Vorbereitung auf den EU Cyber Resilience Act – was Ihr Unternehmen schon jetzt beachten muss

In einer digi­ta­li­sier­ten Welt, in der Soft­ware und Hard­ware immer mehr Aspek­te unse­res Lebens durch­drin­gen, ist Cyber­si­cher­heit nicht mehr nur ein tech­ni­sches Detail. Sie ist eine gesell­schaft­li­che Not­wen­dig­keit. Die Euro­päi­sche Uni­on hat die Bedeu­tung der Cyber­si­cher­heit erkannt und einen Geset­zes­ent­wurf zur Stär­kung der Cyber­si­cher­heit vor­ge­legt. Die­ser Geset­zes­ent­wurf trägt den Namen Cyber Resi­li­ence Act. Doch was bedeu­tet das für Unter­neh­men, die Pro­duk­te mit digi­ta­len Ele­men­ten herstellen?

Der Cyber Resi­li­ence Act ist ein Geset­zes­ent­wurf der Euro­päi­schen Kom­mis­si­on, der seit Okto­ber 2021 in Arbeit ist und im Sep­tem­ber 2022 vor­ge­legt wur­de. Sein Haupt­ziel ist die Ver­bes­se­rung der Cyber­si­cher­heit von Pro­duk­ten, die mit­ein­an­der oder mit dem Inter­net ver­bun­den wer­den kön­nen. Die Rah­men­be­din­gun­gen gel­ten für alle Pro­duk­te mit digi­ta­len Ele­men­ten – unab­hän­gig davon, ob sie an Ver­brau­cher oder im B2B-Bereich ver­kauft werden.

Der Geset­zes­ent­wurf sieht vor, dass Her­stel­ler und Anbie­ter von Pro­duk­ten mit digi­ta­len Ele­men­ten von Anfang an auf „Secu­ri­ty by Design“ ach­ten und über einen defi­nier­ten Zeit­raum durch Sicher­heits­up­dates eine siche­re Nut­zung gewähr­leis­ten müs­sen. Je nach Kri­ti­k­ali­tät des Pro­duk­tes unter­schei­det der Ent­wurf zwi­schen „unkri­ti­schen“, „kri­ti­schen“ und „hoch­kri­ti­schen“ Pro­duk­ten. Für kri­ti­sche Pro­duk­te sind stren­ge­re Anfor­de­run­gen vor­ge­se­hen, z. B. bei der Kon­for­mi­täts­be­wer­tung, die auf Basis har­mo­ni­sier­ter EU-Nor­men erfol­gen soll.

Ein wei­te­rer wich­ti­ger Aspekt des Geset­zes­ent­wurfs ist die Ver­pflich­tung der Her­stel­ler, Sicher­heits­lü­cken wäh­rend des gesam­ten Pro­dukt­le­bens­zy­klus zu schlie­ßen, jedoch maxi­mal fünf Jah­re lang. Nut­zer müs­sen über beho­be­ne Schwach­stel­len und Cyber­si­cher­heits­vor­fäl­le infor­miert wer­den. Über­dies müs­sen Her­stel­ler Cyber­si­cher­heits­vor­fäl­le und aktiv aus­ge­nutz­te Schwach­stel­len inner­halb von 24 Stun­den an die Euro­päi­sche Agen­tur für Cyber­si­cher­heit (ENISA) melden.

Die Vor­schrif­ten des Cyber Resi­li­ence Act sol­len grund­sätz­lich 24 Mona­te nach Inkraft­tre­ten gel­ten, wobei bestimm­te Pflich­ten, wie etwa die Mel­de­pflicht bei Sicher­heits­vor­fäl­len, bereits 12 Mona­te nach Inkraft­tre­ten gül­tig sein sollen.

Der Geset­zes­ent­wurf wird der­zeit dis­ku­tiert. Es wird vor­aus­sicht­lich noch eini­ge Zeit dau­ern, bis der end­gül­ti­ge Geset­zes­text fest­steht und das Gesetz in Kraft tritt. In Fach­me­di­en war von einer ange­peil­ten Ein­füh­rung im Jahr 2024 zu lesen. Ob dies tat­säch­lich rea­li­sier­bar ist, bleibt abzu­war­ten. Denn die genau­en Ter­mi­ne für die Ein­füh­rung des Geset­zes sind der­zeit noch nicht bekannt.

