European Cyber Resilience Act: Framework für Hersteller
Sarah Kolberg | April 5, 2024
Der erste Entwurf des European Cyber Resiliance Act wurde im September 2022 von der Europäischen Union vorgelegt. Der Cyber Resilience Act ist eine weitere Initiative der Europäischen Union, Cybersecurity zu regulieren. Das Rahmenwerk setzt jedoch nicht wie NIS 2 bei den Betreibern an, sondern den Herstellern von Produkten. Es verfolgt das Schutzziel, Cybersicherheit für Produkte mit digitalen Elementen im europäischen Binnenmarkt zu gewährleisten. Erfahren Sie mehr über die Produktanforderungen und sonstige Pflichten der Hersteller.
Für wen gilt der Cyber Resilience Act?
Anders als die NIS 2-Richtlinie ist der European Cyber Resiliance Act (CRA) nicht an Schwellenwerte zur Unternehmensgröße gebunden und greift damit für Hersteller jeder Größe. Welche Produkte sind betroffen? Alle Produkte, die eine digitale Kommunikationsschnittstelle haben, sollen durch den CRA reguliert werden. Dabei ist unwesentlich, ob damit externe Kommunikation betrieben wird oder ob das Produkt als Teil einer Maschine kommuniziert. Damit sind Hardware- und Softwareprodukte sowie Hardware- und Softwarekomponenten eingeschlossen, die eine direkte oder indirekte, logische oder physische Datenverbindung zu einem Gerät oder Netzwerk haben.
Es existieren einige Ausnahmen, da für diese Gerätegruppe konkretere EU-Verordnungen bestehen:
- Medizinprodukte
- In-vitro-Diagnostika
- Typgenehmigung von Kraftfahrzeugen
- Zivilluftfahrt & Flugsicherheit
- Schiffsausrüstung
Weiterhin besteht eine Ausnahmeregelung für Ersatzteile. Der CRA gilt nicht für Ersatzteile, die auf dem Markt bereitgestellt werden, um identische Komponenten in Produkten mit digitalen Elementen zu ersetzen. Voraussetzung ist, sie wurden nach denselben Spezifikationen hergestellt, wie die Komponenten, die sie ersetzen sollen.
Warum braucht es den Cyber Resilience Act?
Insbesondere IoT-Geräte werden häufig zum Einfallstor für Cyberkriminelle, da bisher herstellerseitig oft keine Sicherheitsmaßnahmen getroffen wurden. Mit dem Cyber Resiliance Act soll der „Security by Design“-Gedanke in die Entwicklungsprozesse und über den gesamten Lebenszyklus von Produkten einfließen. Die Cybersecurity soll fester Bestandteil des Produkts werden, so Verbraucher schützen und eine sichere Nutzung garantieren.
Pflichten der Hersteller laut Cyber Resilience Act
Beim Design, der Entwicklung, Produktion und während der Nutzung der Produkte durch Kunden sollen Cybersecurity-Maßnahmen getroffen werden, die der aktuellen Bedrohungslage angemessen sind. Dabei stellt der CRA Hersteller in die Verantwortlichkeit, die Cybersecurityüber den Lebenszyklus des Produkts zu garantieren, was über die bisherigen Marktbeobachtungspflichten hinaus geht. Dies beinhaltet Pflichten zur Schwachstellenbehandlung, Security-Support sowie Meldepflichten.
Die Hersteller sind verpflichtet eine Risikobewertung des Produktes mit Blick auf die Cybersicherheit durchzuführen und die Ergebnisse in den Produktionsphasen zu berücksichtigen. Anhand der Risikobewertung werden die Produktanforderungen ausgewählt, welche entsprechend dokumentiert werden müssen.
Langer Diskussionsgegenstand des CRAs war der Zeitraum, in dem der Security-Support für ein Produkt gewährleistet werden muss. Zuvor war es vorgesehen, über den gesamten Lebenszyklus des Produkts, Support anzubieten. Dies würde jedoch insbesondere Hersteller langlebiger Güter fordern. Es ist eine Einigung erfolgt, dass der Support-Zeitraum von Herstellern anhand verschiedener Indikatoren festgelegt wird.
Dazu zählen:
- Nutzererwartung
- Produktart
- Bestimmungsgemäßer Gebrauch
- Orientierung an anderen Regulierungen
- Zeitraum anderer ähnlicher Produkte
- Support-Zeiträume zentraler integrierter Komponenten
Die Hersteller sollen eine sichere Verfügbarkeit in der Einsatzumgebung von mindestens 5 Jahren garantieren. Falls ein kürzerer Support-Zeitraum als 5 Jahre angegeben wird, muss dieser der Produktlebenszeit entsprechen.
