Cyber Resilience Act: Neue Pflichten, hohe Kosten – Was kommt auf Unternehmen zu?

Der Cyber Resilience Act (CRA), im Oktober 2024 vom EU-Rat verabschiedet, markiert einen bedeutenden Schritt zur Verbesserung der Cybersicherheit und Resilienz digitaler Produkte und Dienstleistungen auf dem europäischen Markt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) begrüßt die Verordnung als entscheidende Maßnahme zur Förderung sicherer digitaler Infrastrukturen.

Der CRA verpflichtet Unternehmen, die vernetzte Produkte und Dienstleistungen – von Saugrobotern über Smart-TVs bis hin zu spezifischen industriellen Bauteilen – entwickeln, verkaufen oder in die EU importieren, strenge Sicherheitsstandards zu erfüllen. Mit dieser Verordnung wird erstmalig ein einheitlicher Rechtsrahmen für den Marktzugang digitaler Produkte in der EU geschaffen, der grundlegende Cybersicherheitsanforderungen festlegt und das Vertrauen der Verbraucher in vernetzte Produkte stärken soll.

Ab November 2027 müssen Produkte mit digitalen Elementen die im CRA enthaltenen grundlegenden Cybersicherheitsanforderungen erfüllen, um in der EU verkauft werden zu dürfen.

Anforderungen und Zeitplan

Nach Inkrafttreten des CRA beginnt eine Übergangsfrist von 24 Monaten, innerhalb derer Unternehmen alle Compliance-Anforderungen erfüllen müssen, um hohe Bußgelder und Sanktionen zu vermeiden​ (BSI Meldung 10.10.24).

  1. Produktklassifizierung und Sicherheitsanforderungen: Produkte werden je nach Risiko für die Cybersicherheit in verschiedene Klassen eingeteilt. Unternehmen müssen ihre Produkte gemäß dieser Klassifizierung bewerten und die entsprechenden Sicherheitsstandards implementieren. Produkte mit hohem Risiko unterliegen erweiterten Anforderungen an Sicherheitsarchitektur und regelmäßigen Sicherheitsupdates, die innerhalb der Frist umgesetzt werden müssen.
  2. Risikomanagement und technische Dokumentation: Unternehmen müssen systematisches Risikomanagement etablieren, das technische Dokumentationen und Sicherheitsnachweise umfasst. Die Sicherheitsarchitektur sowie Schwachstellen- und Incident-Management-Pläne sind bereitzustellen und im Fall eines Sicherheitsvorfalls oder einer Prüfung durch die EU verfügbar zu halten: (DIHK Meldung CRA).
  3. Reporting und Transparenzpflichten: Bei schwerwiegenden Sicherheitsvorfällen sind Unternehmen verpflichtet, diese unverzüglich an das BSI zu melden. Die Berichte umfassen detaillierte Informationen zur Art des Vorfalls, den potenziellen Auswirkungen und den Gegenmaßnahmen. Unternehmen sollten klare Reporting-Prozesse entwickeln und sicherstellen, dass alle relevanten Abteilungen entsprechend geschult sind​ (BSI Meldung 10.10.24).
  4. Produktrückrufe und Sicherheits-Patches: Der CRA fordert, dass Sicherheitslücken unverzüglich geschlossen und gegebenenfalls Produkte zurückgerufen werden müssen, falls die Cybersicherheit nicht mehr gewährleistet werden kann. Dies setzt voraus, dass Unternehmen regelmäßige Updates und Patches bereitstellen und ihre Infrastruktur kontinuierlich aktualisieren. Regelmäßige Produktprüfungen und Tests sollten daher in die Unternehmensprozesse integriert werden.

Ein Praxisbeispiel zur Umsetzung der CRA-Anforderungen

Ein Industrieunternehmen, das Chips als Bestandteil seiner Produkte verbaut, sieht sich nach dem CRA mit erheblichen neuen Pflichten konfrontiert. Das Unternehmen muss sicherstellen können, dass die verbauten Chips sicher konzipiert sind und für eine festgelegte Zeitspanne mit Sicherheitsupdates versorgt werden. Damit wird die Cybersicherheit entlang der Lieferkette gewährleistet und Risiken werden minimiert.

Nach dem CRA muss der Chip-Hersteller nun nachweisen, dass er bei Entwicklung und Produktion die harmonisierten Cybersicherheitsnormen der EU befolgt hat. Dies wird durch eine sogenannte „Software-Stückliste“ dokumentiert, die detaillierte Informationen über sämtliche im Chip enthaltenen Softwarekomponenten und deren Sicherheitsstandards enthält. Der Hersteller ist ebenfalls verpflichtet, bekannte Schwachstellen zu dokumentieren und bei der Herstellung ein Konformitätsbewertungsverfahren durchzuführen, bevor die CE-Kennzeichnung angebracht werden darf.

