Gesetz über Cyberresilienz (Cyber Resilience Act, CRA)

Cyber Resilience Act, CRA: In der EU wurde ein Vorschlag für eine Verordnung über Cybersicherheitsanforderungen an Produkte mit digitalen Elementen, das sogenannte Gesetz über Cyberresilienz, vorgelegt. Dies soll die Cybersicherheitsvorschriften stärken, um sicherere Hardware- und Softwareprodukte zu gewährleisten.

Hard- und Softwareprodukte sind aus Sicht der EU mit zwei großen Problemen konfrontiert, die die Kosten für die Nutzer und die Gesellschaft erhöhen:

  1. ein geringes Maß an Cybersicherheit, das sich in weitverbreiteten Schwachstellen und der unzureichenden und inkohärenten Bereitstellung von Sicherheitsaktualisierungen zu deren Behebung widerspiegelt, und
  2. unzureichendes Verständnis und unzureichender Zugang der Nutzer zu Informationen, wodurch sie daran gehindert werden, Produkte mit angemessenen Cybersicherheitseigenschaften auszuwählen oder sie auf sichere Weise zu nutzen. 

Cyber Resilience Act, CRA

Die EU sieht Handlungsbedarf, weil es an der Regulierung mangelt:

Während die bestehenden Binnenmarktvorschriften für bestimmte Produkte mit digitalen Elementen gelten, fallen die meisten Hardware- und Softwareprodukte derzeit nicht unter EU-Rechtsvorschriften, die sich mit ihrer Cybersicherheit befassen. Insbesondere befasst sich der derzeitige EU-Rechtsrahmen nicht mit der Cybersicherheit nicht eingebetteter Software, auch wenn Cybersicherheitsangriffe zunehmend auf Schwachstellen bei diesen Produkten abzielen, was erhebliche gesellschaftliche und wirtschaftliche Kosten verursacht.

Das Cyberresilienz-Gesetz (Cyber Resilience Act, CRA) betrifft also Produkte mit digitalen Elementen, die im europäischen Binnenmarkt verkauft werden, aber nicht Software, die als Dienstleistung angeboten wird. Dienstleistungen wie Cloud-Computing oder Gesundheitsdienste fallen unter eine andere Richtlinie mit ähnlichen Sicherheitsanforderungen, die NIS2-Richtlinie.

Das Ziel des neuen Gesetzes ist es, die Sicherheitsanforderungen für verkaufte Produkte und digitale Dienste zu vereinheitlichen – und damit auch gewissermaßen eine Lücke zu schließen.


Ziele des Cyber Resilience Act (CRA)

Es sind durch den Cyberresilienz-Act einige spezifische Ziele angestrebt:

  1. sicherstellen, dass die Hersteller die Sicherheit von Produkten mit digitalen Elementen seit der Entwurfs- und Entwicklungsphase und während des gesamten Lebenszyklus verbessern (Update-Pflicht sowie Überwachungspflicht)
  2. Gewährleistung eines kohärenten Cybersicherheitsrahmens, der die Einhaltung der Vorschriften für Hardware- und Softwarehersteller erleichtert;
  3. die Transparenz der Sicherheitseigenschaften von Produkten mit digitalen Elementen zu erhöhen und
  4. Unternehmen und Verbraucher in die Lage versetzen, Produkte mit digitalen Elementen sicher zu nutzen (hier kommt ein Zwang für verständliche Bedienungsanleitungen)

Struktur des CRA

Welche Artikel des CRA bilden die Grundlage für Unternehmen, um ihre Produkte und Dienstleistungen im Bereich der digitalen Sicherheit nach EU-Standards zu gestalten und rechtliche Konformität sicherzustellen:

