(Kurt Reichinger)
Das Christkind war heuer deutlich früher dran als in den Jahren zuvor. Schon am 20. November 2024 lag der EU Cyber Resilience Act (CRA) unter den Christbäumen der Mitgliedsstaaten. Wenige Tage später, am 10. Dezember 2024, trat der CRA formal in Kraft und ist damit zum Erscheinungsdatum dieses TK-Newsletters der RTR bereits EU-weit gültig. Die im EU-Amtsblatt kundgemachte Cyberresilienz-Verordnung verspricht unionsweite Regelungen betreffend horizontaler Cybersicherheitsanforderungen für Produkte mit digitalen Elementen. Erklärtes Ziel der neuen Verordnung ist es, derartige Produkte sicherer gegenüber Bedrohungen aus dem Cyberraum zu machen und das Schutzniveau für Verbraucher und gewerbliche Nutzer zu erhöhen.
Resilienz beschreibt allgemein die Widerstandsfähigkeit einer Organisation, eines Systems oder eines Produkts gegen unterschiedliche Einflüsse. Zum Teil wird der Begriff auch mit Ausfallssicherheit oder der Fähigkeit, bei einem Teilausfall nicht vollständig zu versagen, in Zusammenhang gesehen. Im Bereich der Cybersicherheit wird der Begriff der Cyberresilienz verwendet. Darunter versteht man die Fähigkeit, sich auf Cyberbedrohungen vorzubereiten, Bedrohungslagen zu erkennen, angemessen darauf zu reagieren und sich mit den Bedrohungen weiterzuentwickeln. Es geht also um ein ganzheitliches Herangehen an Cyberbedrohungen und letztlich um einen umfassenden Ansatz eines Cyberrisiko-Managements. Spätestens mit dem Angriff Russlands auf die Ukraine und den damit einhergehenden Bedrohungen für den Rest Europas wird Cyberresilienz auch hierzulande mit deutlich mehr Engagement diskutiert, als dies zuvor der Fall war. Gerade im Bereich der Kommunikationsnetze und -dienste ist ein stark gewachsenes Problembewusstsein und die Bereitschaft zu entsprechend weitergehenden Maßnahmen zu konstatieren
Produkte, mit digitalen Elementen, wie sie nun im Fokus des Cyber Resilience Act stehen, sind längst zu unverzichtbaren Begleitern unseres täglichen Lebens geworden. Egal ob im beruflichen oder privaten Umfeld, es gibt kaum einen Bereich, der ohne digitale vernetzte Systeme und zugehörige Gerätschaften auskommt. Und lange schien es, als sei der Ruf nach "Security by Design", also nach einer adäquaten Berücksichtigung von Sicherheitsaspekten bereits bei der Entwicklung von Hard- und Software, nicht viel mehr als der sprichwörtliche "Wunsch ans Christkind".
Der Cyber Resilience Act sieht eine abgestufte Anwendbarkeit vor, sodass die Hersteller schwerwiegende Vorfälle und aktiv ausgenutzte Schwachstellen bereits ab 11. September 2026 zu melden haben, während Produkte mit digitalen Elementen die Anforderungen vollumfänglich erst ab 11. Dezember 2027 erfüllen und ein CE-Kennzeichen aufweisen müssen
Die Verordnung gilt im Wesentlichen für alle Produkte mit digitalen Elementen, die direkt oder indirekt mit einem anderen Gerät oder einem Netzwerk verbunden sind, wobei es Ausnahmen für Produkte gibt, die bereits durch bestehende Vorschriften abgedeckt sind. Der CRA führt verbindliche Cybersicherheitsanforderungen für Hersteller und Händler ein und regelt die Planung, das Design, die Entwicklung und auch die Wartung derartiger Produkte. Speziell letztere Anforderung berücksichtigt die Notwendigkeit von Sicherheits-Updates, um den erwünschten Level an Sicherheit auch über die Lebensdauer eines Produktes zu gewährleisten, wobei von einer Nutzungsdauer von mindestens 5 Jahren ausgegangen wird. Die Verpflichtungen sind auch über die verschiedenen Phasen der Wertschöpfungskette einzuhalten und sollten damit auch über die Grenzen der EU hinaus wirksam werden. Einige kritische Produkte, die für die Cybersicherheit als besonders relevant eingestuft werden, müssen zudem einer Bewertung durch eine autorisierte Stelle unterzogen werden, bevor sie auf dem EU-Markt vertrieben werden dürfen.
Schließlich wird mit der CRA Expertengruppe ein Fachgremium zum Cyber Resilience Act eingerichtet, welches die Europäische Kommission in Fragen der Umsetzung des CRA unterstützen und beraten wird.
Der Cyber Resilience Act reiht sich in eine mittlerweile deutlich angewachsene Liste an Cybersicherheitsvorschriften auf EU-Ebene ein. Insbesondere darf der CRA als Baustein der EU Cybersicherheitsstrategie und der Strategie für eine Sicherheitsunion verstanden werden. Es ergänzt andere Rechtsvorschriften in diesem Bereich, insbesondere die NIS-2-Richtlinie. Es besteht also berechtigte Hoffnung, dass der CRA zu den gewünschten positiven Effekten für die Nutzer:innen von Produkten mit digitalen Elementen führt und man bezüglich Cyberresilienz nicht auf das Christkind hoffen muss.
https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=OJ:L_202402847