Sicherheitsanforderungen an Produkteigenschaften
Der CRA sieht für Produkte mit digitalen Elementen die Prämisse „Security by Design“ vor. Das bedeutet, dass bereits bei der Entwicklung des Produktes Security-Maßnahmen mitbedacht werden sollen. Es ist eine Risikobewertung des Produktes durchzuführen. Je nachdem, um was für eine Art Produkt es sich handelt, kann es hinsichtlich der Anforderungen Einschränkungen geben, jedoch müssen alle Detailanforderungen gesichtet und auf Machbarkeit überprüft werden. Falls das Produkt aufgrund seiner Beschaffenheit eine Anforderung nicht erfüllen kann, ist dies zu dokumentieren.
Folgende Anforderungen sind zu prüfen und, insofern es die Produktbeschaffenheit zulässt, zu erfüllen:
- Bereitstellung des Produkts ohne bekannte Schwachstellen
- Sichere Standardkonfiguration mit Möglichkeit zum Zurücksetzen auf die Werkeinstellungen (kann bspw. bei customized Produkten im B2B-Bereich als Anforderung entfallen)
- Schwachstellen-Adressierung durch Security-Updates: Diese sollen, insofern sie automatisch erfolgen, eine Opt-out-Möglichkeit vorweisen, da automatische Updates in OT-Umgebungen meist unerwünscht sind.
- Zugangskontrolle: Authentifizierung & Identitätsnachweis
- Gewährleistung von Datenvertraulichkeit & Datenintegrität
- Minimierung der Daten: Nur für den Produktzweck erforderliche Daten sollen erhoben und genutzt werden.
- Monitoring von Zugriffen, Veränderungen von Daten, Diensten oder Funktionen
- Minimierung von negativen Auswirkungen auf die Verfügbarkeit durch andere Geräte, Netze oder Dienste
- Minimierung der Angriffsflächen (z.B. Schnittstellen)
- Angemessene Mechanismen und Techniken zur Eindämmung der möglichen Ausnutzung von Sicherheitslücken
Anforderungen zur Schwachstellenbehandlung
Eine weitere große Baustelle des CRA ist der Security-Support. Für das Produkt sollen über einen festgelegten Zeitraum Security-Updates angeboten werden, um Sicherheitslücken zu schließen und das Produkt angemessen der akuten Bedrohungslage zu schützen. Für den Security-Support gibt es eine Vielzahl an Anforderungen:
- Ermittlung & Dokumentation von Schwachstellen
- Erstellung und Pflege einer Software Bill of Material, also einer Aufzeichnung der Bestandteile eines Software-Produkts und die Relationen innerhalb einer Software-Lieferkette
- Schnellstmögliche Behebung von Schwachstellen und kostenfreie Bereitstellung von Software-Updates, insofern möglich Trennung von Security-Updates & funktionalen Updates
- Regelmäßige Überprüfungen und Tests des Produkts, um ggf. Notwendigkeit von Software-Updates zu erfassen
- Umfassende Informationen zur Bereitstellung der Software-Updates für Nutzer
- Strategie für einen koordinierten Kommunikationsprozess für Offenlegung von Schwachstellen
- Austausch zu Schwachstellen erleichtern & Meldestelle einrichten: Offizielle Stelle, um Informationen zu Sicherheitslücken einzureichen
- Sichere Verteilung von Security-Updates
Meldepflichten der Hersteller
Auch im Rahmen des CRA gibt es Meldepflichten für die Hersteller. Die zuständigen Behörden sind die CSIRTs und die ENISA. Die Zeitrahmen der Meldepflichten wurden an NIS2 angelehnt, lediglich der Gegenstand der Berichte ist ein anderer.
Es hat eine Benachrichtigung an CSIRTs & ENISA mittels „Single-reporting-Plattform“ über jede aktiv ausgenutzte Sicherheitslücke zu erfolgen. Aktiv ausgenutzt bedeutet, es liegen Beweise vor, dass ein Produkt in Anwendung über eine Schwachstelle kompromittiert wurde.
Die Fristen:
- Frühwarnung innerhalb von 24 Stunden
- Benachrichtigung nach 72 Stunden
- Abschlussbericht innerhalb 14 Tage nach Behebung der Schwachstelle
Auf gleichen Wegen müssen schwerwiegende Vorfälle gemeldet werden, jedoch gelten hier andere Fristen. Als schwerwiegend gilt der Vorfall, wenn er Auswirkungen auf die Sicherheit des Produkts mit digitalen Elementen hat, beispielsweise falls es beim Herstellerunternehmen zu Datenverlust durch einen Cyber-Angriff kam und dabei sensible Informationen zum Produkt durchgesickert sind.
