EU-weite Cybersicherheit für digitale Produkte

Am 20.11.2024 wurde der Cyber Resilience Act, das neue Gesetz über Cybersicherheitsanforderungen für Produkte mit digitalen Elementen, im EU-Amtsblatt veröffentlicht. 
 

Die neue Verordnung tritt zwanzig Tage nach der Veröffentlichung im EU-Amtsblatt in Kraft (10.12.2024) und gilt 36 Monate nach diesem Inkrafttreten unmittelbar in jedem EU-Mitgliedsstaat, nämlich ab 11. Dezember 2027.

Einige Bestimmungen werden bereits früher gelten: 

• Juni 2026: Konformitätsbewertungsstellen können die Erfüllung der Anforderungen des CRA bewerten
• September 2026: Die Meldepflicht für Schwachstellen und weitere Sicherheitsvorfälle beginnt
• 11. Dezember 2027: Sämtliche Anforderungen des CRA bei neuen Produkten müssen eingehalten werden
   

Alle 11 Sekunden findet ein Hacker-Angriff statt. Daraus resultieren Kosten von über 5 Billionen Euro. So schreibt es die EU-Kommission in Ihrer Cybersicherheitsstrategie und untermauert damit, dass in Zukunft ein höheres Maß an Cybersecurity sichergestellt werden muss. Ziel ist, dass die festgelegten Anforderungen als ständiger Bestandteil in die gesamte Lieferkette mit aufgenommen werden sollen.

Der neue „Cyber Resilience Act“ soll gewährleisten, dass digitale Produkte für Einzelpersonen und Unternehmen sicherer werden. Hersteller solcher Produkte, sowohl von Hardware als auch Software, werden dahingehend verpflichtet, mithilfe von Softwareaktualisierungen Schwachstellen zu beheben und den Endanwender ihrer Produkte über mögliche Cybersicherheitsrisiken zu informieren. Zusätzlich definiert die Verordnung Anforderungen an die Software-Entwicklung und unterstreicht somit auch die im bereits in Anwendung befindlichen „Cyber Security Act“ geforderte „Security by Design“.
 

Die von der EU-Kommission vorgelegten Cybersicherheitsvorschriften haben das übergeordnete Ziel, sicherere Hardware- und Softwareprodukte auf den Binnenmarkt zur bringen. In Form von 4 Maßnahmen konkretisiert die Kommission die Ziele des Rechtsaktes:  

1. Es wird sichergestellt, dass die Hersteller die Sicherheit von Produkten mit digitalen Elementen bereits in der Entwurfs- und Entwicklungsphase und während des gesamten Lebenszyklus verbessern.
2. Ein kohärenter Rahmen für die Cybersicherheit wird gewährleistet, der die Einhaltung der Vorschriften für Hardware- und Softwarehersteller erleichtert
3. Die Transparenz der Sicherheitseigenschaften von Produkten mit digitalen Elementen wird verbessert
4. Unternehmen und Konsumenten wird ermöglicht, Produkte mit digitalen Elementen sicher zu nutzen
    

Aus dem Anwendungsbereich der Verordnung lässt sich erkennen, dass dieser Bereich sehr weit gefasst ist:

„Diese Verordnung gilt für auf dem Markt bereitgestellte Produkte mit digitalen Elementen, deren bestimmungsgemäßer Zweck oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt.“

Durch die lose Definition „digitale Elemente“ umfasst die Verordnung somit sowohl Hardware wie Maschinen und IoT-Geräte als auch reine Software-Produkte.

Im Anwendungsbereich werden auch Ausnahmen genannt, so fallen beispielsweise Medizinprodukte nach Verordnung (EU) 2017/745 nicht unter den Geltungsbereich des geplanten Rechtsakts.

Im Rechtsakt wird auch das künftige Zusammenspiel mit der delegierten Verordnung 2022/30 geregelt, welche bereits jetzt Security-Anforderungen an internetfähige Anlagen im Sinne der Funkgeräterichtlinie 2014/53/EU fordert. So kündigte Brüssel an, dass zur Vermeidung von Überschneidungen die Verordnung 2022/30 entweder aufgehoben oder lediglich ergänzt werden soll.
 

