8. November 2023

Der EU Cyber Resilience Act – Zusammenfassung und aktueller Stand (8. Cybics 2023)

Das Gesetz zum EU Cyber Resilience Act ist noch nicht final verabschiedet, wird aber kommen und künftig neue Vorgaben für die Industrie in der EU schaffen. In diesem Artikel geben wir Ihnen einen Überblick über die bisherigen Entwicklungen und den aktuellen Stand. Der EU Cyber Resilience Act wird außerdem das Thema der 8. Cybics am 28. November 2023 sein.

Was bedeutet Cyber Resilience?

Der Begriff „Cyber Resilience“ hat keine feste Definition, lässt sich aber mit Begriffen wie „Widerstandsfähigkeit“ beschreiben. In der heutigen digitalen Welt sind Cyberangriffe eine ständige Bedrohung für Unternehmen, Regierungen und Einzelpersonen. Cyber Resilience bezieht sich auf die Fähigkeit eines Systems oder einer Organisation, Cyberangriffe zu erkennen, darauf zu reagieren und sich davon zu erholen.

Mehr zum generellen Thema „Cyber Resilience“ können Sie in unseren Blogartikeln nachlesen:

Ziele und Zwecke des Cyber Resilience Acts

Der EU Cyber Resilience Act ist ein Gesetz, das im Rahmen der Bemühungen der EU zur Stärkung ihrer Fähigkeit zum Schutz vor Cyberangriffen und zur Verbesserung der Cybersicherheit entwickelt wurde. Das Gesetz zielt darauf ab, einheitliche Standards für Cybersicherheit in der gesamten EU einzuführen und sicherzustellen, dass alle Mitgliedsstaaten sicher mit Cyberbedrohungen umgehen.

Dass der Cyber Resilience Act erforderlich ist, wird mit den weltweit zunehmenden enormen Sicherheitsrisiken im IT-Bereich begründet. Laut Europäischer Union wird alle 11 Sekunden ein Ransomware-Angriff registriert. Im Jahr 2021 wurden weltweit durch diese Angriffe geschätzte Kosten von 20 Milliarden Euro verursacht. Die weltweiten jährlichen Kosten zur Bekämpfung von Cyberkriminalität wurden 2021 insgesamt auf 5,5 Billionen Euro geschätzt.

Insgesamt soll der EU Cyber Resilience Act dazu beitragen, das Vertrauen in die digitale Infrastruktur der Europäischen Union zu stärken und damit auch die Wettbewerbsfähigkeit der europäischen Unternehmen auf globaler Ebene zu erhöhen.

Inhaltlicher Schwerpunkt des Cyber Resilience Acts

Beim EU Cyber Resilience Act geht es im Kern darum, die Cybersicherheit von Produkten mit digitalen Komponenten, die miteinander oder mit dem Internet verbunden werden können, zu verbessern und verbindliche Cybersicherheits-Anforderungen zu definieren. Ziel ist der verbesserte Schutz von Unternehmen und Verbrauchern, die entsprechende Hardware oder Software kaufen bzw. nutzen.

Der CRA soll dabei die bereits bestehenden rechtlichen Vorschriften wie zum Beispiel die NIS-Richtlinie ergänzen. 

Hintergrund: Die bisherigen Entwicklungen

Am 15. September 2022 hat die Europäische Kommission den Entwurf für den Cyber Resilience Act (CRA) vorgelegt. Nach der Prüfung durch den Ministerrat wurde am 13. Juli 2023 eine Einigung erreicht. Als nächstes wird nun der Entwurf im Europäischen Parlament verhandelt, um eine finale Version zu verabschieden. Nach der Verabschiedung und Veröffentlichung im Amtsblatt der Europäischen Union wird der Cyber Resilience Act dann mit Übergangsfristen von 12 bzw. 24 Monaten in Kraft treten.

