Am 21.10.2024 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Leitfaden zum Cyber Resilience Act (CRA) veröffentlicht. Diese Orientierungshilfe soll Unternehmen und Herstellern die grundlegenden Fragen zum CRA beantworten und Klarheit über den Anwendungsbereich, die Ausnahmen und die Cybersicherheitsanforderungen des Gesetzes schaffen. Der BSI-Leitfaden gibt insbesondere einen Überblick, welche Produkte betroffen sind und welche Sicherheitsmaßnahmen zu beachten sind.
Verabschiedung des CRA
Der EU-Rat hat am 10.10.2024 den CRA verabschiedet. Ziel des neuen Rechtsakts ist es, verbindliche Anforderungen an die Cyber-Sicherheit vernetzter Geräte zu schaffen und so sowohl Verbraucher als auch Unternehmen besser vor Cyberangriffen zu schützen. Bislang gab es in der EU keine einheitliche und verbindliche Regulierung, die sicherstellt, dass vernetzte Produkte über einen ausreichenden Schutz vor Cyberbedrohungen verfügen. Der CRA, dessen Entwurf zuerst Ende 2022 veröffentlicht wurde, soll diese Lücke nun europaweit schließen. Nun fehlt nur noch die formale Unterzeichnung der Präsidenten des Rats und des Parlaments.
Ab wann gilt der CRA?
Nachdem der CRA im Amtsblatt der EU veröffentlicht wird, kann das neue Gesetz 20 Tage später in Kraft treten und findet als Verordnung unmittelbar Anwendung. Laut des BSI soll dies noch im November dieses Jahres passieren. Das BSI erklärt in seinen Leitlinien, dass die Umsetzung des CRA dann in verschiedenen Schritten erfolgt. Ab Mai 2026 sollen zunächst Konformitätsbewertungsstellen die Einhaltung der Sicherheitsanforderungen bewerten können. Ab August 2026 greift zudem die Meldepflicht für Schwachstellen und Sicherheitsvorfälle. Spätestens ab Ende 2027 müssen dann alle neuen betroffenen Geräte sämtliche Vorgaben erfüllen.
Welche Produkte sind betroffen?
Der Leitfaden verdeutlicht, dass der CRA für eine breite Palette von Produkten gilt, die digitale Elemente enthalten oder als Softwareprodukte klassifiziert sind. Das Gesetz gilt für solche Geräte, die ab Ende 2027 auf dem EU-Markt eingeführt werden. Betroffen können etwa Smart-Home-Geräte, Software-Produkte oder Unterhaltungstechnik sein.
Ausgenommene Produkte:
Von dem Gesetz ausgenommen sind jedoch Medizinprodukte, Fahrzeuge, In-vitro-Diagnostika, zivile Luftfahrt und Produkte, die im Zusammenhang mit der nationalen Sicherheit stehen. Nicht vom CRA erfasst ist daneben Open-Source-Software, die ohne Gewinnerzielungsabsicht angeboten wird.
Wer muss den CRA anwenden?
Der CRA richtet sich an Wirtschaftsakteure. Nach Art. 3 Nr. 12 der neuen Verordnung sind das insbesondere Hersteller, Einführer, Händler oder jede andere natürliche oder juristische Person, die Verpflichtungen im Zusammenhang mit der Herstellung oder Bereitstellung von Produkten mit digitalen Elementen im Sinne des CRA unterliegt.
Und was ist mit KMUs oder Start-ups?
Laut des CRA soll es für kleine und mittlere Unternehmen (KMU) und Start-ups Unterstützungen geben. Laut BSI soll es unter anderem Umsetzungsleitlinien, Helpdesks zu den Meldepflichten und Regulatory Sandboxes für die Überprüfung von Produkten geben. Daneben könne sich auch die technische Dokumentation vereinfachen.
Welche Anforderungen sind zu beachten?
Ein zentrales Ziel des CRA ist es, durch verbindliche Cybersicherheitsstandards die Widerstandsfähigkeit von Produkten gegen Cyberangriffe zu stärken. Dafür soll zum einen bereits im Entwicklungsprozess eine Risikoanalyse stattfinden und die Grundsätze „security by design“ und „security by default“ eingehalten werden. Dazu gehört auch das Erstellen einer Software Bill of Materials (SBOM). Hierbei handelt es sich um eine Liste, die beschreibt, welche Softwarekomponenten das Produkt beinhaltet. Eine Veröffentlichung ist jedoch nicht erforderlich.
Im Anschluss sind Verantwortliche verpflichtet die Einhaltung der Anforderungen mittels einer Konformitätserklärung nachzuweisen. Damit ein effizienter Informationsaustausch bezüglich Schwachstellen stattfinden kann, soll es außerdem eine neue zentrale Meldeplattform geben. Im Übrigen sind für einen Zeitraum von fünf Jahren Sicherheitsupdates bereitzustellen.
Technische Richtlinie des BSI
Das BSI kündigt zudem die Entwicklung einer technischen Richtlinie an, die die Anforderungen des CRA für Hersteller präzisiere und praktikabel umsetzbar machen soll. Teil 1 „General Requirements“ soll Anforderungen an Hersteller und Produkte aus dem CRA zusammenfasse. Teil 2 bezieht sich auf die SBOM und stellt hierfür formelle und fachliche Anforderungen bereit. Teil 3 „Vulnerability Reports and Notifcations“ soll erklären, wie Schwachstellenmeldungen zu handhaben sind. Bis zum 30.11.2024 hat das Fachpublikum durch veröffentlichte Community Drafts die Möglichkeit Kommentare und Rückmeldungen zu den Entwürfen von Teil 1 und Teil 3 abzugeben.
Fazit
Der neue BSI-Leitfaden zum Cyber Resilience Act bietet einen ersten Anhaltspunkt zur Klärung der künftigen Anforderungen an die Cybersicherheit digitaler Produkte. Die Leitlinien können bereits jetzt eine wertvolle Orientierung für Unternehmen bieten und bei der Feststellung helfen, welche Produkte betroffen sind, welche Ausnahmen gelten und welche Sicherheitsmaßnahmen erforderlich sein werden. Die angekündigte technische Richtlinie des BSI wird die Anforderungen des CRA weiter konkretisieren und Unternehmen unterstützen, sich rechtzeitig auf die neuen Regelungen vorzubereiten.