Den­noch gilt: Wenn Sie zu den betrof­fe­nen Unter­neh­men gehö­ren, berei­ten Sie sich jetzt bereits auf die Erfül­lung der kom­men­den Anfor­de­run­gen des Cyber Resi­li­ence Acts vor. Ger­ne unter­stüt­zen wir Sie dabei mir unse­rer Expertise.

Für den Fall, dass die Anfor­de­run­gen des Cyber Resi­li­ence Act nicht erfüllt wer­den, dro­hen emp­find­li­che Stra­fen. Die­se kön­nen von einer zustän­di­gen Behör­de in den Mit­glied­staa­ten ver­hängt wer­den und umfas­sen Geld­bu­ßen in Höhe von bis zu 15 Mil­lio­nen Euro oder bis zu 2,5 Pro­zent des gesam­ten welt­weit erziel­ten Jah­res­um­sat­zes des vor­an­ge­gan­ge­nen Geschäfts­jahrs, je nach­dem, wel­cher Betrag höher ist. In Deutsch­land wäre das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) die zustän­di­ge Behörde.

Vor­ge­se­hen ist auch, dass die Behör­den abge­stuf­te Maß­nah­men ergrei­fen kön­nen. Sie kön­nen die Besei­ti­gung eines fest­ge­stell­ten Risi­kos und die Wie­der­her­stel­lung der Kon­for­mi­tät ver­lan­gen, die Bereit­stel­lung eines Pro­dukts auf dem Markt ein­schrän­ken oder ver­bie­ten oder sogar einen Pro­dukt­rück­ruf anordnen.

Der Cyber Resi­li­ence Act wird vor­aus­sicht­lich Aus­wir­kun­gen auf eine Viel­zahl von Bran­chen und Unter­neh­men haben. Grund­sätz­lich betrifft das Gesetz alle Unter­neh­men, die Pro­duk­te mit digi­ta­len Ele­men­ten her­stel­len, ver­trei­ben oder nut­zen. Dies umfasst eine Viel­zahl von Bran­chen, von der Elek­tro­nik- und Digi­tal­in­dus­trie über die Auto­mo­bil­in­dus­trie bis hin zur Spiel­zeug­indus­trie und vie­len anderen.

Ein kon­kre­tes Bei­spiel ist die Elek­tro­nik- und Digi­tal­in­dus­trie. Unter­neh­men die­ser Bran­che, die Mikro­con­trol­ler, indus­tri­el­le Auto­ma­ti­sie­rungs- und Steue­rungs­sys­te­me oder Tei­le des in Fabri­ken ein­ge­setz­ten Inter­nets der Din­ge her­stel­len, sind direkt von den neu­en Vor­schrif­ten betrof­fen. Sie müs­sen sicher­stel­len, dass ihre Pro­duk­te den vor­ge­schrie­be­nen Sicher­heits­stan­dards ent­spre­chen und dass sie in der Lage sind, Sicher­heits­up­dates über den gesam­ten Pro­dukt­le­bens­zy­klus bereitzustellen.

Auch Händ­ler und Impor­teu­re von Pro­duk­ten mit digi­ta­len Ele­men­ten sind betrof­fen. Sie müs­sen sicher­stel­len, dass die von ihnen in Ver­kehr gebrach­ten Pro­duk­te den Anfor­de­run­gen des Cyber Resi­li­ence Act ent­spre­chen. Es gibt kei­ne grö­ßen­ab­hän­gi­gen Aus­nah­men, sodass sowohl klei­ne als auch gro­ße Unter­neh­men die neu­en Rege­lun­gen ein­hal­ten müssen.

Der Cyber Resi­li­ence Act gilt dabei nicht nur für Unter­neh­men in der EU, son­dern für alle Unter­neh­men, die ihre Pro­duk­te auf dem euro­päi­schen Markt ver­kau­fen wol­len. Die Anfor­de­run­gen des Geset­zes müs­sen somit auch von Unter­neh­men außer­halb der EU erfüllt wer­den, um ihre Pro­duk­te in der EU anbie­ten zu dürfen.

Immer­hin, zumin­dest für eini­ge Bran­chen stel­len regu­la­to­ri­sche Anfor­de­run­gen in Bezug auf Cyber­si­cher­heit kei­ne gänz­lich neue Her­aus­for­de­rung dar. So sind Cyber­si­cher­heits­stan­dards in der Auto­mo­bil­in­dus­trie bei­spiels­wei­se in der Cyber­se­cu­ri­ty-Norm ISO/SAE 21434 sowie in den Rege­lun­gen der UNECE WP.29 festgeschrieben.

