Europäisches Parlament verabschiedet Cyber Resilience Act – Neue Verordnung zur Cybersicherheit in den Startlöchern!

Europäisches Parlament verabschiedet Cyber Resilience Act (CRA) – Neue Verordnung zur Cybersicherheit steht in den Startlöchern

Während alle noch mit NIS-2 beschäftigt sind, steht bereits der nächste europäische Rechtsakt zur Cybersicherheit in den Startlöchern: Das Europäische Parlament hat diese Woche den Cyber Resilience Act (CRA) verabschiedet, eine künftige Verordnung, die horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt. Nun muss das Gesetz noch vom Rat genehmigt werden, um wirksam zu werden.

Der Cyber Resilience Act (CRA) wird zukünftig die Anforderungen an die Cybersicherheit von Produkten mit digitalen Elementen regeln und ergänzt somit die Regelungen von NIS-2, die hauptsächlich auf die betriebsbezogene Cybersicherheit abzielen. Obwohl die politische Einigung zum Cyber Resilience Act (CRA) bereits im Dezember 2023 erzielt worden war, gab es zu Beginn des Jahres 2024 immer noch Unsicherheit darüber, ob der neueste EU-Rechtsakt zur Cybersicherheit rechtzeitig vor den Europawahlen im Juni verabschiedet werden würde.

Durch die Annahme des CRA zeigt die Europäische Union deutlich, dass die Cybersicherheit von Produkten zukünftig eine zentrale Anforderung sein wird, um wirtschaftlich im EU-Binnenmarkt tätig zu sein. Da es sich beim CRA um eine Verordnung handelt, gilt er direkt in allen europäischen Mitgliedstaaten, im Gegensatz zu NIS-2, für den keine nationale Umsetzung erforderlich ist.

Es ist derzeit noch unklar, welche deutsche Behörde die Aufsicht über die Vorschriften des Cyber Resilience Act (CRA) übernehmen wird. Es wird sowohl über das Bundesamt für Sicherheit in der Informationstechnik (BSI) als auch über eine mögliche Zuständigkeit der Bundesnetzagentur (BNetzA) diskutiert.

Der Anwendungsbereich des CRA umfasst alle Produkte mit digitalen Elementen, deren beabsichtigte oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netzwerk beinhaltet. Dies betrifft sowohl Software- und Hardwareprodukte als auch damit verbundene Cloudlösungen sowie separat vertriebene Software- und Hardwarekomponenten.

Da der Cyber Resilience Act (CRA) einen umfassenden Anwendungsbereich hat und grundsätzlich nicht zwischen B2B- und B2C-Anwendungen unterscheidet, ist es bereits jetzt absehbar, dass der CRA eine große Anzahl von Produkten mit digitalen Elementen erfassen wird, und das in verschiedenen Branchen.

Durch die Einführung des CRA wird erstmals der Grundsatz der Security by Design in das Technikrecht der Europäischen Union integriert. Zukünftig reicht es nicht mehr aus, die Konformität des Produkts mit digitalen Elementen zum Zeitpunkt des Markteintritts sicherzustellen. Es muss eine kontinuierliche Risikobewertung durchgeführt werden. Darüber hinaus werden Verbindungen zu anderen EU-Rechtsakten wie dem zukünftigen AI Act hergestellt, insbesondere in Bezug auf KI-Systeme mit hohem Risikopotenzial.

Der Cyber Resilience Act (CRA) konkretisiert in mehreren Anhängen die regulatorischen Vorgaben. Dazu gehören unter anderem die umzusetzenden Cybersicherheitsanforderungen, die Bereitstellung von Informationen und Instruktionen für die Nutzer, Vorgaben für verschiedene Kritikalitätsklassen von Produkten mit digitalen Elementen, die EU-Konformitätserklärung und Bewertungsverfahren sowie die Anforderungen an die Produktdokumentation.

Es besteht die Möglichkeit, dass der Cyber Resilience Act (CRA) weitere spezifische Regelungen durch delegierte Rechtsakte und technische Beschreibungen der EU-Kommission erhält, wobei auch die betroffenen Interessengruppen eingebunden werden sollen.

Aufgrund erheblicher Kritik seitens der Open-Source-Community während des Gesetzgebungsverfahrens wurden umfangreiche Verbesserungen vorgenommen, einschließlich zahlreicher Ausnahmen, um das Open-Source-Ökosystem nicht zu beeinträchtigen. Es wäre jedoch ratsam, insbesondere für Entwickler, die Regelungen zu den neuen Open-Source Software Stewards und zum Schwachstellenmanagement für Open-Source-Komponenten genauer zu betrachten.

Die Verpflichtungen des Cyber Resilience Act (CRA) betreffen zunächst Hersteller, Importeure und Händler von Produkten und adressieren somit die (digitale) Lieferkette als wichtigen Schutzmechanismus für den EU-Binnenmarkt. Einerseits umfassen die Anforderungen die Bewertung von Risiken im Zusammenhang mit dem Entwurf, der Entwicklung, der Herstellung, der Lieferung und der Wartung von Produkten mit digitalen Elementen. Andererseits beinhalten sie auch Meldepflichten für Cybersicherheitsrisiken sowie Maßnahmen zum Umgang mit Sicherheitslücken und Patches.

Nach dem Cyber Resilience Act (CRA) sind Hersteller und ihre Branchenverbände künftig dazu verpflichtet, die übliche und branchenübliche Lebensdauer ihrer Produkte festzulegen. Gemäß dem CRA beträgt diese in der Regel mindestens fünf Jahre.

Der Rechtsakt enthält Übergangsbestimmungen für bereits auf dem Markt befindliche Produkte. Diese Produkte unterliegen den Anforderungen des Cyber Resilience Acts (CRA) nur dann, wenn sie innerhalb von 36 Monaten nach Inkrafttreten der Verordnung wesentliche Änderungen erfahren haben. In diesem Fall gelten auch die Meldepflichten gemäß dem CRA.

Die Sanktionen für Verstöße orientieren sich an den bereits bekannten Konzernregelungen: Bei Verstößen können Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des gesamten weltweiten Jahresumsatzes des vorherigen Geschäftsjahres verhängt werden.

Schlagwörter: CRA + Cyber + NIS-2

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 15. März 2024