Der Cyber Resilience Act ist beschlossene Sache! Das Gesetz stellt neue Sicherheitsanforderungen für digitale Produkte aus und soll Unternehmen und Privatnutzer vor „unsicheren“ IT-Produkten schützen.
Wir erklären, welche Unternehmen betroffen sind und welche Vorteile speziell kleine und mittelständische Unternehmen durch diese Regelungen haben.
KMU: zunehmend abhängig von digitalen Produkten
Unternehmen sind in steigendem Maß von digitalen Produkten und Dienstleistungen abhängig. Um wettbewerbsfähig zu bleiben, müssen Geschäftsprozesse stetig optimiert werden, was meist mit einer Digitalisierung einhergeht. Ein Beispiel: Ein Handwerksbetrieb, der früher vornehmlich mit Papier und Stift arbeitete, verwendet heute eine Software, um Aufträge zu verwalten und mit Kunden zu kommunizieren. An anderen Stellen werden Daten verstärkt durch Cloud-Dienste verarbeitet und Produktionen per IoT-Geräte überwacht.
Unternehmen haben allerdings nur begrenzten Einfluss auf die Sicherheit der IT-Produkte, die sie nutzen. Sicherheitslücken in Software oder vernetzten Geräten bleiben oft unbemerkt – bis Hacker sie bereits aktiv ausnutzen. Dabei kann eine einzige Schwachstelle in einer genutzten IT-Komponente die gesamte Infrastruktur gefährden und gravierende finanzielle Folgen nach sich ziehen. Denn: Ein Cyberangriff oder Datenverlust kann das Vertrauen von Kunden und Geschäftspartnern nachhaltig schädigen.
Gerade für KMU, die oft weniger Ressourcen für IT-Sicherheit bereitstellen können, ist die zunehmende IT-Anhängigkeit daher ein wachsendes Problem. Um diesem Problem zu begegnen, hat die Europäische Union jetzt den Cyber Resilience Act (CRA) beschlossen. Das neue Gesetz soll sowohl Unternehmen als auch Privatnutzer besser vor Schwachstellen und Cyberangriffen schützen!
Die EU hat den Cyber Resilience Act am 10. Oktober beschlossen. Bis November 2027 müssen betroffene Unternehmen die Anforderungen erfüllen. Bild: Unsplash/Alexey Larionov
Was ist der Cyber Resilience Act (CRA)?
Der Cyber Resilience Act (CRA) wurde am 10. Oktober 2024 offiziell verabschiedet. Die EU hatte ihn bereits 2022 vorgeschlagen, um die Cybersicherheit von digitalen Produkten zu verbessern. Doch was bedeutet das konkret? Hersteller von Produkten mit digitalen Komponenten – seien es Software, Smart-Geräte oder IoT-Systeme – müssen künftig sicherstellen, dass ihre Produkte während des gesamten Lebenszyklus sicher bleiben. Dazu gehört, dass regelmäßig Sicherheitsupdates bereitgestellt und Schwachstellen behoben werden.
Ab November 2027 gilt der CRA für alle in der EU vertriebenen Produkte. Das Gesetz fordert von den Herstellern Transparenz in Bezug auf Sicherheitsrisiken und stellt sicher, dass Sicherheitsaspekte bereits bei der Produktentwicklung berücksichtigt werden. Das Stichwort dazu lautet Security by Design. Sprich: Sicherheit soll beim Entwicklungsprozess von Beginn mit bedacht werden. Das grundsätzliche Ziel dessen ist, dass Unternehmen und Verbraucher weniger Risiken durch unsichere Geräte oder Software ausgesetzt sind und sie Vertrauen in die Sicherheit der von ihnen genutzten IT-Produkte haben können.
Wer muss den CRA konkret umsetzen?
Der Cyber Resilience Act richtet sich an Hersteller von Produkten, die sogenannte digitale Elemente enthalten. Solche digitalen Elemente umfassen Hardware- und Software-Komponenten, die Daten verarbeiten, übertragen oder empfangen. Es kann sich dabei beispielsweise um Prozessoren, Sensoren, Netzwerkkarten sowie die darauf installierte Software wie Betriebssysteme, Firmware oder Anwendungen handeln. Betroffen sind mehr oder weniger alle Produkte, die mit dem Internet verbunden oder anderweitig digital gesteuert werden.
