Cyber Resilience Act (CRA) verabschiedet: Neue Anforderungen für vernetzte Produkte
Die EU-Kommission hat am 20. November 2024 im EU-Amtsblatt die EU-Verordnung 2024/2847 (Cyber Resilience Act - CRA) veröffentlicht. Der CRA fordert verbindliche Cyber-Sicherheitsanforderungen für alle vernetzten Geräte sowie eine CE-Kennzeichnung. Die neuen Vorschriften treten am 10. Dezember 2024 in Kraft und gelten in allen EU-Mitgliedstaaten. Sie müssen schrittweise bis 11. Dezember 2027 umgesetzt werden.
Wer ist betroffen?
Den Regelungen unterliegen Hersteller, die Produkte mit digitalen Elementen entwickeln oder herstellen oder Produkte mit digitalen Elementen entwerfen, entwickeln oder herstellen lassen und diese unter ihrem Namen oder ihrer Marke entgeltlich oder unentgeltlich vermarkten. Darüber hinaus gibt es Verpflichtungen für Händler und Einführer. Größenbezogene Ausnahmen gibt es nicht.
Welche Produkte sind betroffen?
„Produkte mit digitalen Elementen“ sind “Produkte”, die mit einem Gerät oder einem Netzwerk verbunden werden können. Umfasst sind kommerzielle Produkte für den privaten, gewerblichen und industriellen Gebrauch, die risikoabhängig in verschiedene Kategorien eingeteilt werden:
- Hardwareprodukte mit vernetzten Funktionen (z.B. Smartphones, Laptops, Smarthome-Produkte, Smartwatches, vernetzte Spielzeuge, aber auch Mikroprozessoren, Firewalls und intelligente Zähler, smarte Maschinen und Anlagen) und
- reine Softwareprodukte (z.B. ERP-Systeme, Buchhaltungssoftware, Computerspiele, mobile Apps).
Nicht-kommerzielle Open-Source-Softwareprodukte sind vom CRA ausgenommen und müssen daher die Anforderungen des CRA nicht erfüllen.
Die Produkte werden risikoabhängig in verschiedene Kategorien eingeteilt:
- Nicht kritische Produkte mit digitalen Elementen
Typische Consumer Produkte wie zum Beispiel smarte Fernseher, Spielekonsolen, Hausautomatisierung, Fotobearbeitungssoftware - Kritische Produkte mit digitalen Elementen Klasse I (Anhang III)
Digitale Produkte in der Industriellen Automatisierung oder Gebäudeautomatisierung (Router, VPN-Produkte, Firewalls, Passwort-Manager, Identitätsmanagement) - Kritische Produkte mit digitalen Elementen Klasse II (Anhang III)
Digitale Produkte, die in einer kritischen Infrastruktur Verwendung finden (z. B. IoT-Produkte, Betriebssysteme) - Hochkritische Produkte
Für diese Klasse werden derzeit noch Kriterien und Beispiele definiert.
Anforderungen an Produkte mit digitalen Elementen
Ziel des CRA ist, Cybersicherheitsrisiken der Produkte zu minimieren, Sicherheitsvorfälle zu verhindern und die Auswirkungen solcher Vorfälle, auch im Hinblick auf die Gesundheit und Sicherheit der Nutzer, zu minimieren.
„Produkte mit digitalen Elementen" müssen dazu
- die grundlegenden Cybersicherheitsanforderungen des Anhangs I Abschnitt 1 und
- die vom Hersteller eingerichteten Prozesse die grundlegenden Anforderungen nach Anhang I Abschnitt 2
erfüllen.
