Skip to main content
Insights

EU Cyber Resilience Act

By 30. September 2022Oktober 28th, 2022No Comments

Copyright: European Union

Wir haben eine erste Zusammenfassung des Entwurfs des EU Cyber Resilience Acts erarbeitet. Der EU Cyber Recilience Act führt Sicherheitsanforderungen für Hersteller, Importöre und Distributoren von Produkten mit digitalen Elementen ein. Ziel ist es, Produkte sicherer zu machen und sicherzustellen, dass die Hersteller während des gesamten Lebenszyklus eines Produkts für die Cybersicherheit verantwortlich bleiben.

Während bestehende Regulatorien hauptsächlich auf die Betreiber von OT-Systemen abzielen (z. B. NIS, NIS2, …), ist dies das erste Mal, dass wir eine Regulierung sehen, die sich an fast alle Hersteller von Produkten mit digitalen Elementen richtet (das reicht von reiner Software über Verbraucherprodukte bis hin zu eingebetteten (industriellen) IoT-Geräten mit kaum Ausnahmen). (Basis-)Security und der verantwortungsvolle Umgang mit Schwachstellen werden nicht mehr eine optionale Herstellerentscheidung sein, sondern eine Voraussetzung für den Verkauf des Produkts auf dem EU-Markt.

Um Ihnen einen ersten Überblick zu geben, haben wir die wichtigsten Informationen aus dem Entwurf zusammengestellt (meistens frei übersetzte Zitate):

In dieser Verordnung wird Folgendes festgelegt

  • Vorschriften für das Inverkehrbringen von Produkten mit digitalen Elementen zur Gewährleistung der Cybersecurity dieser Produkte
  • Grundanforderungen an Design, Entwicklung und Produktion von Produkten mit digitalen Elementen und Pflichten der betroffenen Wirtschaftsakteure in Bezug auf die Cybersicherheit
  • Wesentliche Anforderungen an die Prozesse zum Umgang mit Schwachstellen, die von den Herstellern eingerichtet werden, um die Cybersicherheit von Produkten mit digitalen Elementen während des gesamten Lebenszyklus zu gewährleisten, sowie Pflichten der Wirtschaftsakteure in Bezug auf diese Prozesse
  • Rechtsvorschriften für die Marktüberwachung und die Durchsetzung der vorgenannten Vorschriften und Anforderungen

Zusätzlich: Die technische Dokumentation enthält alle relevanten Daten oder Informationen über die Mittel, mit denen der Hersteller sicherstellt, dass das Produkt mit digitalen Elementen und die vom Hersteller eingerichteten Verfahren die grundlegenden Anforderungen nach Anhang I erfüllen.

Umfang

Diese Verordnung gilt für Produkte mit digitalen Elementen, deren bestimmungsgemäße oder vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netz umfasst.

Ausgenommen sind zum Teil Produkte, für die es vergleichbare Regelungen gibt, z. B.

  • Medizinprodukte (Verordnung (EU) 2017/745 und 2017/746)
  • Kraftfahrzeuge und ihre Anhänger (Verordnung (EU) 2019/2144)
  • Zivilluftfahrt (Verordnung (EU) 2018/1139)
  • Mationale Sicherheit oder militärische Zwecke
  • Allgemeiner: Die Anwendung dieser Verordnung auf Produkte mit digitalen Elementen, die unter andere Unionsvorschriften fallen, in denen Anforderungen festgelegt sind, die alle oder einige der von den grundlegenden Anforderungen abgedeckten Risiken betreffen

Der Hersteller, Importeur oder Händler ist verpflichtet, dafür zu sorgen, dass die in der Verordnung festgelegten Anforderungen erfüllt werden.

