Über die Security-Maßnahmen, die im eigenen Netzwerk umgesetzt werden, haben Betreiber die Kontrolle, nicht aber darüber, was Hersteller in ihren Produkten verbauen – und was nicht. Gleichwohl ist Produktsicherheit ein wichtiger Aspekt in einem ganzheitlichen Security-Konzept. Der EU Cyber Resilience Act schließt eine bestehende Lücke in der Gesetzgebung und harmonisiert die Anforderungen an ein wirksames Schwachstellen-Management.
Neu ist: Hersteller von Produkten mit digitalen Elementen müssen künftig ihren Teil zur Sicherheit beitragen und Security by Design nachweislich umsetzen. Das unterstützt Betreiber bei der wirksamen Absicherung ihrer Infrastrukturen und ist ein wichtiger Baustein für sichere Lieferketten.
Was ist der Cyber Resilience Act und ab wann gilt er?
Anders als EU-Richtlinien müssen Verordnungen nach ihrem Inkrafttreten nicht erst in nationales Recht umgesetzt werden. Bei der Umsetzung gibt es daher keine Spielräume, Verordnungen sind in allen Teilen für die Mitgliedsstaaten verbindlich.
Der Cyber Resilience Act (CRA) wurde im März 2024 vom EU-Parlament angenommen und muss nun noch den EU-Rat passieren, bevor er in Kraft tritt. Es ist dann eine Übergangszeit von 24 Monaten vorgesehen, in der sich die Mitgliedsstaaten auf die Umsetzung vorbereiten müssen. Hersteller müssen die Vorgaben 36 Monate nach Inkrafttreten nachweislich einhalten.
Hintergrund und Zielsetzung des CRA
Die Bedrohungslage für IT-Systeme wächst konstant. Cyberangriffe werden immer professioneller ausgeführt und treffen auf eine Infrastruktur, deren Systeme und Komponenten eine Vielzahl von Schwachstellen aufweisen.
Security-Anforderungen in vernetzten Supply Chains
Vorfälle in vernetzten Supply Chains haben länderübergreifende Auswirkungen und können die wirtschaftlichen Aktivitäten im Binnenraum empfindlich stören oder in Teilen ganz lahmlegen. Immer mehr Branchen werden als Kritische Infrastrukturen eingestuft und sind auf Zulieferer angewiesen, deren Produkte ein ausreichend hohes Sicherheitsniveau aufweisen. Oftmals haben Hersteller der Produktsicherheit bislang noch nicht den Stellenwert eingeräumt, der angesichts der bestehenden Cyberrisiken angemessen ist. Die Regulierung sorgt nun für den entsprechenden Handlungsdruck.
Neu: EU-Gesetz für einheitliche Produktsicherheit
Bislang deckt keine bestehende EU-Rechtsvorschrift generell die Cybersicherheit von Hardware- und Softwareprodukten ab. Was es aktuell aber gibt, ist ein „legislativer Flickenteppich“ in den einzelnen EU-Mitgliedsländern. Unzureichenden Security-Maßnahmen in einzelnen Staaten schwächen das Sicherheitsniveau im gesamten Binnenraum, denn Produkte werden in einem Land produziert, aber überall eingesetzt. Über harmonisierte Vorgaben soll die Resilienz des gesamten Binnenmarktes nun gestärkt werden.
Mit dem Cyber Resilience Act werden erstmals EU-weit Aspekte der Produktsicherheit und das Schwachstellenmanagement geregelt. Produkte mit digitalen Elementen dürfen künftig nur noch auf den Markt kommen, wenn Hersteller während des gesamten Produktlebenszyklus einheitliche hohe Cybersicherheitsstandards einhalten.
Kontext KRITIS: Zusammenspiel CRA und NIS2
In der EU-Richtlinie NIS2 werden Unternehmen in Sektoren mit hoher Kritikalität (KRITIS) als wesentliche Einrichtungen eingestuft. Der Cyber Resilience Act referenziert die wesentlichen Einrichtungen nach NIS2 und stellt sicher, dass dort eingesetzte IT-Produkte ausreichend hohen Cybersecurity-Standards entsprechen.
Zielsetzung Cyber Resilience Act
Lieferketten im Binnenraum sollen sicher und verlässlich funktionieren. Alle Mitgliedsstaaten müssen Sorge tragen, dass Hersteller und Händler notwendige Cybersicherheit wirksam umsetzen.
Folgende Ziele sollen durch die Anwendung des CRA erreicht werden:
- Aufbau eines hohen gemeinsamen Sicherheitsniveaus
- gleiche Wettbewerbsbedingungen in allen Ländern
- Schaffung von Rechtssicherheit
Wer und was ist vom CRA betroffen?
Betroffen sind alle Hersteller von Produkten mit digitalen Elementen im Binnenraum sowie Händler und Importeure, die solche Produkte in Verkehr bringen.
Außerdem enthält die Verordnung Verpflichtungen für die Mitgliedsstaaten hinsichtlich Marktüberwachung und Durchsetzung der Vorgaben. Verstöße sind mit bis zu 14. Mio. EUR oder bis zu 2,5% des Jahresumsatzes (je nachdem, was höher ist) des betroffenen Unternehmens zu sanktionieren.