Analog zu bisherigen EU-Rechtsakten (z.B. Maschinen- oder Niederspannungsrichtlinie) sieht auch der Cyber Resiliance Act ein Konformitätsbewertungsverfahren vor.

Kern des Verfahrens stellt die Cyber-Risikobeurteilung dar. So sieht die Verordnung in Artikel 13, Absatz 2 vor:

„ (...) führen die Hersteller eine Bewertung der Cybersicherheitsrisiken durch, die ein Produkt mit digitalen Elementen birgt, und berücksichtigen das Ergebnis dieser Bewertung in der Planungs-, Konzeptions-, Entwicklungs-, Herstellungs-, Liefer- und Wartungsphase des Produkts mit digitalen Elementen, um die Cybersicherheitsrisiken zu minimieren, Sicherheitsvorfälle zu verhindern und die Auswirkungen solcher Sicherheitsvorfälle, auch in Bezug auf die Gesundheit und Sicherheit der Nutzer, so gering wie möglich zu halten.“

Je nach Kritikalität der Produkte unterscheidet das Konformitätsbewertungsverfahren zwischen einer Selbstzertifizierung und zwei Verfahren, bei denen benannte Stellen beigezogen werden müssen. Details dazu finden sich im Factsheet zum Cyber Resiliance Act.

Insbesondere bemerkenswert für Hersteller sind aus unserer Sicht die Ausführung in Anhang VII, Absatz 2, der Verordnung. Das Dokument nennt hier unterschiedliche Aspekte (Konzeption, Entwicklung, Produktion, Schwachstellenanalyse) als Inhalte der technischen Unterlagen. D.h. im Software-Entwicklungsprozess müssen – wenn es nach der EU-Kommission geht – künftig software-architektonische Entscheidungen, sowohl als auch Entscheidungen bzgl. des Entwicklungs- und Build-Prozesses entsprechend dokumentiert werden. Dies bedeutet selbstredend einen erhöhten Dokumentationsaufwand für Unternehmen. Insbesondere die schnelle technologische Weiterentwicklung von Tools rund um die Softwareentwicklung (z.B. für Build-Prozesse) wird Unternehmen hier sicherlich in Zukunft vor bewältigbare, aber dennoch nicht zu unterschätzende organisatorische Herausforderungen stellen.

Der Inhalt im Wortlaut:

„INHALT DER TECHNISCHEN DOKUMENTATION

(…)

eine Beschreibung der Konzeption, Entwicklung und Herstellung des Produkts mit digitalen Elementen und der Verfahren zur Behandlung von Schwachstellen, einschließlich:

(a) erforderlicher Informationen über die Konzeption und Entwicklung des Produkts mit digitalen Elementen, gegebenenfalls mit Zeichnungen und Schemata und/oder einer Beschreibung der Systemarchitektur, aus der hervorgeht, wie Softwarekomponenten aufeinander aufbauen, miteinander zusammenwirken und sich in die Gesamtverarbeitung integrieren;

(b) erforderlicher Informationen und Spezifikationen bezüglich der vom Hersteller festgelegten Verfahren zur Behandlung von Schwachstellen, einschließlich der Software-Stückliste, des Konzepts für die koordinierte Offenlegung von Schwachstellen, des Nachweises der Bereitstellung einer Kontaktadresse für die Meldung der Schwachstellen und einer Beschreibung der gewählten technischen Lösungen für die sichere Verbreitung von Aktualisierungen;

(c) erforderlicher Informationen und Spezifikationen bezüglich der Herstellungs- und Überwachungsprozesse des Produkts mit digitalen Elementen und der Validierung dieser Prozesse;“
 

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet mit der Veröffentlichung der Technische Richtlinie TR-03183 Unterstützung bei der Identifikation der Anforderungen des CRA für Hersteller. Weitere Informationen dazu finden Sie in unserem Fachbeitrag "Technische Richtlinie für Cyber-Resilienz-Anforderungen".
 