  1. Artikel 4 – Grundlegende Anforderungen an Produkte mit digitalen Elementen:
    • Schlagworte: Design und Entwicklung, Cybersicherheitsfunktionen, Risikomanagement.
    • Bedeutung: Dieser Artikel legt fest, dass Produkte von Beginn der Konzeption an Cybersicherheitsfunktionen enthalten müssen, wobei Risiken proaktiv gemanagt werden.
  2. Artikel 5 – Pflichten der Hersteller:
    • Schlagworte: Cybersicherheit, Verantwortlichkeit, Marktüberwachung.
    • Bedeutung: Hersteller sind direkt verantwortlich für die Cybersicherheit ihrer Produkte und müssen diese über den gesamten Lebenszyklus hinweg sicherstellen.
  3. Artikel 10 – Marktüberwachung und Durchsetzung:
    • Schlagworte: Überwachung, Compliance, Sanktionen.
    • Bedeutung: Strenge Marktüberwachung und potenzielle Sanktionen für Unternehmen, die die Vorschriften nicht einhalten.
  4. Artikel 7 – Konformitätsbewertung:
    • Schlagworte: Zertifizierung, Dritte, Überprüfung.
    • Bedeutung: Notwendigkeit für Hersteller, bestimmte Produkte durch Dritte bewerten zu lassen, um Konformität mit Cybersicherheitsanforderungen nachzuweisen.
  5. Artikel 20 – Vertraulichkeit und Schutz personenbezogener Daten:
    • Schlagworte: Datenschutz, Sicherheit, Informationsschutz.
    • Bedeutung: Gewährleistung des Schutzes von Informationen und Daten im Einklang mit Datenschutzstandards.
  6. Artikel 25 – Übertragene Befugnisse und Durchführungsrechtsakte:
    • Schlagworte: Gesetzgebungsbefugnisse, Anpassungsfähigkeit.
    • Bedeutung: Ermöglicht es der EU-Kommission, schnell auf neue technologische Entwicklungen und Bedrohungen zu reagieren.

Opensource-Software im CRA

Der Entwurf des EU Cyber Resilience Act (CRA) sieht vor, dass Open-Source-Software, die kostenlos und nicht kommerziell vertrieben wird, explizit von der Verordnung ausgenommen ist. Diese Entscheidung zielt darauf ab, die Entwicklung und Bereitstellung von Open-Source-Software nicht durch hohe Haftungsrisiken zu erschweren. Damit werden die Anforderungen und Regulierungen, die der CRA für Produkte mit digitalen Elementen festlegt, nicht auf solche Open-Source-Software angewendet.

Im Cyber Resilience Act (CRA) ist die Regelung für Open-Source-Software im Erwägungsgrund 10 des Entwurfs spezifiziert. Dieser stellt klar, dass kostenlose, nicht kommerziell vertriebene Software, insbesondere Open-Source-Software, nicht in den Anwendungsbereich der Verordnung fallen soll. Dieser Ansatz wurde gewählt, um die Entwicklung und Verbreitung von Open-Source-Software nicht durch die potenziellen hohen Haftungsrisiken zu behindern, die eine solche Regulierung mit sich bringen könnte.

CRA-Pflichten für Händler und Importeure

Es gibt recht umfassende Pflichten von Importeuren und Händlern unter dem EU „Cyber Resilience Act“ (CRA) hinsichtlich Produkte mit digitalen Elementen. Diese Pflichten betonen die Rolle von Importeuren und Händlern als wichtige Akteure in der Sicherheitskette, die dazu beitragen, die Risiken von Produkten mit digitalen Elementen zu managen und die Einhaltung der gesetzlichen Vorschriften sicherzustellen:

  1. Bereitstellung relevanter Informationen und Gebrauchsanweisungen:
    • Artikel 13 Abs. 5 und 14 Abs. 2 lit. b CRA-E: Importeure und Händler haben sicherzustellen, dass der Hersteller alle relevanten Informationen und die Gebrauchsanweisung in einer leicht verständlichen Sprache dem Produkt beilegt, um eine sichere Nutzung zu gewährleisten.
  2. Meldepflicht bei Entdeckung von Schwachstellen:
    • Artikel 13 Abs. 6 und 14 Abs. 4 CRA-E: Sollten Importeure oder Händler eine Schwachstelle in einem Produkt entdecken, sind sie verpflichtet, den Hersteller ohne schuldhaftes Zögern zu informieren. Bei einem erheblichen Cybersicherheitsrisiko müssen sie zudem unverzüglich die zuständigen Marktaufsichtsbehörden informieren. Es kommt also eine Watchdog-Funktion ins Spiel!
  3. Produktrücknahme oder -rückruf:
    • Artikel 13 Abs. 6 und 14 Abs. 4 CRA-E: Zusätzlich zur Meldepflicht sollten Importeure und Händler in der Lage sein, das Produkt zurückzunehmen oder zurückzurufen, falls dies angebracht erscheint.
  4. Weitere Meldepflichten bei Nichteinhaltung der CRA-Vorschriften durch den Hersteller:
    • Artikel 13 Abs. 9 und 14 Abs. 6 CRA-E: Wenn Importeure und Händler erfahren, dass der Hersteller das Produkt nicht in Einklang mit den Vorschriften des CRA bringen kann, sind sie verpflichtet, die Marktaufsichtsbehörden zu informieren. Sofern möglich, sollten sie auch die Nutzer des betroffenen Produktes informieren.

Zusammenspiel der Regeln

Das Zusammenspiel von DSGVO, allgemeiner IT-Sicherheit, KI-Verordnung und dem Cyber Resilience Act (CRA) ist geprägt von einer integrativen Regulierungsstrategie, um sowohl Datenschutz als auch Cybersicherheit in der EU zu stärken und aufeinander abzustimmen.

  • DSGVO: Diese stellt umfassende Anforderungen an den Datenschutz und die Verarbeitung personenbezogener Daten. Durch Prinzipien wie „Datensparsamkeit“ werden auch implizite Cybersicherheitsaspekte adressiert, da weniger Daten auch ein geringeres Risiko bedeuten.
  • IT-Sicherheit: Über den CRA hinaus reguliert die NIS2-Richtlinie die Sicherheitsanforderungen für wesentliche Dienste und kritische Infrastrukturen, um das Cybersicherheitsniveau in der EU zu erhöhen .
  • KI-Verordnung: Diese fokussiert sich auf die sichere und vertrauenswürdige Entwicklung und Nutzung von KI-Systemen, wobei sie ebenfalls Schnittstellen zur Cybersicherheit aufweist, insbesondere in der Regulierung der Datenverarbeitung und systeminternen Sicherheitsmechanismen .
  • Cyber Resilience Act: Der CRA zielt darauf ab, alle Produkte mit digitalen Elementen (inklusive Software und vernetzten Produkten) zu regulieren. Er verlangt von Herstellern, die Cybersicherheit über den gesamten Lebenszyklus eines Produktes hinweg zu gewährleisten, was eine direkte Verbindung zur DSGVO herstellt, indem auch die Sicherheit der verarbeiteten personenbezogenen Daten berücksichtigt werden muss .

Die Regelwerke sind so konzipiert, dass sie sich gegenseitig ergänzen und in vielen Bereichen überschneiden, um ein umfassendes Schutzniveau sowohl in Bezug auf personenbezogene Daten als auch hinsichtlich der allgemeinen IT-Sicherheit zu gewährleisten. Die KI-Verordnung und der CRA sind dabei jüngere Entwicklungen, die spezifisch auf neue technologische Herausforderungen und Risiken abzielen und damit die bestehenden Gesetze wie die DSGVO sinnvoll erweitern und vertiefen.

Der Cyber Resilience Act (CRA) und die NIS2-Richtlinie ergänzen sich im Rahmen der europäischen Cybersicherheitsstrategie. Die NIS2-Richtlinie zielt hauptsächlich darauf ab, ein hohes Maß an Cybersicherheit für Dienste wesentlicher und wichtiger Einrichtungen sicherzustellen, die in kritischen Sektoren wie Gesundheitsdienstleistungen, Cloud-Diensten und öffentlicher Verwaltung tätig sind. Hierfür fordert sie umfangreiche Sicherheitsmaßnahmen, die durch die Mitgliedstaaten sicherzustellen sind.