Produkte mit digitalen Elementen
Die Verordnung soll für „Produkte mit digitalen Elementen gelten, deren bestimmungsgemäße und vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt.“
Solche Produkte sind in zwei Kategorien eingeteilt:
Hochkritische Produkte
- sind für die Resilienz der gesamten Lieferkette relevant
- ihr Cybersicherheitsrisiko entspricht den Kriterien des Anhang III des CRA
- werden in wesentlichen Einrichtungen der NIS2 verwendet
- oder sind von solchen Produkten abhängig
Für hochkritische Produkte mit digitalen Elementen ist ein europäisches Cybersicherheitszertifikat vorgesehen. Die Kategorien für hochkritische Produkte mit digitalen Elementen werden noch über einen delegierten Rechtsakt von der EU-Kommission festgelegt.
Kritische Produkte
Kritische Produkte werden in Anhang III in die Klassen I und II unterteilt. Dabei werden die Auswirkungen potenzieller Sicherheitslücken in diesen Produkten zugrunde gelegt.
Für kritische Produkte mit digitalen Elementen muss ein Konformitätsbewertungsverfahren durchgeführt werden und eine CE-Kennzeichnung durch den Hersteller erfolgen.
Klasse I
enthält 23 Produktarten, z.B.
- VPN-Produkte
- Passwortmanager
- Aktualisierungs- und Patch-Verwaltung
- SIEM-Systeme (Security Incident Event Management)
- Physische Netzschnittstellen
- Router
- Mikrocontroller
- speicherprogrammierbare Steuerungen (PLCs)
- Firewalls, Angriffserkennungssysteme, die nicht in Klasse II fallen
- IIoT, das nicht in Klasse II fällt
- und andere
Klasse II (höheres Cybersicherheitsrisiko als Klasse I)
enthält 15 Produktarten, z.B.
- Public-Key-Infrastrukturen (PKI)
- Betriebssysteme für Server, Desktops und Mobilgeräte
- Chipkarten, -Leser und Token
- Firewalls, Angriffserkennungs- und/oder Präventionssysteme für Industrieumgebungen
- Geräte, die in wesentlichen Einrichtungen entsprechend der EU-Richtlinie NIS2 verwendet werden:
- IIoT (Industrial Internet of Things)
- IACS (industrielle Automations- und Steuerungssysteme)
- Steuerungen für CNC und SCADA
- und andere
Ausnahmen im Geltungsbereich des Cyber Resilience Act gibt es für Produkte mit digitalen Elementen, die durch bereits bestehende Verordnungen abgedeckt sind, wie z.B. Medizinprodukte, Produkte, die für die Flugsicherung eingesetzt werden oder bestimmte Produkte im Kontext von Kraftfahrzeugen.
Pflichten für Hersteller
Die Pflichten für Hersteller von Produkten mit digitalen Elementen umfassen drei Bereiche:
1. Cybersicherheitsanforderungen für Produkte
Hersteller dürfen nur solche IT-Produkte auf den Markt bringen, die die im Anhang I gelisteten grundlegenden Cybersicherheitsanforderungen erfüllen. Im gesamten Produktlebenszyklus (Konzeption, Entwicklung, Herstellung, Lieferung, Wartung, Außerbetriebnahme) müssen hohe Standards gewährleistet werden. Dazu zählen:
- Sichere Standardkonfiguration
- Authentifizierung, Identitätsmanagement, Zugangsverwaltung
- Verschlüsselung
- Datenminimierung
- Minimierte Angriffsfläche
- Sicherheitsvorfälle dürfen nur beschränkte Auswirkungen auf das Produkt haben
2. Schwachstellenmanagement
Der Anhang I listet Anforderungen, die an die Behandlung von Schwachstellen gestellt werden:
- Ermittlung von Komponenten und Schwachstellen in Produkten mit digitalen Elementen
- Software-Stücklisten mit Abhängigkeiten in gängigem maschinenlesbarem Format bereitstellen (Software Bill of Materials SBOM)
- Schwachstellen müssen mit Sicherheitsaktualisierungen behebbar sein
- Unverzügliche kostenlose Bereitstellung von Sicherheitsaktualisierungen für 5 Jahre ab dem Inverkehrbringen des Produkts
- Veröffentlichung von Informationen zu verfügbaren Sicherheitsaktualisierungen und relevanter Informationen zu entdeckten Schwachstellen
- Regelmäßige Tests hinsichtlich Produktsicherheit
3. Transparenz und Dokumentation
Der Anhang II gibt vor, welche Informationen Hersteller für die Nutzer ihrer Produkte bereitstellen müssen:
- Grundlegende Informationen zum Hersteller und Informationen zur Identifikation des Produktes
- Kontaktstelle für Informationen zu Cybersicherheitslücken
- Informationen zu Haupteigenschaften und Sicherheitsfunktionen
- Informationen zu Umständen, die zu erheblichen Cybersicherheitsrisiken führen können
- Wo SBOMs und CE-Kennzeichen abrufbar sind
- Informationen zu technischen Sicherheitsunterstützung durch den Hersteller
Hersteller müssen außerdem definierte Meldepflichten einhalten:
- Meldung an ENISA (Agentur der Europäischen Union für Cybersicherheit)
Meldungen für bekannt gewordene Schwachstellen und Vorfälle, die Auswirkungen auf die Sicherheit des Produktes mit digitalen Elementen haben. - Meldung an Nutzer
Vorfall und erforderliche Korrekturmaßnahmen, um die Auswirkungen einzudämmen - Meldung an Verantwortliche für Wartung von Open-Source-Komponenten
Festgestellte Schwachstellen von integrierten Komponenten müssen an Person oder Einrichtung gemeldet werden, die für die Wartung der Komponente zuständig ist.
