Cyberresilienz-Verordnung

Bereits im ersten Erwägungsgrund stellt die Verordnung fest:

Die Verordnung sollte ursprünglich zwei Hauptprobleme angehen, die hohe Kosten für Nutzer und die Gesellschaft verursachen und zu erheblichen, teils lebensbedrohlichen Risiken, führen:

1. Weit verbreitete Schwachstellen in Produkten mit digitalen Elementen und die unzureichende sowie inkonsistente Bereitstellung von Sicherheitsupdates seitens der Hersteller.
2. Mangelhaftes Wissen bei nutzenden Personen und unzureichende Informationen für nutzende Stellen, um Produkte mit angemessenen Sicherheitsmerkmalen auszuwählen oder sie sicher zu nutzen.

Um die genannten Probleme zu lösen, verlagert der Cyber Resilience Act den Fokus von der reinen Betriebssicherheit (wie bei der NIS-2-Richtlinie) auf die inhärente Sicherheit des Produktes selbst. Damit etabliert der CRA eine durchgehende Verantwortung des Herstellers von der Entwicklung („Security by Design“) bis zum Ende des Supports („End-of-Life (EOL)“).

Das bestehende EU-Recht enthält bereits Cybersicherheitsvorschriften für bestimmte Produktkategorien wie Medizinprodukte, In-vitro-Diagnostika, Kraftfahrzeuge und Luftfahrtprodukte, die auch sicherheitsrelevante Aspekte abdecken. Diese konzentrieren sich jedoch auf meist bestimmte Aspekte wie die Sicherheit von Netz- und Informationssystemen oder die Zertifizierung. Für diese bereits regulierten Produkte gilt auch die Verordnung nicht.

Beide Probleme, die nach Ansicht der EU-Institutionen durch den fehlenden umfassenden Rechtsrahmen für alle „anderen“ Produkte entstehen, sollen durch die Einführung von verbindlichen horizontalen Cybersicherheitsanforderungen und durch die Verbesserung der Transparenz und des Informationszugangs für nutzende Personen und Stellen angegangen werden. Obwohl der CRA technischen Anforderungen stellt, ist er im Kern ein Governanace-Instrument, das Produktsicherheit zu einer nicht delgierbaren Aufgabe der Unternehmensleitung macht.

Die Regulierung soll technologieneutral erfolgen.

Die Verordnung gilt für Produkte mit digitalen Elementen. Laut Legaldefinition ist dies z. B. eine Software oder ein Hardware-Produkt und die dazugehörige Lösung zur entfernt stattfindenden Datenverarbeitung, deren bestimmungsgemäße bzw. vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte Datenverbindung zu einem Gerät oder Netz umfasst.

Dazu gehören unter anderem:

• Software und Hardware mit Netzwerkfähigkeit, wie Betriebssysteme, Browser, Router, oder smarte Geräte (IoT).
• Cloud-basierte Lösungen, sofern diese als „Fernverarbeitungslösungen“ gelten. Eine solche Lösung fällt nur dann unter die Verordnung, wenn sie vom Hersteller des Produkte (oder unter seiner Verantwortung) konzipiert und entwickelt wurde und für eine Funktion eines Produkts zwingend erforderlich ist.^[4]
• Freie und Open-Source-Software, wenn sie in kommerziellen Produkten eingesetzt wird.

Ausnahmen gelten unter anderem für:

• Medizinprodukte,
• Fahrzeuge,
• Produkte der zivilen Luftfahrt,
• Produkte, die ausschließlich für Zwecke der nationalen Sicherheit oder Verteidigung entwickelt wurden.

Die Verordnung legt Pflichten für verschiedene Wirtschaftsakteure fest, wobei der Hersteller die Hauptverantwortung trägt, während Importeure und Händler nachgelagerte Prüf- und Sortfaltspflichten haben. Kern der Regulierung sind „Produkte mit digitalen Elementen“, welche nicht in bestehende Regulierungsrahmen fallen.^[6] Dies sind Software oder Hardware und die zu dieser Software oder Hardware zugehörige Lösung zur entfernt stattfindenden Datenverarbeitung, ohne die das Produkt nicht funktionieren würde.^[7]

Verschiedene Arten von Produkten werden verschiedenen Kategorien von Regulierungen unterworfen^[8]:

