Cyber Resilience Act: Was Sie jetzt wissen müssen

Kleine und mittlere BetriebePräventionHandwerksbetriebeStart-Ups
Cyber Resilience Act: Was Sie jetzt wissen müssen

Mit dem Cyber Resilience Act (CRA) setzt die EU neue Maßstäbe für Cybersicherheit und Resilienz digitaler Produkte und Dienstleistungen. Erfahren Sie, welche Unternehmen betroffen sind, welche Anforderungen auf Sie zukommen und wie durch den CRA das Cybersicherheitsniveau in Europa erhöht wird. Dieser Blogartikel fasst die wichtigsten Inhalte und Implikationen des Cyber Resilience Acts zusammen.

Dieser Artikel wird laufend von uns überarbeitet und auf seine Gültigkeit überprüft.

Update Juli 2024

Das Europäische Parlament hat am 24.07.2024 den Cyber Resilience Act verabschiedet, der ab Januar 2025 in allen Mitgliedstaaten der EU in Kraft tritt. Dieser Gesetzesakt zielt darauf ab, die Cybersicherheit digitaler Produkte und Dienstleistungen, die mit dem Internet verbunden sind, in der gesamten EU zu verbessern und somit die Widerstandsfähigkeit gegen Cyberangriffe zu erhöhen.  

Ziel des Cyber Resilience Acts

Der CRA soll sicherstellen, dass digitale Produkte und Dienstleistungen in der EU sicher sind und ihre Nutzer:innen vor Cyberrisiken geschützt werden. Angesichts der zunehmenden Cyberbedrohungen und der wachsenden Abhängigkeit von digitalen Technologien setzt der CRA neue Standards für die Cybersicherheit und verlangt von herstellenden Unternehmen, dass sie die Sicherheit ihrer Produkte und Dienstleistungen über den gesamten Lebenszyklus hinweg gewährleisten, da sie nicht nur an Endkunden vertrieben werden, sondern auch in der Produktion eingesetzt oder als Vorprodukte erworben werden und mit individuellen Veredelungen auch Bestandteil von sensiblen Lieferketten sind.

Welche Unternehmen sind betroffen?

Der Cyber Resilience Act betrifft eine breite Palette von Unternehmen, insbesondere solche, die digitale Produkte und Dienstleistungen herstellen, importieren oder vertreiben – die Größe des Unternehmens ist dabei irrelevant. Betroffen sind unter anderem:

Ein Bild in dem die folgenden Kategorien stehen: Hersteller von Hardware- und Software Produkten, Importeure und Händler von IT-Produkten, Anbieter von digitalen Diensten und Plattformen, Unternehmen die IoT-Geräte entwickeln und vermarkten.

Welche Anforderungen umfasst der Cyber Resilience Act?

Der CRA sieht eine Reihe von Verpflichtungen für betroffene Unternehmen vor, um die Cybersicherheit zu gewährleisten: 

 

  1. Sicherheitsrichtlinien und -prozesse 

Unternehmen müssen umfassende Sicherheitsrichtlinien entwickeln und implementieren. Diese müssen regelmäßige Risikoanalysen, die Umsetzung technischer und organisatorischer Maßnahmen zur Risikominimierung und die kontinuierliche Überprüfung und Aktualisierung der Sicherheitsmaßnahmen umfassen. 

  1. Sicherheitsanforderungen für digitale Produkte 

Hersteller müssen gewährleisten, dass ihre Produkte von Anfang an sicher gestaltet sind. Dies umfasst die Verwendung von sicheren Entwicklungspraktiken, die Implementierung von Sicherheitsfunktionen und die regelmäßige Aktualisierung der Software, um bekannte Sicherheitslücken zu schließen. 

  1. Informationspflichten 

Unternehmen müssen ihre Kund:innen über die Cybersicherheitsmaßnahmen ihrer Produkte informieren und Sicherheitsanleitungen bereitstellen. Im Falle eines Sicherheitsvorfalls sind sie verpflichtet, die betroffenen Nutzer:innen und die zuständigen Behörden unverzüglich zu informieren. 

  1. Meldepflichten 

Im Falle eines Sicherheitsvorfalls müssen Unternehmen diesen innerhalb von 24 Stunden an die zuständigen Behörden melden und eine umfassende Analyse des Vorfalls sowie die ergriffenen Maßnahmen zur Behebung der Sicherheitslücke bereitstellen.