Pflichten für Importeure und Händler
Händler dürfen nur Produkte vertreiben, die den Cybersicherheitsanforderungen des CRA entsprechen.
Vor dem Inverkehrbringen von Produkten mit digitalen Elementen müssen Einführer und Händler sicherstellen, dass:
- das Konformitätsbewertungsverfahren durch den Hersteller erfolgt ist
- die relevante technische Dokumentation verfügbar ist
- die CE-Kennzeichnung am Produkt mit digitalen Elementen angebracht ist und die Gebrauchsanleitung und relevante Informationen beiliegen
Bedeutung des CRA für Betreiber
Immer mehr Betriebe sind von der Regulierung betroffen und müssen Security-Maßnahmen nachweislich umsetzen. Die EU-Richtlinie NIS2 mach ein Risikomanagement für sehr viele Unternehmen verpflichtend. Betreiber wissen aber in der Regel nicht, welche Hardware- und Softwarekomponenten in den Anlagen verbaut sind und welche Schwachstellen diese aufweisen.
Transparenz und wirksames Schwachstellenmanagement
Auf bekannt gewordene Schwachstellen in Produkten adäquat zu reagieren, ist für Betreiber ein mühsames Geschäft, wenn nicht klar ist, ob man überhaupt betroffen ist. Die Pflicht zur umfassenden Dokumentation, die den Herstellern durch den CRA auferlegt wird, schafft für Betreiber Transparenz.
Wenn Hersteller in einer Software-Stückliste SBOM (Software Bill of Materials) offenlegen müssen, welche Komponenten verbaut sind, dann können Betreiber Systeme besser identifizieren, die von einem Security-Vorfall betroffen sind, und reagieren.
Während der Produktlebensdauer, aber mindestens für fünf Jahre müssen Hersteller Sicherheitsupdates und Security Advisories zur Verfügung stellen, und zwar “unverzüglich und kostenlos”.
Die Verpflichtungen des Cyber Resilience Act bedeuten für Hersteller hohe Aufwände und Kosten. Für die Umsetzung gibt es allerdings Unterstützung, beispielsweise durch die BSI-Richtlinie TR-03183 Cyber-Resilienz-Anforderungen, die die Software Bill of Materials (SBOM) thematisiert.
Security by Design
Der Cyber Resilience Act setzt mit Vorgaben zu sicheren Produktentwicklungsprozessen und Produktsicherheit schon früh im Lebenszyklus an und verlagert Verantwortung explizit an die Hersteller. Security by Design wird zur Pflicht.
Fazit
Die EU-Kommission passt die Regulierung für Cybersecurity an die sich verschärfende Bedrohungslage in vernetzten Supply Chains an. Mit dem Cyber Resilience Act werden erstmals explizit Hersteller in die Pflicht genommen. Sie werden zu umfassenden Maßnahmen verpflichtet, um die Sicherheit von Produkten mit digitalen Elementen zu gewährleisten – und zwar über den gesamten Produktlebenszyklus hinweg.
Künftig dürfen im EU-Binnenraum nur mehr Produkte mit digitalen Elementen auf den Markt kommen, die hohen Cybersicherheitsanforderungen entsprechen. Ein CE-Kennzeichen wird verpflichtend, ebenso wie ein wirksames Schwachstellenmanagement. Betreiber erhalten damit Transparenz über die IT-Produkte, die in ihren Anlagen verbaut werden und können auf Schwachstellen schnell reagieren, um ihre Infrastrukturen zu schützen.
Soweit der Plan.
Es bleibt abzuwarten, wie die Umsetzung vonstatten geht. Ein echter Nutzen ergibt sich für die Betreiber nämlich nur, wenn der CRA mehr als nur ein Compliance-Thema wird. Dann würden sich die enormen Aufwände, die Hersteller dafür zu stemmen haben, auch lohnen.
Checkliste: Angriffserkennung in KRITIS Betrieben
CEO & Founder
Die Anforderung nach „Angriffserkennung für kritische Infrastrukturen“ sorgt für zusätzlichen Stress bei der Vielzahl an notwendigen Schutzmaßnahmen.
Deshalb haben wir eine Checkliste: Angriffserkennung in KRITIS Betrieben erstellt, die Ihnen einen effizienten Überblick gibt und vor allem eine strukturierte Bearbeitung ermöglicht.