Mit der Durchführungsverordnung (EU) 2025/2392 hat die Europäische Kommission die technischen Beschreibungen der in Anhang III und IV aufgeführten wichtigen und kritischen Produkte konkretisiert. Maßgeblich für die Einordnung ist die Kernfunktionalität des Produkts, nicht in ihm enthaltene Komponenten – ein Smartphone mit integriertem Passwort-Manager gilt daher nicht als Passwort-Manager im Sinne der Verordnung.^[9]

Alle Produkte mit digitalen Elementen müssen eine umfassende Liste von Cybersicherheitsanforderungen erfüllen. Diese gelten für den gesamten Lebenszyklus und basieren auf einer Risikobewertung des Herstellers. Dazu gehören unter anderem Anforderungen, dass Produkte:

• ohne bekannte ausnutzbare Sicherheitslücken auf den Markt gebracht werden,
• mit sicheren Standardkonfigurationen („Security by Default“) ausgeliefert werden und die Möglichkeit bieten, in diesen Zustand zurückgesetzt zu werden,
• Sicherheitslücken durch Updates, idealerweise automatisch und für den Nutzer transparent, beheben können,
• durch Authentifizierungssysteme und andere Kontrollmechanismen vor unberechtigtem Zugriff geschützt sind und unberechtigten Zugriff melden,
• die Vertraulichkeit, Integrität und Verfügbarkeit von Daten gewährleisten, einschließlich personenbezogener Daten, durch Maßnahmen wie Verschlüsselung und angemessene Datenminimierung,
• die negativen Auswirkungen auf andere Geräte oder Netzwerke minimieren,
• eine möglichst geringe Angriffsfläche bieten und die Auswirkungen von Sicherheitsvorfällen reduzieren,
• sicherheitsrelevante Informationen aufzeichnen und/oder überwachen,
• es den Nutzern ermöglichen, alle Daten und Einstellungen sicher und unwiderruflich zu löschen.

Darüber hinaus müssen Hersteller von Produkten mit digitalen Elementen während des gesamten Supportzeitraums sicherstellen, dass:

• Schwachstellen und Komponenten der Produkte identifiziert und dokumentiert werden, gegebenenfalls durch eine Software-Stückliste (SBOM).
• Schwachstellen unverzüglich behoben werden, idealerweise durch Sicherheitsupdates, die getrennt von Funktionsupdates bereitgestellt werden sollten.
• Die Sicherheit der Produkte regelmäßig getestet und überprüft wird.
• Informationen über behobene Schwachstellen veröffentlicht werden, es sei denn, dies würde die Sicherheit gefährden.
• Ein Konzept für die koordinierte Offenlegung von Schwachstellen (Coordinated Vulnerability Disclosure, CVD) erstellt und umgesetzt wird.
• Der Austausch von Informationen über mögliche Schwachstellen erleichtert wird.
• Mechanismen für die sichere Verbreitung von Updates bereitgestellt werden.
• Sicherheitsupdates unverzüglich und kostenlos bereitgestellt werden, sofern nicht anders vereinbart.

Die Verordnung regelt die Konformität von Produkten mit digitalen Elementen je nach Kritikalität und Risikopotenzial. Hersteller müssen entsprechende Konformitätsbewertungsverfahren umsetzen, um eine CE-Kennzeichnung anbringen zu dürfen:

• Interne Kontrolle (Modul A): Selbsterklärung durch den Hersteller für Standardprodukte (in der Verordnung als „unkritisch“ bezeichnet).
• EU-Baumusterprüfung (Modul B+C): Benannte Stellen prüfen das Produktdesign, Fertigungskontrolle verbleibt beim Hersteller, für wichtige Produkte der Klasse I, sofern keine harmonisierten Normen zur Anwendung kommen, die eine Selbsterklärung nach Modul A erlauben.
• Umfassende Qualitätssicherung (Modul H): Bewertung von Design und Prozessen durch benannte Stellen, für Produkte der Klasse II und kritische Produkte. Dieses Verfahren ist auch als Alternative für Produkte der Klasse I möglich.
• Cybersecurity-Zertifizierung: Kann für kritische Produkte vorgeschrieben werden und zur Konformtätsvermutung führen. Das Mindestniveau ist dabei „erheblich“ nach Rechtsakt zur Cybersicherheit.

• Cyber Resilience Act. Cybersicherheit EU-weit gedacht. Bundesamt für Sicherheit in der Informationstechnik, abgerufen am 17. Februar 2025.