Status und Zeitplan

Der EU-Cyber Resilience Act ist ein Entwurf, der aus einer Folgenabschätzung hervorgegangen ist (wie wirkt es sich auf den EU-Markt aus, wenn ….). Nun müssen das Europäische Parlament und der Rat den vorgeschlagenen Cyber Resilience Act prüfen. Sobald der Vorschlag angenommen wird und in Kraft tritt, haben die Wirtschaftsakteure und die Mitgliedstaaten zwei Jahre Zeit, sich an die neuen Anforderungen anzupassen. Eine Ausnahme von dieser Regel ist die Meldepflicht der Hersteller für aktiv ausgenutzte Schwachstellen und Vorfälle, die ein Jahr nach Inkrafttreten gelten würde, da sie weniger organisatorische Anpassungen erfordern als die anderen neuen Verpflichtungen.

Meldungen (unvollständig)

Hersteller müssen

  • Innerhalb von 24 Stunden nach Bekanntwerden jede aktiv ausgenutzte Schwachstelle des Produkts an die ENISA zu melden
  • Innerhalb von 24 Stunden nach Bekanntwerden der ENISA jeden Vorfall zu melden, der Auswirkungen auf die Sicherheit des Produkts hat
  • Die Nutzer des Produkts mit digitalen Elementen über den Vorfall und, falls erforderlich, über Abhilfemaßnahmen zu informieren.
  • Bei Feststellung einer Schwachstelle in einer Komponente, auch in einer Open-Source-Komponente, die in das Produkt mit digitalen Elementen integriert ist, die Schwachstelle der Person oder Einrichtung melden, die die Komponente wartet.

Aufsichtsbehörde der Mitgliedsstaaten

  • Hat die Marktüberwachungsbehörde eines Mitgliedstaats hinreichende Gründe für die Annahme, dass ein Produkt mit digitalen Elementen, einschließlich der Handhabung seiner Schwachstellen, ein erhebliches Cybersicherheitsrisiko darstellt, führt sie eine Bewertung des Produkts durch […]
  • Stellt die Marktüberwachungsbehörde im Verlauf dieser Bewertung fest, dass das Produkt mit digitalen Elementen die Anforderungen dieser Verordnung nicht erfüllt, fordert sie den betreffenden Betreiber unverzüglich auf, innerhalb einer der Art des Risikos angemessenen Frist, die sie vorschreiben kann, alle geeigneten Korrekturmaßnahmen zu ergreifen, um die Übereinstimmung des Produkts mit diesen Anforderungen herzustellen, es vom Markt zu nehmen oder zurückzurufen

Bestehende Zertifizierungen

Bei Produkten mit digitalen Elementen und vom Hersteller eingerichteten Verfahren, die mit harmonisierten Standards oder Teilen davon übereinstimmen, deren Fundstellen im Amtsblatt der Europäischen Union veröffentlicht worden sind, wird eine Konformität mit den in Anhang I aufgeführten grundlegenden Anforderungen vermutet, die von diesen Standards oder Teilen davon abgedeckt werden.

Eine harmonisierte Norm ist eine europäische Norm, die von einer anerkannten europäischen Normungsorganisation erarbeitet wurde: CEN, CENELEC oder ETSI. Sie wird auf Antrag der Europäischen Kommission bei einer dieser Organisationen erstellt. Kein Teil der IEC 62443 ist bisher eine harmonisierte Norm (ebenso wenig wie z.B. ISO 27001).

Kategorien

Sämtliche Produkte mit digitalen Elementen fallen unter die Richtlinie, wobei 90 % der Produkte als nicht kritisch eingestuft werden. Es gibt zwei Kategorien von kritischen Produkten mit digitalen Elementen (unvollständige Liste mit Limes Security Schwerpunkt).​​

Kategorie I

  • Verschiedene Arten von Sicherheitsprodukten (z. B. Firewalls, IDS, SIEM, Passwortmanager, …)
  • Industrielle Automatisierungs- und Steuerungssysteme (IACS), die nicht von Klasse II abgedeckt werden, wie z. B. speicherprogrammierbare Steuerungen (PLC), verteilte Steuerungssysteme (DCS), computernumerische Steuerungen für
  • Werkzeugmaschinen (CNC) und übergeordnete Steuerungs- und Datenerfassungssysteme (SCADA)
  • Industrielles Internet der Dinge, die nicht von Klasse II erfasst werden​