Dementsprechend betrifft der Cyber Resilience Act eine Vielzahl von Herstellern, die Produkte mit digitalen Komponenten entwickeln oder in der EU vertreiben. Dazu gehören Hersteller von Hardware wie Computer, Smartphones, und IoT-Geräten. Auch Software-Entwickler sind betroffen, insbesondere Anbieter von sicherheitskritischer Software wie Betriebssysteme, VPNs oder Antivirenprogramme. Netzwerkgeräte-Hersteller wie Router- und Firewall-Anbieter müssen die neuen Sicherheitsanforderungen ebenfalls umsetzen. Schließlich sind auch Cloud-Dienste-Anbieter verpflichtet, ihre Sicherheitsstandards an die Anforderungen des CRA anzupassen.
Das BSI stellt die zeitliche Abfolge zur Einführung des Cyber Resilience Act mit diesem Schaubild dar. Grafik: BSI
Was betroffene Hersteller nun tun müssen
Mit dem Cyber Resilience Act (CRA) stehen Hersteller digitaler Produkte vor klaren Anforderungen – und müssen diese nach einer dreijährigen Übergangszeit im November 2027 umgesetzt haben. Entscheidend sind die folgenden Maßnahmen:
- Regelmäßige Risikoanalysen:
Hersteller müssen potenzielle Bedrohungen kontinuierlich identifizieren und entsprechende Maßnahmen entwickeln. Diese Analysen müssen fest in den Produktentwicklungsprozess integriert werden, um Sicherheitslücken zu minimieren. - Schnelle Reaktion bei Vorfällen:
Sobald eine Sicherheitslücke entdeckt wird, müssen Hersteller diese innerhalb von 24 Stunden an die Agentur der Europäischen Union für Cybersicherheit (ENISA) melden. Innerhalb von 72 Stunden sind detaillierte Informationen zu den Schwachstellen sowie zu möglichen Gegenmaßnahmen erforderlich. Dies erfordert den Aufbau eines Product Security Incident Response Teams (PSIRT), das in der Lage ist, auf Sicherheitsvorfälle schnell zu reagieren. - Langfristige Bereitstellung von Sicherheitsupdates:
Hersteller sind verpflichtet, für die gesamte Lebensdauer ihrer Produkte kostenfreie Sicherheitsupdates bereitzustellen. Dies umfasst sowohl Produkte, die bereits auf dem Markt sind, als auch neue Entwicklungen. Diese Updates müssen regelmäßig erfolgen, um auf neue Bedrohungen reagieren zu können. - Marktüberwachung und Dokumentationspflichten:
Hersteller müssen ihre Produkte nach Markteinführung regelmäßig überwachen und alle Sicherheitsmaßnahmen und Vorfälle dokumentieren, um Transparenz und fortlaufende Sicherheit zu gewährleisten. - Software Bill of Materials (SBOM):
Der CRA verlangt eine detaillierte Liste aller genutzten Softwarekomponenten, um Schwachstellen leichter identifizieren und Transparenz über die Sicherheitsstruktur der Produkte schaffen zu können. Eine solche Stückliste müssen Hersteller bereithalten – auch um die Gefahr durch Supply-Chain-Attacken zu minimieren. - Konformitätsbewertungsverfahren:
Produkte müssen, je nach Risikoklasse, durch Selbstbewertung oder externe Prüfstellen auf Sicherheit getestet werden. Hier müssen die Hersteller ebenfalls proaktiv handeln.
Unternehmen, die diese Maßnahmen frühzeitig umsetzen, sichern sich nicht nur gegen hohe Strafen ab, sondern verbessern auch ihr Ansehen und das Vertrauen der Kunden. Einfach dürfte die Umsetzung allerdings nicht sein: Denn angesichts oft langjähriger Entwicklungszyklen ist eine Übergangszeit von drei Jahren kurz bemessen.
Cyber Resilience Act: Vorteile für Unternehmen
Für Unternehmen, die keine eigenen digitalen Produkte herstellen, bedeutet der Cyber Resilience Act (CRA) vor allem eines: Durch die neuen Sicherheitsanforderungen können sie sich in Zukunft sicher sein, dass die von ihnen genutzten IT-Produkte – von Software bis hin zu vernetzten Geräten – den höchsten Cybersicherheitsstandards entsprechen. Das Risiko erfolgreicher Cyberangriffe reduziert sich, da unsichere Hardware und Software durch regelmäßige Sicherheitsupdates und strenge Anforderungen geschützt werden.
