In diesem Interview mit qm-aktuell.de gibt Jens Langguth, Senior Security Consultant bei TÜV Rheinland i-sec GmbH, Einblicke in den Cyber Resilience Act (CRA) der EU. Der CRA zielt darauf ab, die Cybersicherheit von digitalen Produkten zu erhöhen und somit EU-Verbraucher und Unternehmen besser zu schützen. Er stellt verbindliche Sicherheitsanforderungen für Hersteller, Importeure und Händler auf. Bei Nichteinhaltung drohen erhebliche Bußgelder und Sanktionen. Langguth empfiehlt eine frühzeitige Anpassung an die CRA-Anforderungen durch Risikobewertung und Compliance-Management.
qm-aktuell.de: Guten Tag, Herr Langguth. Vielen Dank, dass Sie sich heute die Zeit nehmen, um mit uns über den Cyber Resilience Act zu sprechen. Könnten Sie zunächst eine kurze Einführung in den Act geben und seine Hauptziele erläutern?
Jens Langguth: Natürlich, gerne. Der Cyber Resilience Act (CRA) ist eine Initiative der Europäischen Union, die darauf abzielt, die Cybersicherheit von Produkten mit digitalen Komponenten zu stärken. Hauptziel ist es, Verbraucher und Unternehmen in der EU besser zu schützen, indem verbindliche Cybersicherheitsanforderungen für Hersteller, Importeure und Händler solcher Produkte eingeführt werden. Der CRA soll die Resilienz gegenüber Cyberangriffen erhöhen und gleichzeitig für mehr Transparenz in Bezug auf die Sicherheit dieser Produkte sorgen. Ähnlich wie bei anderen kommenden EU-Richtlinien (u. a. AI Act, Data Act, übergeordnet auch NIS-2) steht die Sicherheit der „Endnutzer“ im Vordergrund.
qm-aktuell.de: Welche Arten von Produkten fallen unter den CRA und gibt es Ausnahmen?
Jens Langguth: Unter den Anwendungsbereich des CRA fallen, bis auf wenige Ausnahmen, alle Produkte mit digitalen Elementen. Also solche Produkte die sich mit dem Internet oder untereinander verbinden lassen. Etwas allgemeiner ausgedrückt, betrifft es alle Arten von „smarten“ Produkten, IoT-Devices oder vernetzen Steuerungsgeräten, von der smarten Zahnbürste bis zur vernetzten Maschine einer Produktionsanlage. Ausgenommen sind hier lediglich einzelne Produktgruppen, die bereits unter spezifische, ähnlich strenge Regelungen und Gesetze fallen, wie Medizinprodukte, Kraftfahrzeuge oder Produkte für den Zweck der nationalen Sicherheit.
qm-aktuell.de: Können Sie die spezifischen Anforderungen erläutern, die der CRA an Hersteller stellt?
Jens Langguth: Im Kern des CRA steht für die Hersteller die Durchführung einer Konformitätsbewertung ihrer Produkte, um sicherzustellen, dass diese den Cybersicherheitsanforderungen des CRA entsprechen.
Neben der initialen Analyse des eigenen Anwendungsbereichs und Ableitung spezifischer Vorgaben, bedeutet dies insbesondere die Durchführung einer transparenten, nachvollziehbaren und wiederholbaren Risikobewertung etwaiger (Cybersicherheits-)Risiken im Zusammenhang mit dem (hergestellten) Produkt. Sowohl hinsichtlich der Risikomethode als auch den zu beachtenden (technischen) Faktoren und Bedrohungen, wird die Risikobewertung die Transparenz der Produkte mit digitalen Elementen stark erhöhen, jedoch auch die Hersteller vor gänzlich neue Herausforderungen in Methodik und Bewertung stellen.
Zusätzlich müssen einige weitere spezifischen Anforderungen und Dokumentationspflichten beachtet werden, u. a. die Bereitstellung klarer Gebrauchsanweisungen und Kontaktadressen.