Die Fristen:
- Frühwarnung innerhalb von 24 Stunden
- Benachrichtigung nach 72 Stunden
- Abschlussbericht innerhalb 1 Monat nach Benachrichtigung
In beiden Fällen müssen die Nutzer des Produkts informiert und mit Empfehlungen und Korrekturmaßnahmen unterstützt werden, um die möglichen Auswirkungen einzudämmen.
Klassifizierungen von Produkten
Bevor Produkte mit digitalen Schnittstellen auf den Markt gebracht werden, muss eine technische Dokumentation, einschließlich Risikobewertung, erstellt und ein Konformitätsbewertungsverfahren durchgeführt werden („CE-Kennzeichen").
Der Cyber Resillience Act ordnet Produkte verschiedenen Klassifizierungsstufen zu. Welche Produkte in welche Klassifizierung fallen, ist demAnhang III & IIIa des CRA zu entnehmen. Anhand der Einteilung sind passende Konformitätsbewertungsverfahren zu durchlaufen. Sind Produkte cyber-kritisch oder netzwerkkritisch, gelten sie als wichtige Produkte der Klasse I. Sind die Produkte cyber-kritisch und netzwerkkritisch, werden sie wichtigen Produkte der Klasse II zugeordnet. Neben dieser Einteilung existieren außerdem kritische Produkte.
Cyber-kritisch oder netzwerkkritisch = wichtige Produkte Klasse I
- Identity Management Systeme
- Access Management Systeme
- Browser
- Passwort-Manager
- Software zur Detektion, Behebung und Quarantäne von Schadsoftware
- Produkte mit digitalen Elementen und VPN-Funktion
- Netzmanagementsysteme
- SIEM
- Boot Manager
- Public Key Infrastruktur
- Software für die Ausstellung von digitalen Zertifikaten
- Physische & virtuelle Netzwerkschnittstellen
- Betriebssysteme
- Router, Switches, Modems mit Internetverbindung
- Microprozessoren mit sicherheitsrelevanten Funktionen
- Microcontroller mit sicherheitsrelevanten Funktionen
- ASIC & FPGA mit sicherheitsrelevanten Funktionen
- Smart Home-Geräte mit virtuellen Assistenten
- Smart Home-Geräte aus dem Sicherheitsbereich
- Netzfähige Spielsachen mit sozialen interaktiven Features wie Sprechen oder Filmen sowie Location-Tracking
- Wearables mit Health Monitoring
Cyber-kritisch und netzwerkkritisch = wichtige Produkte Klasse II
- Hypervisoren und Container-Laufzeitsysteme, die die virtualisierte Ausführung von Betriebssystemen und ähnlichen Umgebungen unterstützen
- Firewalls
- Systeme zur Erkennung und/oder Verhinderung von Eindringlingen
- Manipulationssichere Mikroprozessoren & Mikrocontroller
Kritische Produkte (Anhang IIIa)
- Hardware-Geräte mit Sicherheitsboxen
- Smart-Meter-Gateways in intelligenten Messsystemen
- Geräte für fortgeschrittene Sicherheitszwecke, einschließlich für die sichere Kryptoverarbeitung
- Smartcards oder ähnliche Geräte
Für alle Produkte mit digitalen Schnittstellen gilt es eine Konformitätserklärung zu erstellen. Den Produkten müssen Informationen und Anweisungen für die Nutzer beigefügt werden. Wenn bekannt ist oder Grund zu der Annahme besteht, dass das Produkt nicht konform ist, müssen Korrekturmaßnahmen ergriffen werden.
Cyber Resilience Act Zusammenfassung
Mit dem CRA sollen prozessuale und organisatorische Sicherheitsmaßnahmen bei der Ausgestaltung von Produkten und ihren Eigenschaften getroffen werden. Somit ist der CRA ein Cybersecurity-Rahmenwerk für Hersteller von Hardware- und Software-Produkten mit digitalen Schnittstellen.
Darin wurde ein Augenmerk gelegt auf:
- Compliance von Produkten
- Security by Design, Entwicklung & Produktion
- Assessment von Produkten
- Verantwortung über Life Cycle des Produkts
- Schwachstellenmanagement & Security Support
- Aktions- und Meldeinfrastruktur zu produktrelevanten Cybervorfällen und ausgenutzten Schwachstellen