Kategorie II

  • Industrielle Automatisierungs- und Steuerungssysteme (InVeKoS), die für die Verwendung durch wesentliche Einrichtungen der in [NIS 2] genannten Art bestimmt sind
  • Geräte für das industrielle Internet der Dinge, die für die Verwendung durch wesentliche Einrichtungen der in [NIS 2] genannten Art bestimmt sind
  • Sensor- und Aktorkomponenten für Roboter und Robotersteuerungen
    Intelligente Zähler

Konformitätsprüfung

  • Der Hersteller führt eine Konformitätsbewertung des Produkts mit den digitalen Elementen und den vom Hersteller eingerichteten Verfahren durch, um festzustellen, ob die in Anhang I aufgeführten grundlegenden Anforderungen erfüllt sind.
  • Der Hersteller oder sein Bevollmächtigter weist die Konformität mit den grundlegenden Anforderungen nach, indem er eines der folgenden Verfahren anwendet.
    • Basisprodukt: Eigenerklärung ausreichend
    • Zertifizierte (vollständige) Übereinstimmung mit harmonisierten Normen, gemeinsamen Spezifikationen oder europäischen Zertifizierungssystemen für Cybersicherheit ODER Bewertung durch eine benannte Stelle
    • Konformitätsbewertung auf der Grundlage einer umfassenden Qualitätssicherung (basierend auf Modul H) gemäß Anhang VI
  • Der Hersteller bringt das CE-Kennzeichen an jedem einzelnen Produkt mit digitalen Elementen an, das die geltenden Anforderungen dieser Verordnung erfüllt.

Sanktionen

  • Die Nichteinhaltung der in Anhang I festgelegten grundlegenden Cybersicherheitsanforderungen und der in den Artikeln 10 und 11 genannten Verpflichtungen wird mit Geldbußen von bis zu 15 000 000 EUR oder, wenn es sich bei dem Zuwiderhandelnden um ein Unternehmen handelt, von bis zu 2,5 % seines gesamten weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr geahndet, je nachdem, welcher Betrag höher ist.
  • Die Nichteinhaltung sonstiger Verpflichtungen im Rahmen dieser Verordnung wird mit Geldbußen von bis zu 10 000 000 EUR oder, wenn es sich bei dem Zuwiderhandelnden um ein Unternehmen handelt, bis zu 2 % seines gesamten weltweiten Jahresumsatzes im vorausgegangenen Geschäftsjahr belegt, je nachdem, welcher Betrag höher ist.
  • Gegen notifizierte Stellen und Marktüberwachungsbehörden, die auf eine Aufforderung hin unrichtige, unvollständige oder irreführende Angaben machen, können Geldbußen in Höhe von bis zu 5 000 000 EUR oder, wenn es sich bei dem Zuwiderhandelnden um ein Unternehmen handelt, in Höhe von bis zu 1 % seines im vorausgegangenen Geschäftsjahr erzielten weltweiten Gesamtjahresumsatzes verhängt werden, je nachdem, welcher Betrag höher ist.​

Sollten Sie Fragen zum EU Cyber Resilience Act haben, können Sie sich gerne an uns wenden.

Contact us

You May Also Like

Insights

Eine neue Wendung bei der KNXlock Angriffskampagne

Iris Wiesinger
Iris Wiesinger30. Januar 2024
Insights

KNXlock – eine Angriffskampagne gegen KNX-basierte Gebäudeautomationssysteme

Hannah Lenczuk
Hannah Lenczuk25. August 2023
Insights

OT Security Know-How als Erfolgsfaktor für Industrie und KRITIS-Unternehmen

Hannah Lenczuk
Hannah Lenczuk20. Januar 2023