Der CRA hingegen richtet sich auf die Regulierung von Produkten mit digitalen Elementen, also sowohl Hard- als auch Software, die in der EU vermarktet werden. Er legt fest, dass Hersteller, Importeure und Vertreiber bestimmte Sicherheitsanforderungen erfüllen müssen, um Cybersicherheitsrisiken über den gesamten Lebenszyklus eines Produktes hinweg zu minimieren.

Das Zusammenspiel zwischen CRA und NIS2-Richtlinie ist vor allem in der Art der regulierten Objekte und deren Sicherheitsanforderungen zu sehen. Während die NIS2-Richtlinie sich auf die Dienste selbst konzentriert, deckt der CRA die physischen und digitalen Produkte ab, die für diese Dienste genutzt werden könnten. Beide Regelungen zielen darauf ab, das allgemeine Cybersicherheitsniveau in der EU zu erhöhen, indem sowohl die Anbieter von kritischen Diensten als auch die Produkte, die in diesen Diensten verwendet werden, strengen Sicherheitsstandards unterliegen.

Zertifizierung im Rahmen des CRA

Die Zertifizierung im Rahmen des Cyber Resilience Act (CRA) spielt eine wesentliche Rolle in der Gesamtstrategie zur Gewährleistung der Cybersicherheit von Produkten mit digitalen Elementen in der EU. Produkte, die bestimmte Sicherheitsanforderungen erfüllen, können ein EU-weites Cybersicherheitszertifikat erhalten, was sowohl Herstellern als auch Verbrauchern Sicherheit gibt. Diese Zertifikate sind besonders wichtig für Produkte, die als „kritisch“ eingestuft werden, gemäß der Risikoklassifizierung, die der CRA vorsieht .

Die Zertifikate des CRA haben auch Bedeutung im Kontext der NIS2-Richtlinie, insbesondere wenn es um die Bewertung der Cybersicherheitsrisiken und die Compliance von wesentlichen und wichtigen Einrichtungen geht. Produkte, die ein solches Zertifikat tragen, können als sicherer angesehen werden und sind damit bevorzugte Wahl für den Einsatz in kritischen Infrastrukturen, die von der NIS2-Richtlinie geschützt werden sollen. Dieses Zusammenspiel zwischen dem CRA und der NIS2-Richtlinie zeigt, wie eng verflochten die EU-Regelungen im Bereich der Cybersicherheit sind, mit dem Ziel, ein hohes Sicherheitsniveau sowohl für Produkte als auch für die kritische Infrastruktur zu schaffen.

Auch im Rahmen des BSI-Gesetzes (BSIG) spielt die Zertifizierung von Produkten und Diensten eine wichtige Rolle, insbesondere im Kontext der Cybersicherheit. Das BSIG fördert die Implementierung und Überprüfung von Sicherheitsstandards und -maßnahmen, die durch Zertifizierungen nachgewiesen werden können. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) ist dabei eine zentrale Institution, die für die Zertifizierung von IT-Sicherheit nach deutschen Standards zuständig ist.

Zertifizierungen nach dem Cyber Resilience Act könnten also auch im Kontext des BSIG eine Rolle spielen. Da der CRA spezifische Anforderungen an die Sicherheit von Produkten mit digitalen Elementen stellt und deren Einhaltung überprüft wird, dürfte ein CRA-Zertifikat die Einhaltung bestimmter BSIG-Vorgaben implizieren oder unterstützen, besonders wenn es um den Einsatz solcher Produkte innerhalb kritischer Infrastrukturen oder bei wichtigen Diensten geht. In Deutschland könnten solche Zertifikate als Nachweis dienen, dass bestimmte Sicherheitsstandards erfüllt sind, was bei der Bewertung der Cybersicherheitsrisiken nach dem BSIG von Bedeutung sein kann​​.

Fachanwalt für IT-Recht Jens Ferner