Auch das Industrieunternehmen selbst ist in der Verantwortung, die Einhaltung dieser Anforderungen für seinen Teil der Lieferkette sicherzustellen. So müssen beide Unternehmen – der Chip-Hersteller wie auch das Industrieunternehmen – Updates bereitstellen und nach dem Inverkehrbringen ihrer Produkte weiterhin Melde- und Informationspflichten erfüllen, um die Cybersicherheit ihrer Produkte fortlaufend zu gewährleisten.

Kritische Betrachtung und Herausforderungen

Obwohl der CRA als Fortschritt in der Cybersicherheit gilt, äußern einige Wirtschaftsverbände, darunter der Deutsche Industrie- und Handelskammertag (DIHK), Bedenken hinsichtlich der Umsetzbarkeit und der finanziellen Belastung, insbesondere für kleine und mittlere Unternehmen (KMU). Viele KMU verfügen möglicherweise nicht über die notwendigen Ressourcen und das technische Know-how, um die umfangreichen Anforderungen zu erfüllen, was zu einer Wettbewerbsverzerrung führen könnte. Kritiker befürchten zudem, dass die starke Regulierung die Innovationskraft hemmen könnte, wenn Unternehmen primär damit beschäftigt sind, Compliance-Anforderungen zu erfüllen, anstatt neue Produkte zu entwickeln.

Ein weiterer kritischer Punkt ist die unklare Abgrenzung der Verantwortlichkeiten zwischen Herstellern und Importeuren, insbesondere in internationalen Lieferketten. Der CRA verlangt von Importeuren sicherzustellen, dass importierte Produkte den EU-Sicherheitsstandards entsprechen – eine Anforderung, die in der Praxis schwierig umzusetzen ist und zu Verzögerungen bei der Markteinführung führen könnte​.

Handlungsempfehlungen für Unternehmen

  1. Implementierung eines Cybersicherheits-Managementsystems: Unternehmen sollten ein internes System zur Cybersicherheit aufbauen, das die Klassifikation von Produkten und eine robuste Sicherheitsarchitektur umfasst, die regelmäßig aktualisiert wird. KMU können in Erwägung ziehen, externe Berater hinzuzuziehen, um den Compliance-Prozess effizienter zu gestalten und die Kosten besser zu kontrollieren.
  2. Zusammenarbeit mit Cybersicherheitsbehörden und Zertifizierungsstellen: Um den CRA-Anforderungen gerecht zu werden, empfiehlt es sich, frühzeitig den Kontakt zu nationalen Cybersicherheitsbehörden wie dem BSI und zu anerkannten Zertifizierungsstellen aufzunehmen. Dies kann die Einhaltung der Meldepflichten erleichtern und Unternehmen bei der Etablierung eines klaren Auditprozesses unterstützen.
  3. Schulungen und interne Prozesse: Da der CRA umfangreiche Reporting- und Meldepflichten vorschreibt, sollten Unternehmen sicherstellen, dass relevante Abteilungen in diesen Prozessen geschult sind. Schulungen und regelmäßige Audits zur Überprüfung der Sicherheitsstandards sollten fester Bestandteil der Unternehmensprozesse sein, um bei einer EU-Prüfung vorbereitet zu sein.
  4. Evaluierung der Lieferkette und Zusammenarbeit mit Partnern: Unternehmen, die Produkte aus Drittstaaten importieren, sollten ihre Lieferketten und Partnerschaften auf die Einhaltung der CRA-Anforderungen überprüfen. Eine enge Zusammenarbeit und klare Verträge mit Lieferanten können sicherstellen, dass alle Anforderungen erfüllt werden, um rechtliche Risiken zu minimieren.

Fazit

Der Cyber Resilience Act stellt Unternehmen vor erhebliche Herausforderungen, bietet jedoch auch die Chance, die Cybersicherheit zu erhöhen und das Vertrauen in digitale Produkte zu stärken. Ein proaktiver Ansatz bei der Umsetzung der neuen Anforderungen und die Anpassung interner Prozesse sind entscheidend, um nicht nur die Einhaltung der CRA-Vorgaben sicherzustellen, sondern auch die Wettbewerbsfähigkeit auf dem europäischen Markt zu gewährleisten. Die Einführung des CRA bringt für Unternehmen ein erhöhtes Maß an Verantwortung mit sich, das, wenn es erfolgreich umgesetzt wird, zur Entwicklung robusterer und sichererer digitaler Produkte beitragen kann. Unternehmen, insbesondere KMU, sollten jetzt in Beratung und Weiterbildung investieren, um strukturelle Voraussetzungen zu schaffen, die eine rechtzeitige und dauerhafte Compliance ermöglichen.

Quellen:

Cyber Resilience Act (CRA) (dihk.de)

BSI - Technische Richtlinie BSI TR-03183 (bund.de)

BSI - Bundesamt für Sicherheit in der Informationstechnik - CRA verabschiedet – BSI sieht Cybersicherheit signifikant gestärkt


Information:
Julia Holleber, M.A.
Tel. 0931 4194-317
E-Mail: julia.holleber@wuerzburg.ihk.de