Herstellerpflichten (Artikel 10)
- Bewertung der mit einem Produkt mit digitalen Elementen verbundenen Cybersicherheitsrisiken
- Berücksichtigung der Ergebnisse der Bewertung in den Phasen Planung, Entwurf, Entwicklung, Produktion, Auslieferung und Wartung („secure by design“ und „secure by default“)
- Angemessene Dokumentation der Risikobewertung, Erstellung einer Software Bill of Materials (SBOM)
- Darstellung der Bewertung der Cybersicherheitsrisiken in der Technischen Dokumentation
- Sorgfaltspflichten bei der Integration von Komponenten Dritter
- Wenn Hersteller ein Produkt mit digitalen Elementen in Verkehr bringen, müssen sie während der erwarteten Produktlebensdauer oder für einen Zeitraum von fünf Jahren ab dem Inverkehrbringen des Produkts (je nachdem, welcher Zeitraum kürzer ist) gewährleisten, dass Schwachstellen dieses Produkts wirksam und im Einklang mit den in Anhang I Abschnitt 2 aufgeführten grundlegenden Anforderungen behoben werden.
- Durchführung des Konformitätsbewertungsverfahrens
- Erstellung der EU-Konformitätserklärung
- Anbringen des CE-Zeichens
- Informationen und Anleitungen zur sicheren Installation, Bedienung und Nutzung gemäß Anhang II in elektronischer oder physischer Form in einer für die Benutzer leicht verständlichen Sprache
- Die Hersteller fügen die EU-Konformitätserklärung entweder dem Produkt mit digitalen Elementen bei oder geben in den Anleitungen und Informationen gemäß Anhang II die Internetadresse an, unter der die EU-Konformitätserklärung eingesehen werden kann.
- Marktbeobachtung, Korrekturmaßnahmen und Rückrufmanagement
- Meldepflicht für jede bekannte aktiv ausgenutzte Schwachstelle (Warnung innerhalb von 24 Stunden und weitere Details zur Art der Schwachstelle, möglichen Gegenmaßnahmen usw. innerhalb von 72 Stunden. Dies gilt auch für alle bereits vor Inkrafttreten der Verordnung in Verkehr gebrachten Produkte.
Hersteller können sich mit dem IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bereits jetzt die Einhaltung der Cybersicherheitsanforderungen freiwillig auszeichnen lassen.
Pflichten der Importeure (Artikel 13)
Importeure dürfen nur Produkte mit digitalen Elementen in Verkehr bringen, die die die grundlegenden Anforderungen des Anhangs I Abschnitt 1 erfüllen und bei denen die vom Hersteller eingerichteten Prozesse den grundlegenden Anforderungen des Anhangs I Abschnitt 2 entsprechen.
Sie müssen sicherstellen, dass
- die geeigneten Konformitätsbewertungsverfahren vom Hersteller durchgeführt worden sind,
- der Hersteller die technischen Unterlagen erstellt hat,
- das Produkt die CE-Kennzeichnung trägt und
- mit den Informationen und Gebrauchsanweisungen gemäß Anhang II versehen ist.
Weitere Pflichten
- Importeure geben ihren Namen, ihren eingetragenen Handelsnamen oder ihre eingetragene Marke, ihre Postanschrift und eine elektronische Adresse, unter der sie kontaktiert werden können, auf dem Produkt mit digitalen Elementen oder, sofern dies nicht möglich ist, auf der Verpackung oder in einem dem Produkt mit digitalen Elementen beigefügten Dokument an. Die Kontaktangaben müssen in einer für Benutzer und Marktüberwachungsbehörden leicht verständlichen Sprache verfasst sein.
- Entspricht das Produkt mit digitalen Elementen nicht den grundlegenden Anforderungen in Anhang I, darf der Importeur das Produkt nicht in Verkehr bringen. Ist ihm bekannt oder hat er Grund zur Annahme, dass ein bereits von ihm in Verkehr gebrachtes Produkt nicht regelkonform ist, muss er unverzüglich die erforderlichen Korrekturmaßnahmen ergreifen, um die Konformität herzustellen oder um gegebenenfalls das Produkt vom Markt zu nehmen oder zurückzurufen.
- Informationspflichten gegenüber Herstellern im Falle von Schwachstellen bzw. erheblichen Cybersicherheitsrisiken
- Informationspflichten gegenüber Marktüberwachungsbehörden im Falle von erheblichen Cybersicherheitsrisiken und auf begründetes Verlangen Pflichten zur Übermittlung von Unterlagen.
