen und einschlägigen Informationen, auch über zu treffende mögliche Maßnahmen.

Quelle: European Cyber Resilience Act, Anhang 1, Abschnitt 1

Diese Anforderungen legen die verpflichtenden Aufgaben und einzurichtenden Prozesse fest. Einige davon, wie beispielsweise die Durchführung regelmäßiger Sicherheitstests und die kostenlose Bereitstellung von Sicherheits-Patches und -Updates, könne für Unternehmen zusätzliche finanzielle Belastungen darstellen – bis hin zu einer Anpassung des angewendeten Geschäftsmodells.

Neben diesen grundlegenden Cybersicherheitsanforderungen werden in Anhang V des European Cyber Resilience Act insgesamt 7 zusätzliche Dokumentationsanforderungen gestellt, die sich auf den Inhalt der geforderten technischen Dokumentation beziehen. Diese schreiben im Wesentlichen die transparente Bereitstellung von Nachweisen zur Umsetzung der regulatorischen Pflichten und deren jeweiligen Ergebnisse vor. Dies sind beispielsweise die Dokumentation der Cybersicherheitsrisikobewertung oder die Bereitstellung der Software-Stückliste.

Insgesamt dürfen die Anforderungen an die Hersteller von Produkten mit digitalen Elementen nicht unterschätzt werden - insbesondere für Unternehmen, die in den letzten Jahren nicht ausreichend in ihre eigene Cybersicherheit und die ihrer Produkte investiert haben.

Um sicherzustellen, dass der European Cyber Resilience Act flächendeckend umgesetzt wird, muss jedes Unternehmen, das Produkte mit digitalen Elementen auf den europäischen Markt bringt, eine Konformitätsbewertung für seine Produkt durchführen. Je nach Produktkategorie können diese Bewertungen unterschiedliche Formen annehmen, von Selbstbewertungen bis hin zu umfassenden Bewertungen durch Dritte für besonders kritische Systeme.

Wie sollte man sich auf den European Cyber Resilience Act vorbereiten

Wie im vorangegangenen Abschnitt Anwendungsbereich und Grenzen beschrieben, werden die meisten Unternehmen, die Soft- und Hardwareprodukte auf dem europäischen Markt anbieten, die regulatorischen Anforderungen des European Cyber Resilience Act erfüllen müssen. Viele von ihnen werden sich nun fragen, wie sie am besten vorgehen und welchen Zeitplan sie einhalten sollen.

Nachdem die finale Fassung des Vorschlags der EU-Kommission für den European Cyber Resilience Act im September 2022 veröffentlicht wurde, wird der nächste Schritt darin bestehen, dass das Europäische Parlament die entsprechende Gesetzgebung (nach Diskussionen und möglichen Änderungen) in Kraft setzt. Die tatsächliche Umsetzung wird in zwei Phasen erfolgen:

  1. Innerhalb von zwölf Monaten werden Hersteller und Entwickler von Produkten mit digitalen Elementen verpflichtet sein, Cybersicherheitsvorfälle zu melden.
  2. Innerhalb von vierundzwanzig Monaten müssen betroffene Unternehmen die Vorgaben des European Cyber Resilience Act vollständig umsetzen.

Aktuell ist der Tag X, an dem das Europäische Parlament diese neue Gesetzgebung verabschieden wird, noch nicht bekannt. Es ist jedoch zu erwarten, dass (i) die EU aufgrund der zunehmenden Bedeutung der Cybersicherheit im Hinblick auf die aktuellen geopolitischen Entwicklungen entschlossen handeln wird und (ii) nur mehr überschaubare Änderungen an den im European Cyber Resilience Act festgehaltenen Anforderungen und Prozessen vorgenommen werden. Letztlich ist zu erwarten, dass die Unternehmen bis Anfang 2026 die regulatorischen Vorgaben vollumfänglich umsetzen müssen.

Diese zweieinhalb Jahre sollten genutzt werden, um den aktuellen Status im eigenen Unternehmen zu bewerten und bei Bedarf zusätzliche Fähigkeiten aufzubauen, sowie die erforderlichen Ressourcen bereitzustellen. In einem ersten Schritt müssen die Unternehmen die betroffenen Produkte ermitteln und eine Bewertung des aktuellen Umsetzungsstandes sicherer Entwicklungspraktiken vornehmen. Darüber hinaus sollten sie beurteilen, ob sie die erforderlichen Dokumentationsartefakte bereitstellen können.