In den kommenden Monaten wird die Kommission die europäischen Normungsorganisationen CEN und CENELEC dazu auffordern, "harmonisierte Normen für die in Anhang I dieser Verordnung aufgeführten grundlegenden Cybersicherheitsanforderungen auszuarbeiten." Im Rahmen eines solchen Normungsauftrags ist die Kommission bestrebt, bestehende europäische und internationale Normen im Bereich der Cybersicherheit zu berücksichtigen, die bereits veröffentlicht sind oder derzeit entwickelt werden. Bisher ist ein solcher Normungsauftrag zum CRA nur als Entwurfsdokument verfügbar, es wird erwartet, dass der offizielle "Stadardisation Request" zeitnah nach Veröffentlichung des Cyber Resilience Act erscheinen wird.

Beispiele solcher Normen und Spezifikationen, die möglicherweise zur Erfüllung der CRA-Anforderungen harmonisiert werden könnten, sind:

• Normenreihe EN ISO/IEC 15408 Teile 1-5: Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre - Evaluationskriterien für IT-Sicherheit
• EN 17640: Zeitlich festgelegte Cybersicherheitsevaluationsmethodologie für IKT-Produkte
• EN ISO/IEC 29147: Informationstechnik - Sicherheitstechniken - Offenlegung von Schwachstellen
• EN ISO/IEC 30111: Informationstechnik - IT-Sicherheitsverfahren - Prozesse für die Behandlung von Schwachstellen
• EN 303 645: Cyber Security for Consumer Internet of Things
• Teile der Normenreihe EN IEC 62443: IT-Sicherheit für industrielle Automatisierungssysteme

Analog zur neuen Maschinenverordnung (EU) 2023/1230 kann die Kommission bei Fehlen harmonisierter Normen für die Cybersicherheitsanforderungen des Anhangs I Durchführungsrechtsakte mit gemeinsamen Spezifikationen für technische Anforderungen erlassen. Diese Option lässt sich der Gesetzgeber offen, falls die gewünschten Normen nicht in der festgesetzten Frist geliefert, der Normungsauftrag nicht angenommen wurde oder die Dokumente inhaltlich nicht dem Auftrag entsprechen.

Speziell für Hersteller von Maschinen bieten folgende Dokumente eine wertvolle Informationsquelle: 

• CLC IEC/TS 63074: Maschinensicherheit - Sicherheitsaspekte in Verbindung mit der funktionalen Sicherheit von sicherheitsrelevanten Steuerungssystemen
• CEN ISO/TR 22100-4: Leitlinien für Maschinenhersteller zur Berücksichtigung der damit verbundenen IT-Sicherheits- (Cybersicherheits-) Aspekte
• prEN 50742: Sicherheit von Maschinen - Schutz gegen Korrumpierung
   

Die NIS-2-Richtlinie gilt für Netzwerk- und Informationssysteme, die zur Bereitstellung wesentlicher und wichtiger Dienste in Schlüsselsektoren verwendet werden. So schreibt die Vorschrift Organisationen (=Betreibern) aus verschiedenen Sektoren vor sicherzustellen, dass die Netzwerke und Systeme, die sie zur Erbringung von Dienstleistungen und zur Durchführung ihrer Tätigkeiten nutzen, ein höheres Maß an Cybersicherheit erreichen. Welche Unternehmen davon direkt (als Betreiber) betroffen sind und welche Anforderungen bzw. Sanktionen die Richtlinie vorsieht haben wir im Fachbeitrag NIS-2-Richtlinie im Maschinenbau erläutert.

Der Cyber Resilience Act dagegen legt Cybersicherheitsanforderungen für Hardware- und Softwareprodukte fest, die von Unternehmen (=Herstellern) in der EU auf den Markt gebracht werden. Für Produkte, die in den Geltungsbereich des CRA fallen, müssen Hersteller Sicherheitsbewertungen durchführen, Verfahren zur Behandlung von Schwachstellen einführen und den Benutzern die erforderlichen Informationen zur Verfügung stellen.