Die zentralen neuen gesetzlichen Pflichten des CRA

Die drei wichtigsten neuen Pflichten für Hersteller im CRA-Entwurf sind die folgenden:

1) Security by Design wird Pflicht

Der Gesetzesentwurf sieht vor, dass bei den betroffenen Produkten in den Phasen Design, Entwicklung und Produktion sowie Einführung und Nutzung angemessene Cybersecurity-Maßnahmen umgesetzt werden müssen. Hersteller müssen Sicherheitslücken über den gesamten Produktlebenszyklus schließen – laut CRA-Entwurf für bis zu fünf Jahre. Beim Auftreten von Schwachstellen müssen kostenfreie Updates zur Verfügung gestellt werden.

2) Doppelte Meldepflicht

Nutzer müssen über behobene Schwachstellen und über Cybersicherheitsvorfälle informiert werden. Hersteller müssen Cybersicherheitsvorfälle sowie jede aktiv ausgenutzte Schwachstelle innerhalb von 24 Stunden der Europäischen Agentur für Cybersicherheit (ENISA) melden.

3) Erweiterte Verpflichtungen für Hersteller „kritischer Produkte“

Im CRA-Entwurf werden drei Kritikalitäts-Grade definiert:

  1. nicht kritisch (z.B. PC-Spiele, Festplatten)
  2. kritisch Klasse 1 (z.B. Internetbrowser, Antiviren-Programme, Passwortmanager, VPN) und kritisch Klasse 2 (z.B. Kartenlesegeräte, Desktops, mobile Endgeräte, IoT-Geräte)
  3. hochkritisch (unter diese Kategorie fallen aktuell noch keine Produkte)

Für Hersteller und Vertreiber von „kritischen Produkten“ gibt es höhere Anforderungen, die im Rahmen einer Konformitätsbewertung mit dem „CE-Kennzeichen“ nachgewiesen werden. 

Verpflichtungen für Unternehmen und Organisationen

Der neue Cyber Resilience Act betrifft alle Unternehmen, die Produkte mit digitalen Komponenten herstellen. Damit sind nicht nur die Hersteller im klassischen Sinne gemeint, sondern auch Importeure von sogenannten „White-Label-Waren“. Ausgenommen vom CRA sind Hersteller von Medizinprodukten und Fahrzeugsicherheitssystemen.

Der Cyber Resilience Act hat also weitreichende Folgen und Verpflichtungen für die herstellende Industrie – und die Umsetzungsfristen sind verhältnismäßig kurz. Noch ist offen, wie das finale Gesetz und die konkrete Umsetzung des CRA aussehen werden, doch sicher ist, dass das Gesetz kommen wird und Hersteller vor einige Herausforderungen stellt.

Alles was Sie wissen müssen – Auf der Cybics am 28.11.2023

Die CYBICS-Konferenz bietet eine Plattform für den Austausch von Wissen und Erfahrungen unter Branchenexperten. Am 28. November 2023 treffen sich in Frankfurt wieder Teilnehmende und Referenten, um einen umfassenden Überblick über die Compliance-Vorgaben des neuen EU Cyber Resilience Act zu erhalten. Eines der wichtigsten Themen der Konferenz ist die Produkt-Cybersicherheit von IoT/ICS/OT aus regulatorischer Sicht. Fachvorträge und eine Podiumsdiskussion werden den Teilnehmenden ein besseres Verständnis für die Anforderungen des CRA ermöglichen und mögliche Lösungen aufzeigen.

Melden Sie sich jetzt an und bereiten Sie sich auf den kommenden Cyber Resilience Act vor! Alle Informationen und Tickets erhalten Sie auf der Konferenz-Webseite cybics.de.

geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security

Immer auf dem Laufenden:
News direkt in Ihr Postfach.

Unser Angebot in einer Broschüre

Laden Sie sich jetzt kostenlos unsere umfassende Weiterbildungsbroschüre herunter:

Zur Bestätigung Ihrer E-Mail-Adresse senden wir Ihnen zunächst einen Bestätigungslink. Anschließend erhalten Sie umgehend die Broschüre. Mit der Bestätigung melden Sie sich zu unserem E-Mail-Verteiler an & erhalten unsere Weiterbildungs-News direkt in Ihr Postfach. Dieser Nutzung kann jederzeit widersprochen werden.