Cyber Resilience Act: Neue Sicherheitsstandards für digitale Produkte
Auf Hersteller und Händler kommen neue Pflichten zu. Wer auf Zeit spielt, riskiert empfindliche Strafen und Wettbewerbsnachteile, warnt Oliver Hanka von PwC Deutschland.
Ransomware, Botnetze, Phishing-Attacken: Die Anforderungen an die Sicherheit von digitalen und vernetzten Produkten hat in den vergangenen Jahren enorm zugenommen und spielt eine immer wichtigere Rolle in unserem täglichen Leben. Der fortschreitende Einsatz von intelligenten Stromzählern, vernetzten Anlagensteuerungen, Smart-Home-Gadgets und ähnlichen Technologien bringt viele Vorteile mit sich, wirft aber zugleich Fragen hinsichtlich der Cyber Security auf.
Sind Lösungen im Spiel, die die Grenze zwischen virtueller und physischer Welt überschreiten, geht es zudem schnell nicht mehr nur um den Schutz persönlicher Daten, sondern auch um die physische Sicherheit der Nutzer. Sicherheitslücken in industriellen IoT-Komponenten können beispielsweise dazu führen, dass Unbefugte Zugriff auf sicherheitsrelevante Systeme erlangen und damit Menschenleben gefährden. Der Entwurf der Europäischen Kommission für den Cyber Resilience Act (CRA) ist daher ein wichtiger Schritt, um dieser Problematik zu begegnen. Das Ziel: Hersteller und Händler sollen je nach Ausprägung und Kategorisierung ihrer Produkte eine Reihe von neuen Sicherheitsanforderungen erfüllen, wenn sie in der EU vernetzte Geräte auf den Markt bringen möchten.
Der CRA wird voraussichtlich 2024 verabschiedet und dann mit Übergangsfristen bis zu 36 Monaten in Kraft treten. Das heißt aber nicht, dass sich die betroffenen Unternehmen jetzt noch zurücklehnen könnten. Denn klassische Produktentwicklungszyklen erstrecken sich in der Regel über große Zeiträume, der Handlungsdruck ist also bereits jetzt enorm. Wer in den nächsten Jahren neue oder überarbeitete vernetzte Produkte auf den Markt bringen möchte, muss also jetzt handeln, um die Anforderungen zu erfüllen. Denn: Verstöße können Geldbußen in Höhe von bis zu 15 Millionen Euro oder bis zu 2,5 Prozent des gesamten weltweiten Jahresumsatzes aus dem Vorjahr nach sich ziehen. Zusätzlich können die zuständigen Behörden Verkaufsverbote und Rückrufaktionen erzwingen.
Welche Produkte betroffen sind – und welche nicht
Der Cyber Resilience Act bezieht sich per Definition auf Produkte mit digitalen Elementen, die so konzipiert sind, dass sie eine direkte oder indirekte Datenverbindung mit anderen Geräten oder Netzen haben. Das umfasst Software- genauso wie Hardware-Produkte. Insbesondere die Fähigkeit zur Kommunikation mit anderen Produkten oder Komponenten deutet darauf hin, dass ein Produkt dem CRA unterliegt. Der CRA bezieht sich dabei auch auf Software- und Hardwarekomponenten, die separat auf den Markt kommen, jedoch nicht für die direkte Nutzung durch Endbenutzer bestimmt sind – beispielsweise das Funkmodem, das von einem IoT-Produkt für drahtlose Kommunikation genutzt wird, oder auch verbaute Mikrocontroller in einem Produkt. Die Regulierung betrifft sowohl physische Produkte mit digitalen Elementen als auch reine Softwareprodukte wie Apps. Das gilt selbst dann, wenn sie nur als Bestandteile eines anderen Produkts vertrieben werden. Ausgenommen ist eine Reihe von Produkten, beispielsweise wenn sie bereits entsprechenden Regularien unterliegen, wie Medizin- oder Automotive-Produkte.
Unklar bleibt, wie im Detail mit Open-Source-Software umzugehen ist. Denn die Anbieter entsprechender Software-Lösungen sind zwar vom CRA befreit, nicht aber die Parteien, die sie für kommerzielle Endprodukte nutzen. Nicht betroffen sind für gewöhnlich Software-as-a-Service-Dienste, da diese bereits durch die NIS-2-Richtlinie reguliert werden.