Indem die Hersteller von Produkten mit digitalen Elementen die Sicherheit ihrer Produkte gewährleisten, müssen Unternehmen, die diese Produkte verwenden, weniger Zeit und Ressourcen für die Überwachung der externen IT-Produkte aufwenden. Während die Verantwortung für die Sicherheit bei den Herstellern liegt, können sich Unternehmen stärker auf ihre Kernaufgaben konzentrieren.
Übrigens: Unternehmen können darauf hoffen, dass der CRA positive Auswirkungen auf die gesamte Software-Lieferkette haben wird. Software-Produkte enthalten nämlich häufig auch externe Software-Komponenten von Drittanbietern – und diese können ebenso Schwachstellen aufweisen. Der CRA könnte also sicherstellen, dass alle Akteure in der Lieferkette hohe Cybersicherheitsstandards einhalten.
Unternehmen wollen sich darauf verlassen können, dass die von ihnen genutzten IT-Produkte sicher sind. Bild: Pexels/fauxels
BSI begrüßt den Cyber Resilience Act
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bewertet den Cyber Resilience Act (CRA) übrigens als einen bedeutenden Fortschritt für die IT-Sicherheit in Europa. Laut BSI-Präsidentin Claudia Plattner stärkt der CRA das Vertrauen in die Digitalisierung, indem er Hersteller dazu verpflichtet, die Cybersicherheit ihrer Produkte während der gesamten Lebensdauer zu gewährleisten. Der CRA fordert zudem, dass der Supportzeitraum für Sicherheitsupdates klar an die Lebensdauer des Produkts angepasst wird, was aus Sicht des BSI zu mehr Transparenz und Vertrauen führt.
Durch die klaren Informations- und Transparenzpflichten sowie die Verpflichtung zur Sicherheitskennzeichnung schafft der CRA eine stabile Basis für eine sichere digitale Produktwelt – darin ist sich das BSI sicher. Das Bundesamt für Sicherheit in der Informationstechnik plant, die nationale Umsetzung des CRA zu begleiten und Hersteller durch das IT-Sicherheitskennzeichen bei der Einhaltung der Vorschriften zu unterstützen.
Cybersicherheit dank Experten-Unterstützung!
Aus Verbrauchersicht ist der Cyber Resilience Act also auf jeden Fall zu begrüßen – liest man doch quasi täglich von neuen Sicherheitslücken und Schwachstellen in Geräten und Programmen, die Cyberkriminelle und Hacker schamlos ausnutzen. Natürlich gilt aber auch weiterhin: Die Eigenverantwortung hört niemals komplett auf. Unternehmen sollten sich daher auch in Zukunft nicht einzig und allein darauf verlassen, dass die Hersteller von IT-Produkten die Cybersicherheit schon wuppen werden. Beispielsweise kommen Unternehmen nicht umhin, von den Herstellern bereitgestellte Sicherheitsupdates auch zeitnah durchzuführen.
Hier kommen IT-Dienstleister ins Spiel. Sie unterstützen Unternehmen dabei, ihre IT-Infrastruktur dauerhaft sicher zu halten, indem sie notwendige Updates im Zuge eines effizienten Patch-Management zuverlässig durchführen und natürlich auch weitere Sicherheitsmaßnahmen umsetzen. Die Experten aus dem IT-SERVICE.NETWORK helfen unter anderem dabei, Sicherheitslücken zu schließen und maßgeschneiderte Sicherheitslösungen zu implementieren. So können sich Unternehmen voll und ganz auf ihre Kernprozesse konzentrieren und ihre Cybersicherheit in guten Händen wissen.
Weiterführende Informationen:
it-daily, it-daily, SECURITY INSIDER, BSI, BSI
Zur besseren Lesbarkeit verwenden wir im Text die männliche Form. Gemeint sind jedoch immer alle Geschlechter und Geschlechtsidentitäten.
Geschrieben von
Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich – anfangs in der Position der Online-Redakteurin und inzwischen als Content Marketing Managerin. Die studierte Germanistin/Anglistin und ausgebildete Redakteurin behält das Geschehen auf dem IT-Markt im Blick, verfolgt gespannt neue Trends und Technologien und beobachtet aktuelle Bedrohungen im Bereich des Cybercrime. Die relevantesten… Weiterlesen
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung