CRA
Cybersicherheit von vernetzten Geräten
Mit dem 2024 vom Rat der EU-Innenminister:innen beschlossen Cyber Resilience Act (CRA) kommen auf Hersteller von vernetzten Geräten zukünftig neue Mindestanforderungen in Sachen Cybersicherheit zu.
Der Cyber Resilience Act (CRA) legt verbindliche Anforderungen an die Cybersicherheit von vernetzten Geräten fest, die innerhalb der EU in Verkehr gebracht werden. Sein Ziel: Einen einheitlichen Sicherheitsstandard für digitale Hardware- und Softwareprodukte auf dem europäischen Markt zu schaffen.
Der Cyber Resilience Act der Europäischen Union zielt darauf ab, die Cybersicherheit von Produkten mit digitalen Elementen zu verbessern. Betroffen sind Hersteller, Importeure und Händler solcher Produkte, die in der EU auf den Markt gebracht werden. Dies umfasst eine breite Palette von Produkten, von IoT-Geräten bis hin zu Softwareanwendungen, die mit dem Internet verbunden sind oder digitale Funktionen haben.
Der Act legt Anforderungen an die Cybersicherheit fest, die diese Produkte erfüllen müssen, bevor sie in der EU verkauft werden dürfen. Dazu gehören unter anderem Sicherheitsmaßnahmen, die während des gesamten Lebenszyklus des Produkts aufrechterhalten werden müssen, sowie die Verpflichtung zur Offenlegung von Sicherheitslücken und zur Bereitstellung von Sicherheitsupdates.
Unternehmen, die solche Produkte herstellen, importieren oder vertreiben, müssen sicherstellen, dass ihre Produkte den im Cyber Resilience Act festgelegten Standards entsprechen, um rechtliche und finanzielle Konsequenzen zu vermeiden.
Nur wenige Produktarten sind dagegen vom CRA ausgenommen. Darunter z. B. nicht-kommerzielle Open-Source-Softwareprodukte.
In die “Default-Kategorie” fallen Produkte mit digitalen Komponenten, die ein geringes Cyberrisiko haben. Dazu gehören z. B. Verbraucherprodukte wie Spiele, Software, Geräte zur Bildbearbeitung.
In die Kategorie der „Wichtigen Produkte I“ fallen Produkte, die eine Sicherheitsfunktion enthalten, die wiederum weitere Produkte betreffen. Dazu gehören z. B. Browser, Mikrocontroller, Mikroprozessoren, Passwortmanager, Betriebssysteme, Smart Home, Virtuelle Assistenzen.
In die Kategorie der „Wichtigen Produkte Klasse II“ fallen Produkte mit digitalen Komponenten, die eine Funktion erfüllen, die ein erhebliches Risiko birgt. Dieses Risiko kann eine große Anzahl an derer Produkte schädigen oder die Gesundheit und Sicherheit der Nutzer durch Manipulation stören. Zu diesen Produkten gehören z. B. Firewalls, Systeme zur Angriffserkennung und -prävention, manipulationssichere Mikrokontroller und -prozessoren.
In die Kategorie der „Kritischen Produkte“ fallen Produkte, die eine kritische Abhängigkeit für von NIS-2 betroffenen Unternehmen darstellen (Artikel 3 der Richtlinie (EU) 2022/2555). Es handelt sich dabei um Produkte, die bei Fehlfunktion zu ernsthaften Unterbrechungen oder Störungen in Diensten oder Lieferketten führen können. Dazu gehören z. B. Smartcards und SEs, Smart Meter Gateways, Hardwaregeräte mit Security Boxes
Der CRA enthält neue Mindestanforderungen an die Sicherheit von vernetzten Geräten. So müssen in Zukunft alle vernetzten Produkte, die innerhalb der EU auf den Markt gebracht werden, das CE-Kennzeichen tragen. Dies belegt sichtbar nach außen, dass das gekennzeichnete Produkt die Anforderungen des CRA erfüllt.
Der CRA ist am 10.10.2024 durch den Rat der EU-Innenminister:innen beschlossen und am 20.11.2024 als Regulation (EU) 2024/2847 im Amtsblatt der Europäischen Union veröffentlicht worden.