Cybersicherheit für Digitale Produkte in der EU
Die zunehmende Bedeutung der IT-Sicherheit und der Cyberrisiken im Finanzsektor verzahnt in diesem Kontext insbesondere auch das Thema Business Continuity Management, bzw. Notfallmanagement. Und nicht nur bedingt durch die zunehmende Digitalisierung des Bankgeschäfts und die pandemiebedingte Arbeit in Heimarbeit.
Auch die derzeitige politischen Lage und die damit verbundene zunehmende Bedrohung durch Cyberangriffe gewinnen stetig an Bedeutung. Der veröffentlichte Jahresbericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Lage der IT-Sicherheit sieht dort ein zunehmendes Risiko durch Cyberattacken.
Welche Zielsetzung verfolgt die EU mit dem CRA?
Die Europäische Kommission hat im September 2022 den Entwurf eines Cyber Resilience Act (CRA) vorgelegt, mit dem sie die Cybersicherheit von Produkten, die miteinander oder mit dem Internet verbunden werden können, verbessern will. Diese Produkte werden von Unternehmen hergestellt und an Endkunden vertrieben. Sie werden aber auch in Unternehmen für die Produktion eingesetzt sowie als Vorprodukte bezogen und weiter verbaut beziehungsweise veredelt und sind damit Bestandteil von Lieferketten.
Zuletzt waren im Dezember 2023 die Meldungen über eine Einigung des Wortlauts der Verordnung berichtet worden. Die endgültige Version wird wohl Anfang 2024 kommen und eine Übergangszeit ab Ende 2025 regeln.
Wen betrifft die Regulierung?
Die Europäische Kommission schlägt mit dem Cyber Resilience Act vor, bei den genannten Produkten in den Phasen Design, Entwicklung und Produktion sowie während des Inverkehrbringens und während der Nutzung risikoangemessene Cybersecurity-Maßnahmen zu etablieren.
Dabei unterscheidet die Europäische Kommission (ähnlich dem Digital Markets Act) je nach Kritikalität:
- nicht kritische Produkte mit digitalen Elementen (zum Beispiel Festplatten, PC-Spiele),
- kritische Produkte mit digitalen Elementen Klasse I (zum Beispiel Browser, Passwort-Manager) und Klasse II (zum Beispiel Firewalls für den industriellen Einsatz, Router, Chipkarten und Chipkartenleser),
- hochkritische Produkte mit digitalen Elementen (unter diese Kategorie fallen zunächst noch keine Produkte).
Nach Angaben der EU-Kommission sollen circa 90 Prozent der Erzeugnisse in die Gruppe, der nicht kritischen Produkte fallen. Hersteller und Vertreiber von kritischen Produkten müssen strengere Anforderungen erfüllen, beispielsweise hinsichtlich der Konformitätsbewertung, die auf Basis harmonisierter EU-Standards erfolgen soll. Die Konformität wird am Produkt mit dem „CE-Kennzeichen“ dokumentiert. Die Umsetzung wird von nationalen Marktüberwachungsbehörden überwacht.
Darüber hinaus sieht der CRA-Entwurf vor, dass Hersteller Sicherheitslücken über den gesamten Produktlebenszyklus schließen müssen, maximal jedoch über fünf Jahre. Nutzer müssen über behobene Schwachstellen und über Cybersicherheitsvorfälle informiert werden. Hersteller müssen darüber hinaus Cybersicherheitsvorfälle sowie jede aktiv ausgenutzte Schwachstelle innerhalb von 24 Stunden der europäischen Agentur für Cybersicherheit (ENISA) melden.
Und in der Praxis heißt das?
Ein Hardwarehersteller verbaut Chips als Bestandteile seines Produkts. Das Unternehmen muss sich darauf verlassen können, dass diese sicher konzipiert sind und benötigt für eine gewisse Zeit Firmware-Updates vom Halbleiterhersteller, um die Sicherheit entlang der Lieferkette zu gewährleisten. Nach dem CRA müsste der Chip-Hersteller nachweisen, dass er bei Entwicklung und Produktion EU-harmonisierte Cybersicherheitsnormen eingehalten hat. Das wird über eine sogenannte Software-Stückliste dokumentiert.
Er muss auch Schwachstellen dokumentieren, von denen er Kenntnis erlangt hat. Vor Inverkehrbringen des Halbleiters als Komponente für eine Hardware muss er ein Konformitätsbewertungsverfahren durchführen, erst dann darf die CE-Kennzeichnung angebracht werden. Der HW-Hersteller muss das auch für seinen Teil der Lieferkette sicherstellen. Beide Unternehmen müssen nach dem Inverkehrbringen von Chip und Industrieprodukt Aktualisierungen bereitstellen und zusätzlich Melde- und Informationspflichten erfüllen.
Was passiert als nächstes?
Die Einigung zwischen den EU-Institutionen ebnet den Weg dafür, dass der CRA Anfang 2024 formal verabschiedet werden kann. Danach werden die Verpflichtungen im Rahmen des Gesetzes über einen gestaffelten Übergangszeitraum in Kraft treten, wobei die Meldepflichten für Schwachstellen nach 21 Monaten (d. h. Ende 2025) und die übrigen Verpflichtungen nach drei Jahren (d. h. Anfang 2027) in Kraft treten werden.
Die CRA ist nur eine von vielen Cybersicherheitsverordnungen, die derzeit in Brüssel vorbereitet werden. Eine Konsultation zu den Normen des Cybersicherheitsgesetzes für IKT-Dienste wurde gerade abgeschlossen. Die Diskussionen über den Entwurf des Cybersicherheitszertifizierungssystems für Cloud-Dienste laufen noch. Die „Tranche 2“ der technischen Normen des Digital Operational Resilience Act („DORA“) wird in den kommenden Monaten erwartet; und die Mitgliedstaaten arbeiten weiter an der Umsetzung der NIS 2 bis zur Frist im Oktober 2024. All dies lässt das Jahr 2024 zu einem weiteren arbeitsreichen Jahr für die Regulierung der Cybersicherheit in Europa werden.
Was ist jetzt für die Unternehmen wichtig?
Im Interesse aller Unternehmen ist es angebracht, dass Anbieter und Hersteller von Produkten mit digitalen Elementen von vornherein auf „Security by Design“ achten. Über einen definierten Zeitraum ist eine sichere Nutzung durch Sicherheitsupdates zu gewährleisteten.
Unternehmen müssen ihre internen Maßnahmen auf CRA-Konformität überprüfen beziehungsweise Prozesse neu etablieren und einen Mechanismus zum Umgang mit Schwachstellen implementieren. Dafür müssen sie sich an europäischen Normen orientieren, die zum großen Teil erst erarbeitet werden müssen.
Unternehmen berichten sehr häufig darüber, dass sie die dafür erforderlichen Fachkräfte nicht rekrutieren können. Dies trifft gleichermaßen auf den Aufbau von Organisationsstrukturen und die Schulung der Beschäftigten für die Marktüberwachung zu.
Sollten Sie in diesem Fall unsere Unterstützung benötigen sprechen Sie uns bitte an!
22. Februar 2024
Gerd Grimberger,
Rechtsinformatiker