Was sieht der Gesetzentwurf vor?

Der Cyber Resilience Act fordert von Unternehmen, dass sie in den Phasen Design, Entwicklung, Produktion sowie während des Inverkehrbringens und der Nutzung ihrer Produkte angemessene Cybersicherheitsmaßnahmen einhalten. Die Europäische Kommission unterscheidet dabei aktuell drei Kategorien von Produkten: 

Nicht kritische Produkte mit digitalen Elementen (z. B. Festplatten, PC-Spiele)

Kritische Produkte mit digitalen Elementen

  • Klasse I (z. B. Browser, Passwort-Manager)
  • Klasse II (z. B. Firewalls für industrielle Nutzung, Router)

Hochkritische Produkte (aktuell noch nicht definiert)

Laut der EU-Kommission sollen etwa 90 Prozent der Produkte als nicht kritisch eingestuft werden. Hersteller von kritischen Produkten müssen strengere Anforderungen erfüllen und ihre Konformität durch das „CE-Kennzeichen“ nachweisen, wobei nationale Behörden die Umsetzung überwachen.  

Zusätzlich müssen Hersteller Sicherheitslücken innerhalb von fünf Jahren nach dem Inverkehrbringen beheben. Nutzer:innen müssen über behobene Schwachstellen informiert werden, und bei Sicherheitsvorfällen oder ausgenutzten Schwachstellen ist innerhalb von 24 Stunden eine Meldung an die europäische Cybersicherheitsagentur (ENISA) erforderlich. 

Chancen und Herausforderungen für Unternehmen

Die Umsetzung des Cyber Resilience Acts bringt sowohl Herausforderungen als auch Chancen für Unternehmen mit sich, denn einerseits kann die Einhaltung der neuen Sicherheitsanforderungen mit erheblichen Investitionen in Technologie und Schulung verbunden sein. Zudem kann die Komplexität der Umsetzung des CRA zu anfänglichen Hürden führen, wenn Unternehmen möglicherweise bestehende Prozesse und Strukturen anpassen müssen, um den neuen Anforderungen gerecht zu werden.  

Andererseits ergeben sich mit der Verabschiedung des CRA jedoch auch neue Möglichkeiten – schließlich führt eine erhöhte Sicherheit auch zu einer besseren Widerstandsfähigkeit gegenüber Cyberangriffen, sodass Risiken von Sicherheitsvorfällen minimiert und damit verbundene Kosten eingedämmt werden können. Gleichzeitig können Unternehmen, die hohe Sicherheitsstandards einhalten, das Vertrauen ihrer Kund:innen und Geschäftspartner:innen stärken, wodurch sie sich einen möglichen Wettbewerbsvorteil verschaffen. 

Fazit: Handlungsbedarf für Unternehmen 

Unternehmen sollten sich frühzeitig mit den Anforderungen des Cyber Resilience Acts auseinandersetzen und geeignete Maßnahmen zur Umsetzung ergreifen. Dazu gehören: 

  • Implementierung eines Informationssicherheitsmanagementsystems (ISMS): Ein ISMS hilft, die Anforderungen des CRA zu erfüllen und die Cybersicherheit im Unternehmen zu stärken.
  • Schulung und Sensibilisierung der Mitarbeitenden: Regelmäßige Schulungen und Sensibilisierungsmaßnahmen sind entscheidend, um ein hohes Sicherheitsbewusstsein im Unternehmen zu schaffen. 
  • Kontinuierliche Überprüfung und Anpassung der Sicherheitsmaßnahmen: Unternehmen sollten ihre Sicherheitsmaßnahmen regelmäßig überprüfen und an neue Bedrohungen und Anforderungen anpassen. 
  • Die Umsetzung des Cyber Resilience Acts stellt hinsichtlich der neuen Regularien zwar für so manches Unternehmen eine Herausforderung dar, bietet ihnen aber auch die Möglichkeit, ihre Cybersicherheitsstrategie zu stärken und sich besser gegen die wachsenden Bedrohungen im digitalen Raum zu wappnen, um gleichzeitig ihre Wettbewerbsfähigkeit zu stärken. 
So einfach lässt sich ein ISMS implementieren
Angelika Grüttner

Verfasst von Angelika Grüttner

Projektmanagerin Kommunikation Mittelstand-Digital Zentrum Berlin

Diese News könnte Sie auch interessieren: