Empfehlungen zur Umsetzung des CRA Athene schafft Klarheit zum Cyber Resilience Act

Um mehr Klarheit in die neue EU-Verordnung Cyber Resilience Act (CRA) zu bringen, hat das Athene-Forschungszentrum mehrere Whitepaper mit rechtlichen und technischen Informationen für Hersteller, Händler und Importeure veröffentlicht.

Am 21. November 2024 wurde der Gesetzestext des Cyber Resilience Act (CRA) im Europäischen Amtsblatt veröffentlicht. Somit tritt die neue europäische Verordnung am 11. Dezember 2024 in Kraft. In vielen Unternehmen herrscht allerdings noch Unklarheit darüber, welche Produkte unter den CRA fallen und welche Pflichten möglicherweise auf sie zukommen. Deshalb hat das nationale Forschungszentrum für angewandte Cybersicherheit Athene mehrere Whitepaper veröffentlicht. Diese enthalten Empfehlungen zur Umsetzung technischer Anforderungen, einen Überblick aus rechtlicher Sicht zum CRA sowie weitere Informationen für Hersteller.

Cybersicherheit für Produkte und Anwendungen

EU verabschiedet Cyber Resilience Act – Was Sie jetzt wissen müssen

Welche Produkte fallen unter den CRA?

Alle Software und Hardware, die Datenverbindungen mit einem anderen Gerät oder einem Netz aufbauen können, fallen unter den CRA. Konkret sind das:

• Mobile Geräte wie Smartphones, Laptops, vernetztes Spielzeug

• Smart-Home-Geräte wie Thermostate, Stromzähler, vernetzte Kameras

• Software, die lokal auf elektronischen Geräten installiert wird, wie Treiber, Office-Programme, Apps

• Vernetzte industrielle Steueranlagen wie fernsteuerbare Maschinen, Roboter, Förderanlagen

• Netzwerk-Geräte wie Router, Switches, Gateways

Cyber Resilience Act

BSI veröffentlicht Leitfaden zum CRA

Welche Sicherheitsstufe hat mein Produkt?

Alle Produkte, die unter den CRA fallen, müssen je nach Sicherheitsstufe gewisse Sicherheitskriterien erfüllen. Die vier Stufen lauten:

• 1. Basiskategorie: Produkte mit digitalen Elementen, zum Beispiel Smartwatches, intelligente Stromzählen, Drucker Bildbearbeitungssoftware; Hersteller, die Produkte der Basiskategorie entwickeln und verkaufen, können den Nachweis der Sicherheitsmaßnahmen selbst erbringen.

• 2. Wichtige Produkte Klasse I: allgemeine Netzwerk- und Systemverwaltungssoftware und grundlegende Hardwarekomponenten

• 3. Wichtige Produkte Klasse II: zum Beispiel Betriebssysteme für Server, Desktops und mobile Geräte, Mikroprozessoren, Sicherheitshardware und spezialisierte industrielle Systeme und Geräte

• 4. Kritische Produkte: zum Beispiel Produkte wie Sicherheitsboxen oder Smartcards, also Produkte, die im Kern Vertrauensanker für andere Produkte sind

Die Lage der IT-Sicherheit 2024

BSI sieht Bedrohungslage als „besorgniserregend“

Nicht nur Hersteller betroffen

Produzierende Unternehmen müssen mit dem CRA folgende Vorgaben umsetzen:

• Risikobewertung des Produkts über den gesamten Lebenszyklus hinweg durchführen und dokumentieren

• Behandlung von Schwachstellen in den Produkten CRA-konform durchführen

• Sicherstellung, dass auch Komponenten, die von anderen Herstellern bezogen wurden, die Cybersicherheit des eigenen Produkts nicht beeinträchtigen

• Anforderungen zur Cybersicherheit der Produkte umsetzen wie sichere Standardkonfigurationen, Schutz vor unberechtigtem Zugriff, Authentifizierungssysteme, Verschlüsselung und Datensparsamkeit

• CE-Kennzeichnungen und Seriennummern anbringen

• weitere Dokumentations-, Informations-, Melde- und Aufbewahrungspflichten erfüllen

Aber auch Händler und Importeure haben Pflichten, die sie im Rahmen des CRA erfüllen müssen. An ihnen liegt es zu prüfen, ob Produkte, die sie auf den EU-Markt bringen wollen, die Anforderungen des CRA erfüllen. Hier haben allerdings die Importeure umfangreichere Pflichten. Sie kontrollieren beispielsweise, ob:

• Produkte eine CE-Kennzeichnung haben,

• die Seriennummern und der Kontakt des Herstellers angebracht sind,

• alle Informationen des Herstellers korrekt sind und

• das Ende des Support-Zeitraums leicht ersichtlich ist.

Zudem haben sie ebenfalls weitere Informations- und Nachmarktpflichten.

(ID:50246229)