Die Europäische Union hat mit dem Cyber Resilience Act (CRA) einen entscheidenden Schritt unternommen, um die Cybersicherheit von Produkten mit digitalen Elementen, einschließlich des Internets der Dinge (IoT), zu stärken. Dieser umfassende Rechtsakt markiert eine neue Phase im europäischen Technikrecht und stellt die Weichen für eine sichere digitale Zukunft. In diesem Blogeintrag nähern wir uns dem CRA und seinem Regelungsbereich, den IoT-Geräten.
Was sind IoT-Geräte?
Bevor wir uns dem CRA zuwenden, ist es wichtig zu verstehen, was unter IoT-Geräten verstanden wird. IoT steht für "Internet der Dinge" und bezieht sich auf physische Objekte, die mit dem Internet verbunden sind und Daten austauschen können. Diese reichen von alltäglichen Haushaltsgeräten wie intelligenten Thermostaten und Lichtsystemen bis hin zu komplexeren Systemen wie vernetzten Fahrzeugen oder Industrieanlagen. Die Vernetzung dieser Geräte bietet enorme Vorteile, birgt aber auch Risiken, insbesondere in Bezug auf die Cybersicherheit.
Kernpunkte und Bedeutung des Cyber Resilience Act (CRA)
Der CRA zielt darauf ab, die Cybersicherheitsanforderungen für Produkte mit digitalen Elementen zu standardisieren und ist eine Ergänzung zu bestehenden Regelungen wie der NIS-2-Richtlinie, die sich auf die betriebliche Cybersicherheit konzentriert. Mit seiner Annahme unterstreicht die EU die zunehmende Bedeutung der Produktsicherheit im digitalen Raum.
Unmittelbare Geltung und Zuständigkeiten
Als EU-Verordnung gilt der CRA unmittelbar in allen Mitgliedstaaten, ohne dass nationale Umsetzungsgesetze erforderlich sind. Dies vereinheitlicht die Anforderungen und erleichtert die Durchsetzung. Die Frage, welche Behörde in Österreich die Aufsicht übernehmen wird, ist noch offen.
Anwendungsbereich und "Security by Design"
Der CRA gilt für eine breite Palette von Produkten mit digitalen Elementen, einschließlich Software und Hardware sowie damit verbundenen Cloudlösungen. Ein zentraler Aspekt des CRA ist die Einführung des "Security by Design"-Prinzips. Produkte müssen von Anfang an unter Berücksichtigung der Cybersicherheit entworfen und entwickelt werden, und es muss eine kontinuierliche Risikobewertung über den gesamten Lebenszyklus hinweg erfolgen.
Konkrete Anforderungen und Verbesserungen
Der CRA stellt spezifische Anforderungen an die Cybersicherheit, die Bereitstellung von Informationen und Anweisungen für Nutzer sowie Maßnahmen für verschiedene Kritikalitätsklassen von Produkten. Zudem wurden nach Kritik aus der Open-Source-Community Anpassungen vorgenommen, um das Open-Source-Ökosystem zu schützen, einschließlich Regelungen für das Schwachstellenmanagement bei Open-Source-Komponenten.
Bedeutung für Hersteller und die Lieferkette
Hersteller, Importeure und Händler müssen die Cybersicherheitsrisiken ihrer Produkte bewerten und Maßnahmen ergreifen, um diese Risiken zu minimieren. Dies beinhaltet auch Meldepflichten für Cybersicherheitsrisiken sowie den Umgang mit Sicherheitslücken. Der CRA verlangt von Herstellern zudem, die typische Lebensdauer ihrer Produkte festzulegen, die grundsätzlich mindestens fünf Jahre beträgt.
Übergangsbestimmungen und Sanktionen
Für Produkte, die bereits auf dem Markt sind, gelten Übergangsbestimmungen. Neue Produkte müssen die Anforderungen des CRA erfüllen, während für bereits vorhandene Produkte Anpassungen nur bei wesentlichen Änderungen notwendig sind. Bei Nichteinhaltung drohen Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes.
Ausblick: die Bedeutung des CRA für die Zukunft der Cybersicherheit
Der CRA ist ein entscheidender Schritt zur Stärkung der Cybersicherheit in der EU. Durch die Schaffung einheitlicher Anforderungen und die Förderung des "Security by Design"-Prinzips setzt die EU neue Maßstäbe für die Sicherheit digitaler Produkte. Dieser Ansatz schützt nicht nur die Verbraucher, sondern stärkt auch das Vertrauen in digitale Technologien und fördert Innovationen.
Für Unternehmen bedeutet der CRA eine Notwendigkeit, ihre Entwicklungs- und Produktionsprozesse anzupassen. Denn die Einhaltung der CRA-Vorgaben wird zur Voraussetzung, um im EU-Binnenmarkt tätig zu sein. Dies erfordert eine frühzeitige Integration von Cybersicherheitsmaßnahmen in den Entwicklungsprozess und eine kontinuierliche Bewertung der Cybersicherheitsrisiken.
Die Einführung des CRA verdeutlicht die Bedeutung, die die EU der Cybersicherheit beimisst. In einer zunehmend vernetzten Welt ist dies ein wesentlicher Schritt, um die digitale Souveränität Europas zu stärken und einen sicheren digitalen Binnenmarkt zu gewährleisten.