Im Kabinett beschlossen
Mit der Cyberresilienz-Verordnung werden erstmalig Mindeststandards bei der Cybersicherheit für Produkte mit digitalen Elementen festgelegt. Europa macht sich widerstandsfähiger gegen Cyberangriffe und gewährleistet sichere digitale Dienste.
2 Min. Lesedauer
Die Anforderungen betreffen Produkte, die in der EU verkauft werden und „digitale Elemente“ enthalten.
Foto: picture alliance / Westend61
Der sogenannte Cyber Resilience Act (CRA) legt erstmalig ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte fest, die auf dem EU-Markt erhältlich sind. Ziel ist die Erhöhung der Cybersicherheit innerhalb der Europäischen Union. Die neuen Vorschriften gelten in allen EU-Mitgliedstaaten und werden schrittweise umgesetzt. Den ersten Schritt hat Deutschland heute gemacht: Das Kabinett hat den Entwurf des Gesetzes zur Durchführung des sogenannten Cyber Resilience Act (Cyberresilienz-Verordnung) beschlossen.
Mit der europäischen Cyberresilienz-Verordnung werden verbindliche Cybersicherheitsanforderungen für „Produkte mit digitalen Elementen“ eingeführt. Mit den Cybersicherheitsvorschriften werden Unternehmen verpflichtet, die Widerstandsfähigkeit gegen Cyberangriffe zu erhöhen und verlässliche Dienste zu gewährleisten.
Cybersicherheit wird erstmalig grundlegende Eigenschaft eines Produktes und damit zwingende Voraussetzung für den Marktzugang für Produkte mit digitalen Elementen innerhalb der Europäischen Union. Alle Produkte, die in der EU verkauft werden und „digitale Elemente“ enthalten, müssen den Anforderungen des CRA entsprechen. Die Vorgaben bauen auf der bekannten CE-Kennzeichnung auf. Das Kennzeichen wird um den Aspekt der Cybersicherheit erweitert. Die Produkte müssen eine umfassende Liste von Cybersicherheitsanforderungen erfüllen, zum Beispiel dass Produkte ohne bekannte ausnutzbare Sicherheitslücken auf den Markt gebracht werden oder eine möglichst geringe Angriffsfläche bieten und die Auswirkungen von Sicherheitsvorfällen reduzieren oder es den Nutzern ermöglichen, alle Daten und Einstellungen sicher und unwiderruflich zu löschen.
Die betroffenen Wirtschaftsakteure (Hersteller, Importeure oder Händler) sind verpflichtet, die Umsetzung der neuen Vorgaben sicherzustellen. Unterfallen die Produkte nicht den neuen Standards, dürfen die Produkte nicht auf den europäischen Markt gebracht werden. Unternehmen drohen erhebliche Bußgelder.
Der Begriff „Produkte mit digitalen Elementen“ bedeutet jedes Software- oder Hardware-Produkt und seine Lösungen zur Datenverarbeitung. Klingt kryptisch, ist es aber nicht. Grundsätzlich sind das alle Software und Hardware mit Netzwerkfähigkeit, wie smarte Geräte (Smart-TV, Smartphones, Smart-Home-Geräte) oder Router sowie Betriebssysteme. Ferner zählen Cloud-basierte Lösungen und freie und open-source-Software dazu.
Allerdings fällt deshalb nicht jedes Produkt mit digitalen Elementen unter den Cyber Resilience Act. Denn es gibt noch weitere Regularien für bestimmte Produkte, unter anderem für Medizinprodukte, Fahrzeuge, Produkte der zivilen Luftfahrt und Produkte, die ausschließlich für Zwecke der nationalen Sicherheit oder Verteidigung entwickelt werden. Diese sind oft strikter, weshalb der CRA sie nicht betrifft.
Das Bundesamt für Sicherheit in der Informationstechnik wird Marktüberwachungsbehörde im Sinne dieser Verordnung. Sie kontrolliert die Cybersicherheit der vernetzten Produkten und wird als notifizierende Behörde Konformitätsbewertungsstellen unter Einbeziehung der Deutschen Akkreditierungsstelle prüfen und notifizieren.
Der CRA ist eine EU-Verordnung und keine Richtlinie und ist somit direkt anwendbar. Die Umsetzung erfolgt in verschiedenen Etappen, bis Ende 2027. Neu in Verkehr gebrachte Produkte müssen zu diesem Zeitpunkt alle Anforderungen erfüllen.
Weitere Informationen findet sich auf der Informationsseite des BSI zum Cyber Resilience Act.