- Die Einführer halten ab dem Inverkehrbringen des Produkts mit digitalen Elementen zehn Jahre lang ein Exemplar der EU-Konformitätserklärung für die Marktüberwachungsbehörden bereit und sorgen dafür, dass sie diesen die technische Dokumentation auf Verlangen vorlegen können.
Pflichten der Händler (Artikel 14)
Bevor der Händler ein Produkt mit digitalen Elementen auf dem Markt bereitstellt, überprüft er ,ob
- das Produkt die CE-Kennzeichnung trägt,
- es mit den Informationen und Gebrauchsanweisungen gemäß Anhang II versehen ist,
- dem Produkt die EU-Konformitätserklärung beigefügt ist oder in den Anleitungen und Informationen gemäß Anhang II die Internetadresse angegeben ist, unter der die EU-Konformitätserklärung eingesehen werden kann und
- der Importeur seinen Namen, sein eingetragenes Handelsnamen oder seine eingetragene Marke, Postanschrift und eine elektronische Adresse, unter der er kontaktiert werden kann, auf dem Produkt oder, sofern dies nicht möglich ist, auf der Verpackung oder in einem dem Produkt mit digitalen Elementen beigefügten Dokument in einer für Benutzer und Marktüberwachungsbehörden leicht verständlichen Sprache angegeben hat.
Weitere Pflichten
- Entspricht das Produkt mit digitalen Elementen nicht den grundlegenden Anforderungen in Anhang I, darf der Händler das Produkt nicht auf dem Markt bereitstellen. Ist ihm bekannt oder hat er Grund zur Annahme, dass ein bereits von ihm auf dem Markt bereitgestelltes Produkt nicht regelkonform ist, muss er unverzüglich die erforderlichen Korrekturmaßnahmen ergreifen, um die Konformität herzustellen oder um gegebenenfalls das Produkt vom Markt zu nehmen oder zurückzurufen.
- Informationspflichten gegenüber Herstellern im Falle von Schwachstellen bzw. erheblichen Cybersicherheitsrisiken
- Informationspflichten gegenüber Marktüberwachungsbehörden im Falle von erheblichen Cybersicherheitsrisiken und auf begründetes Verlangen Pflichten zur Übermittlung von Unterlagen
Fristen
- Konformitätsbewertungsstellen können ab Mai 2026 die Erfüllung der Anforderungen prüfen.
- Der Hersteller sind bereits ab August 2026 dazu verpflichtet, jeden Vorfall, der Auswirkungen auf die Sicherheit des Produkts mit digitalen Elementen hat, unverzüglich und in jedem Fall innerhalb von 24 Stunden nach Kenntnisnahme zu melden.
- Alle anderen Anforderungen wie die CE-Kennzeichnungspflicht gelten ab November 2027.
Technische Richtlinie TR-03183
Mit der TR-03183 Cyber-Resilienz-Anforderungen macht das BSI Herstellern die Art der Anforderungen, die aus dem Cyber Resilience Act auf sie zukommen, vorab zugänglich. In Teil 1 "General Requirements" werden Anforderungen an Hersteller und Produkte in Anlehnung an die Anforderungen aus Artikeln und Anhängen des Cyber Resilience Act zusammengestellt. In Teil 2 "Software Bill of Materials (SBOM)" werden formelle und fachliche Vorgaben für Software Bill of Materials beschrieben. In Teil 3 "Vulnerability Reports and Notifications" wird der Umgang mit eingehenden Schwachstellenmeldungen beschrieben. Teil 1 und Teil 3 sind als Community Drafts veröffentlicht.
Weitere Informationen
- Cyber Resilience Act – Cybersicherheit EU-weit gedacht (BSI)
- FAQ (BSI)
- IT-Sicherheitskennzeichen (BSI)
(Bundesamt für Sicherheit in der Informationstechnik)