In jedem Fall müssen Unternehmen für ihre Produktentwicklung und -wartung geeignete Methoden zur Bewertung von Cyberrisiken anwenden. Der European Cyber Resilience Act schreibt hierzu keine bestimmte Methodik vor und überlässt die Auswahl einer geeigneten Methode dem Produkthersteller. Je nach Art des Produkts kommen verschiedene Ansätze wie STRIDE, CORAS, Attack Trees, etc. in Frage. Die Ergebnisse dieser Bewertungen müssen in die nachfolgenden Prozessschritten integriert werden, die sicheren Design- und Entwicklungsverfahren anwenden müssen. Ein wichtiger weiterer Aspekt ist die Einrichtung eines konformen Schwachstellenmanagementprozesses - falls nicht bereits vorhanden. Beide Prozesse (Risikobewertung und Schwachstellenmanagement) erfordern spezielle Schulungen der Mitarbeiter und die Bereitstellung zusätzlicher Hilfsmittel, die von der Art der entwickelten vernetzten Produkte abhängen. Schließlich müssen Unternehmen sicherstellen, dass ihre Prozesse in der Lage sind, die geforderte Dokumentation für die Konformitätsbewertungen bereit stellen zu können.

Abhängig vom aktuellen Stand der Cybersicherheit in den Unternehmen können diese Schritte erhebliche finanzielle Investitionen und Zeit erfordern, um beispielsweise auch den erforderlichen kulturellen Wandel in den Produktentwicklungsteams zuzulassen.

Zusammenfassung

Abschließend möchten wir noch einmal auf die im Titel dieses Artikels gestellte Frage zurückkommen: Der European Cyber Resilience Act - Nachhaltige Erhöhung der Cybersicherheit oder Bremse für digitale Produktinnovation? Eine klare und eindeutige Antwort auf diese Frage können wir zum aktuellen Zeitpunkt noch nicht geben. Bis zu einem gewissen Grad werden zusätzliche Investitionen und die Bereitstellung weiterer Ressourcen von Unternehmen gefordert. Dies wird kleinere und mittelgroße Unternehmen mit großer Wahrscheinlichkeit stärker treffen (vgl. Zusammenfassung des Berichts zur Folgenabschätzung zum European Cyber Resilience Act, Abschnitt C: "What are the impacts on SMEs and competitiveness? "). Der aktuell größte abzusehende Vorteil für KMU besteht aber darin, dass auch ihre Zulieferer derselben Verordnung unterliegen werden. Dadurch erhalten KMU eine höhere Gewissheit bezüglich der Umsetzung von Cybersicherheitsmaßnahmen der selbst eingesetzten Komponenten von Drittanbietern - und zumindest indirekte Möglichkeiten, diese durchzusetzen. Unternehmen, die bereits ein angemessenes Cyber Security Niveau erreicht haben, werden eher geringfügige Anpassungen in ihren Prozessen vornehmen müssen - es ist davon auszugehen, dass erforderliche Fähigkeiten bereits aufgebaut wurden, und gegebenenfalls notwendige Änderungen unmittelbar umgesetzt werden können. Darüber hinaus erhält jedes Unternehmen die Möglichkeit, sich und seine Produkte auf der Grundlage von einheitlich gültigen und für alle Marktteilnehmer transparenten Rahmenbedingungen, von denen seiner Mitbewerber abheben zu können. Durch die Einhaltung dieser Gesetzgebung können Unternehmen zudem eine CE-Zertifizierung für ihre Produkte erlangen.

Als Cyber Security Experten mit langjähriger Erfahrung im Bereich Security Engineering und in der Unterstützung von Kunden bei der Erfüllung verschiedener gesetzlicher Anforderungen empfehlen wir folgendes: Beginnen Sie frühzeitig mit einem ersten Assessment der relevanten Prozesse, bauen Sie die erforderlichen Fähigkeiten zügig auf, stellen Sie die notwendigen Ressourcen bereit und holen Sie sich Unterstützung von Experten, um erforderliche Transformationen effizient in Ihrem Unternehmen umzusetzen.