Der Cyber Resi­li­ence Act ist ein ambi­tio­nier­tes Vor­ha­ben, das aber auch eini­ge offe­ne Fra­gen auf­wirft. Ein zen­tra­ler Kri­tik­punkt betrifft die prak­ti­sche Umsetz­bar­keit des Gesetzes.

So gibt der Bit­kom zu beden­ken, dass die Anfor­de­run­gen des Geset­zes vie­le Unter­neh­men vor gro­ße Her­aus­for­de­run­gen stel­len könn­ten. Denn der Geset­zes­ent­wurf sieht vor, dass die vor­ge­schrie­be­nen Sicher­heits­stan­dards inner­halb von 24 Mona­ten nach Inkraft­tre­ten der Rege­lun­gen umge­setzt wer­den müs­sen. Die Deut­sche Indus­trie- und Han­dels­kam­mer weist in die­sem Zusam­men­hang dar­auf hin, dass vie­le Unter­neh­men Schwie­rig­kei­ten haben könn­ten, die not­wen­di­gen Fach­kräf­te zu rekru­tie­ren, um die Anfor­de­run­gen des Cyber Resi­li­ence Act frist­ge­recht zu erfüllen.

Auch der TÜV-Ver­band und der Zen­tral­ver­band Elek­tro­tech­nik- und Elek­tronik­in­dus­trie (ZVEI) sehen den Gesetz­ent­wurf nicht aus­schließ­lich posi­tiv. Sie begrü­ßen zwar grund­sätz­lich die Ein­füh­rung ver­bind­li­cher Cyber­si­cher­heits­an­for­de­run­gen, for­dern aber Nach­schär­fun­gen. Ins­be­son­de­re die wei­te Defi­ni­ti­on von „kri­ti­schen Pro­duk­ten“ und „hoch­kri­ti­schen Pro­duk­ten“ wird kri­tisch gese­hen. Der ZVEI warnt davor, dass es für Unter­neh­men schwie­rig wer­den könn­te, Pro­duk­te auf den Markt zu brin­gen, wenn die­se Ein­stu­fung zu erheb­li­chen Ver­zö­ge­run­gen führt.

Inmit­ten der Her­aus­for­de­run­gen und Unsi­cher­hei­ten, die der Cyber Resi­li­ence Act mit sich bringt, steht Ihnen sepp.med als ver­läss­li­cher Part­ner zur Sei­te. Mit jahr­zehn­te­lan­ger Erfah­rung in der regu­la­to­ri­schen Bera­tung und Soft­ware Secu­ri­ty unter­stüt­zen wir Unter­neh­men dabei, die Anfor­de­run­gen des neu­en Geset­zes zu erfüllen.

Die Umset­zung des neu­en Geset­zes zur Cyber­si­cher­heit wird für vie­le Unter­neh­men eine Her­aus­for­de­rung sein, spe­zi­ell auf­grund des Man­gels an Fach­kräf­ten im Bereich Cyber­se­cu­ri­ty. Hier kann sepp.med mit umfas­sen­der Bera­tung durch erfah­re­ne Exper­ten und mit zuver­läs­si­ger Umset­zung durch unse­re agi­len Teams tat­kräf­tig unter­stüt­zen. Unser Ziel ist es, Ihre Digi­ta­li­sie­rung durch schnel­le und regel­kon­for­me Ergeb­nis­se zum Erfolg zu führen.

Ger­ne geben unse­re Exper­tin­nen und Exper­ten ihr Wis­sen in Schu­lun­gen und Trai­nings wei­ter, um Ihr Team in Sachen IT- und Soft­ware­si­cher­heit auf den neu­es­ten Stand zu brin­gen. So kön­nen Sie sicher sein, auf alle Fra­gen die rich­ti­gen Ant­wor­ten zu haben – sei es für ein bevor­ste­hen­des Audit oder für die täg­li­che Arbeit.

Der Cyber Resi­li­ence Act ist ein wich­ti­ger Schritt in eine siche­re­re digi­ta­le Zukunft. Las­sen Sie uns die­se Zukunft gemein­sam gestal­ten! Wir freu­en uns dar­auf, Sie auf die­sem Weg zu begleiten.