Die umfangreichen technischen Vorgaben sind dem Anhang I des CRA zu entnehmen. Eine zentrale Rolle nimmt hier sicherlich der verpflichtende Umgang mit Schwachstellen, ad hoc Patching und fortwährenden Bereitstellung von Updates ein.
qm-aktuell.de: Wie werden Produkte unter dem CRA klassifiziert und welche Auswirkungen hat diese Klassifizierung?
Jens Langguth: Produkte werden je nach ihrer Funktionalität und Verwendung in verschiedene Kritikalitätsklassen eingeteilt (Anhang III CRA). Eine abschließende Einigung auf konkrete Produktgruppen ist hier noch nicht erzielt. Ohne jedoch auf konkrete Produkte einzugehen, wird es in der Gruppe der „Important Products“ mindestens drei unterschiedliche Klassen geben: Default, Class 1 und Class 2. Der Class 1 sind derzeit u. a. Produkte im Zusammenhang mit Passwortmanagern, Anti-Viren-Software oder Router zugeordnet. In der Class 2 u. a. Firewalls und Allzweck-Mikroprozessoren.
Der aktuelle Entwurf sieht derzeit zusätzlich noch eine gesonderte Klasse für sog. „Critical Products“ vor. Hier entstehen ggf. noch besondere Anforderungen für Produkte mit digitalen Elementen im Bereich der Kritischen Infrastruktur. Hier bleiben auch etwaige Querverbindungen zu z. B. NIS-2 Richtlinie abzuwarten.
Diese Klassifizierung bestimmt das Ausmaß der zu erfüllenden Sicherheitsanforderungen und auch den Umfang der erforderlichen Konformitätsbewertung. Auch wenn davon auszugehen ist, dass die meisten Produkte mit digitalen Elementen in die Klasse „Default“ fallen, müssen dennoch die o. g. Anforderungen erfüllt und umgesetzt werden. Für Produkte, die als kritisch (ab Class 1) eingestuft werden, ist jedoch u. a. eine Bewertung durch eine unabhängige dritte Partei erforderlich.
qm-aktuell.de: Welche Verantwortlichkeiten übernehmen Importeure und Händler im Rahmen des CRA?
Jens Langguth: Importeure und Händler müssen sicherstellen, dass die Produkte, die sie in den EU-Markt einführen bzw. verkaufen, den Anforderungen des CRA entsprechen. Sie müssen überprüfen, ob die Hersteller ihre Pflichten erfüllt haben, insbesondere in Bezug auf die Konformitätsbewertung und die CE-Kennzeichnung. Importeure müssen zudem ihre Kontaktdaten auf den Produkten angeben. Ausschlaggeben ist hier das „Inverkehrbringen“ in die Europäische Union. Der CRA betrifft daher alle Marktteilnehmer mit dem Ziel der Bereitstellung von Produkten mit digitalen Elementen in der EU unabhängig des Standorts des Herstellers.
qm-aktuell.de: Wie müssen Unternehmen Cybersicherheitsvorfälle und Schwachstellen melden?
Jens Langguth: Unternehmen sind verpflichtet, Cybersicherheitsvorfälle und aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden nach deren Entdeckung an die Europäische Agentur für Cybersicherheit (ENISA) zu melden. Dies soll eine schnelle Reaktion auf Sicherheitsbedrohungen ermöglichen und die Ausbreitung von Cyberangriffen verhindern. Um diese enorm knappe Frist überhaupt gewährleisten zu können, müssen betroffene Unternehmen unbedingt frühzeitig entsprechende Prozesse und Meldewege konzipieren. Wer präventive Vorkehrungen unterlässt und erst im akuten Fall handelt, wird die Anforderung an die Frist nicht erfüllen können und riskiert empfindliche Bußgelder. Diese Erfahrung mache ich derzeit auch in meiner Rolle als (externer) Datenschutzberater und im Datenschutz beläuft sich die Frist sogar auf das dreifache – 72 Stunden.
qm-aktuell.de: Welche Bußgelder und Sanktionen sieht der CRA bei Nichteinhaltung vor?