Kategorisierung und Risiko-Assessment im Fokus
Wie die Pflichten für Unternehmen genau aussehen, richtet sich danach, wie der Gesetzgeber die jeweiligen Produkte einstuft. In die Standardkategorie – „Default“ – fallen Produkte, deren Sicherheitsrelevanz eingeschränkt ist. Dazu gehören beispielsweise Bluetooth-Lautsprecher oder Bildbearbeitungsprogramme. Hier genügt gemäß Anhang I des CRA eine interne Prüfung, um die Konformität zu bestätigen und damit das CE-Abzeichen zu bekommen. Produkte mit einer höheren Sicherheitsrelevanz, beispielsweise Passwortmanager oder Firewalls, sind der kritischen Klasse I zugeordnet. Ist ein harmonisierter Standard vorhanden, können ihn Unternehmen in diesem Fall anwenden und die Konformität damit intern nachweisen. Trifft dies nicht zu, gilt es Anhang I anzuwenden und die Konformität im Anschluss aber durch eine externe Prüfstelle zu verifizieren.
Bei Produkten der besonders kritischen Klasse II ist dies obligatorisch. Hier handelt es sich meist um industriell genutzte Produkte wie zum Beispiel Betriebssysteme oder Steuerungssysteme für Anlagen. Wird ein Produkt von Anhang III(a) erfasst, sind seine Komponenten zudem für kritische Infrastrukturen sicherheitsrelevant. Hier müssen Unternehmen – sofern vorhanden – ein Zertifizierungssystem für Cybersicherheit anwenden. Andernfalls gilt es wiederum, Anhang I anzuwenden. Harmonisierte Standards, wie auch Zertifizierungssysteme für Cybersicherheit, sind noch durch die ENISA zu bestimmen beziehungsweise zu erarbeiten. Als gesichert gilt, dass der IEC 62443 Standard als harmonisierter Standard genutzt wird.
Damit Unternehmen wissen, zu welcher CRA-Kategorie ihre Produkte gehören, müssen sie ihr Portfolio umfassend prüfen. Bei allen betroffenen Produkten folgt ein regelmäßiges Assessment der Cybersicherheit. Nur so kann der Gesetzgeber den verfolgten Security-by-Design-Gedanken durchsetzen, der Produkte über ihren gesamten Lebenszyklus – von der Planung bis zur Entsorgung – sicherer machen soll.
Jetzt handeln, um nicht von der Regulierung überholt zu werden
Hersteller, deren Produkte in eine der genannten Kategorien fallen, müssen zukünftig entlang des gesamten Produktlebenszyklus für ein hohes Cybersicherheitsniveau sorgen. Dementsprechend gilt es, den Sicherheitsaspekt bereits in der Entwicklungsphase neuer Produkte mitzudenken und zu dokumentieren – und auch während der Produktion, Auslieferung, Wartung und Entsorgung zu gewährleisten. Potenzielle Risiken müssen dabei lückenlos dokumentiert werden, etwaige Schwachstellen sind innerhalb von 24 Stunden zu melden. Hersteller sind zudem in der Pflicht, Sicherheitslücken mindestens fünf Jahre oder innerhalb der zu erwartenden Produktlebenszeit zu beseitigen und entsprechende Updates zur Verfügung zu stellen. Des Weiteren müssen sie Verbraucher umfassend bezüglich möglicher Risiken aufklären, beispielsweise indem sie entsprechende Hinweise in Gebrauchsanleitungen aufnehmen.
Dieser Pflichtenkatalog ist umfangreich. Das zeigt, dass betroffene Unternehmen viel Zeit einplanen müssen, um der Regulierung voraus zu sein und ihr Produktportfolio inklusive Prototypen und Entwicklungsprojekten sorgfältig zu prüfen. Wer diesen zeitlichen Puffer nicht einplant, droht von der Regulierung überholt zu werden und mit Bußgeldern, Rückrufaktionen oder aufwendigen Nachbesserungsauflagen konfrontiert zu werden. Dementsprechend sollten alle Unternehmen, die vernetzte oder digitale Produkte sowie Komponenten herstellen, ihr Portfolio bereits jetzt in normale, kritische, sehr kritische und Anhang III(a) Produkte gemäß der Regulierung kategorisieren. Wer jetzt die Cybersicherheit seiner betroffenen Produkte überprüft, hat mehr Zeit, um etwaige Defizite im Sinne des CRA rechtzeitig nachzubessern und damit auch seiner Verantwortung gegenüber den Kunden gerecht zu werden.
ist Partner bei PwC Deutschland und Experte für Product Security.