Jens Langguth: Bei Verstößen gegen den CRA können Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes eines Unternehmens verhängt werden. Zudem können umfangreiche Korrekturmaßnahmen angeordnet werden, diese können so weit gehen, dass die Bereitstellung des betreffenden Produktes auf dem (EU-)Markt untersagt wird oder der Hersteller zu einer umfassenden Rückrufaktion verpflichtet wird. Je nach nationaler Ausprägung kommen so neben erheblichen monetären Geldbußen auch noch Ausfälle aufgrund eines Verkaufsverbotes oder nachhaltige Schäden der Reputation auf die betreffenden Unternehmen zu.
qm-aktuell.de: Was sollten Unternehmen jetzt tun, um sich auf die Einführung des CRA vorzubereiten?
Jens Langguth: Unternehmen sollten beginnen, ihre Produkte und Prozesse im Hinblick auf die Anforderungen des CRA zu analysieren und zu bewerten. Ich empfehle daher, zeitnah ein entsprechendes „Screening“ hinsichtlich des individuellen Anwendungsbereichs und den spezifischen Anforderungen durchzuführen. Verpflichtende Anforderungen sollten gegen bereits im Unternehmen umgesetzte Maßnahmen gespiegelt und evtl. Lücken systematisch adressiert und geschlossen werden.
Zur Vorbereitung gehört jedoch auch die Entwicklung geeigneter Methoden zur Durchführung der (Cybersicherheits-)Risikobewertung und die systematische Überleitung der Erkenntnisse in den kompletten Life-Cycle des Produktes mit digitalen Elementen (von Konzeption über Herstellung bis Wartung).
In Anbetracht der stetig steigenden regulatorischen Anforderungen, sollten Unternehmen einen integrativen Ansatz zur Steuerung Ihrer Compliance wählen. In Zukunft wird die Fähigkeit des systematischen Managements der Compliance(-Anforderungen) den entscheidenden, wirtschaftlichen Faktor darstellen.
Ein letzter Tipp: Sollten Unternehmen selbst in ihrer Produktion oder im Rahmen von Zulieferleistungen von Produkten mit digitalen Elementen abhängig sein, sollten deren Hersteller und Supplier dieser Produkte frühzeitig auf die Anforderungen des CRA und Importbestimmungen hingewiesen werden – insbesondere dann, wenn diese ihren Sitz/Produktion außerhalb der EU haben.
qm-aktuell.de: Herr Langguth, ich danke Ihnen vielmals für dieses aufschlussreiche Gespräch und Ihre Expertise zum Cyber Resilience Act.
Jens Langguth: Es war mir ein Vergnügen. Ich hoffe, dass ich einige der wichtigsten Aspekte des CRA klären konnte und dass Unternehmen nun besser auf dessen Einführung vorbereitet sind. Vielen Dank für die Einladung.
Als Senior Security Consultant bei TÜV Rheinland i-sec GmbH betreut Jens Langguth Kunden und Mandanten aller Branchen im Bereich (IT-)Compliance, Datenschutz und Hinweisgeberschutz. Zusammen mit seinen Kunden und Mandanten konzeptioniert und begleitet er die Operationalisierung neuer Compliance-Anforderungen. Dabei setzt er stets den Fokus auf die bedarfsgerechte, risikoorientierte und integrative Umsetzung der neuen (gesetzlichen) Anforderung/Herausforderungen im Unternehmen. Aufgrund des stark gestiegenen sowie weiter steigenden regulatorischen Drucks und Bedeutung der Compliance, setzt sich Hr. Langguth für integrative, ressourcenschonende Umsetzungen ein.