Regulatorisches Labyrinth: der Cyber Resilience Act (CRA)

Die sich ständig weiterentwickelnde Welt der Cybersecurity stellt ein regulatorisches Labyrinth dar, das unmöglich zu durchschauen scheint. Am Ende dieses Labyrinths steht der Cyber Resilience Act (CRA).

Diese bahnbrechende Verordnung soll die Cybersecurity von Produkten mit digitalen Elementen auf dem gesamten EU-Markt stärken, die nicht bereits durch eine vertikale Verordnung abgedeckt sind. Der CRA ist jedoch nur ein Teil eines viel größeren regulatorischen Puzzles. Unternehmen müssen herausfinden, welche branchenspezifischen und branchenübergreifenden (horizontalen) Vorschriften für ihren Kontext gelten. Daher ist es wichtig, die richtige Kombination von Rahmenbedingungen für die Einhaltung der Vorschriften zu ermitteln.

Dieser Blog wird diese Komplexität beleuchten und die Rolle anderer Verordnungen wie (EU) 2019/2144 (und die darin enthaltene UNECE R155) hervorheben sowie die Verantwortlichkeiten der Beteiligten klären.

Was ist der Cyber Resilience Act (CRA)?

Der Cyber Resilience Act ist eine Verordnung der Europäischen Union, die darauf abzielt, die Cybersicherheitsstandards für Produkte mit digitalen Komponenten auf dem EU-Markt zu stärken. Die CRA ist Teil des CE-Zertifizierungsprozesses und legt klare Cybersicherheitsrichtlinien fest, darunter:

• Security by Design: Sichere Technik als Grundvoraussetzung.
• Dokumentation: Nachweis der erfolgreichen Umsetzung der Cybersecurity-Anforderungen.
• Vulnerability Management: Etablierte Prozesse zur Verwaltung und Behandlung von Schwachstellen.
• Lebenszyklus-Support: Kontinuierlicher Produkt-Support und Updates während des gesamten Produktlebenszyklus.
• SBOMs / Asset Management: Implementierung von Software Bills of Materials (SBOMs) und umfassenden Asset-Management-Prozessen.

Die Einhaltung der CRA bietet erhebliche Anreize:

• Demonstriert Produktqualität und die Einhaltung hoher Produktionsstandards.
• Bewahrt und verbessert den Marktzugang und das Vertrauen der Verbraucher.

Die Nichteinhaltung birgt jedoch schwerwiegende Risiken, unter anderem:

• Das Potenzial für erhebliche Umsatz- und Reputationsverluste durch Sicherheitsverletzungen.
• Erhebliche Strafen: Geldbußen von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Umsatzes des Unternehmens.
• Verlust der CE-Kennzeichnung und eingeschränkter Zugang zum EU-Markt.

Produktbezogene Cybersecurityvorschriften: CRA, UNECE R155, und andere

Hier in Europa wird die Cybersicherheit für Produkte sowohl durch vertikale (branchenspezifische) als auch horizontale (sektorübergreifende) Rahmenwerke geregelt. Der Cyber Resilience Act fungiert als horizontale Regelung, die allgemein gilt, sofern sie nicht durch spezifischere, vertikale Regelungen ersetzt wird.

Vertikale Regelungen:

UNECE R155 (Regelung für Kraftfahrzeuge, Anhänger und Systeme):
Konzentriert sich auf die Cybersicherheit für typgenehmigte Fahrzeuge (Kategorien M, N, O, und ab 2029 auch L). Im CRA selbst wird die UNECE R155 nicht direkt erwähnt. Stattdessen schließt Artikel 2(3) des CRA Produkte aus, die bereits unter die Verordnung (EU) 2019/2144 (General Safety Regulation, GSR) fallen.

Die GSR wiederum schreibt die UNECE R155 für die Typgenehmigung von Fahrzeugen der Klassen M, N und O (und ab 2029 auch L) vor. Dies gilt nicht nur für vollständige Fahrzeuge, sondern auch für Systeme, Bauteile und selbstständige technische Einheiten, die für diese Fahrzeuge bestimmt sind.

OEMs sind für die Einhaltung von 2019/2144 / UNR 155 somit voll verantwortlich.

Zulieferer sind auf der anderen Seite nicht direkt durch UNR 155 reguliert. Wenn sie jedoch typgenehmigungs-relevante Komponenten unabhängig auf den Markt bringen, fallen sie unter 2019/2144. Andernfalls gilt der CRA direkt – damit ist er die wichtigste Vorschrift für die meisten Tier-1-Zulieferer und Softwareanbieter.

Wenn diese Unterscheidung missverstanden wird, kann dies zu Lücken in der Compliance führen!

Medical Devices Regulation (MDR) und In-Vitro Diagnostic Medical Devices Regulation (IVDR):
regelt speziell die Anforderungen an die Cybersicherheit von Medizin- und Diagnosegeräten und erzwingt ein umfassendes Risikomanagement, sichere Software-Updates, eine detaillierte Berichterstattung über Incidents und eine klare Dokumentation der Cybersecurity-Praktiken.

Neue Maschinenrichtlinie (EU-Maschinenverordnung):
Umfasst speziell auf Industriemaschinen zugeschnittene Cybersicherheitsmaßnahmen. Zu den Anforderungen gehören solide Bewertungen der Cybersicherheitsrisiken, klar dokumentierte Cybersicherheitsmerkmale, sichere Steuerungssysteme und ein kontinuierliches Schwachstellenmanagement während des gesamten Lebenszyklus der Maschine.

Horizontale Verordnungen:

Cyber Resilience Act (CRA):
Gilt für alle Produkte mit digitalen Elementen, die nicht unter die oben genannten vertikalen Vorschriften fallen. Es legt umfassende Cybersicherheitsstandards für verschiedene Sektoren fest.

Radio Equipment Directive (RED):
Läuft horizontal, parallel zur CRA. Die RED gilt speziell für Produkte, die Funkkommunikation nutzen (z. B. Wi-Fi-Geräte, Smartphones, Infotainment-Systeme und Auto-Funkschlüssel). Wenn keine der vertikalen Vorschriften anwendbar ist, kommen entweder die RED oder die CRA – oder manchmal auch beide – ins Spiel!

Vergleich von Umfang und Standards:

Rollen und Verantwortlichkeiten unter dem CRA:

Die Zuständigkeiten für Compliance variieren je nach Marktrolle:

• Lieferanten (Tier 1):
  Im Allgemeinen keine direkten rechtlichen Verpflichtungen gemäß UNECE R155, es sei denn, die Komponenten werden separat in Verkehr gebracht. In diesem Fall werden sie zu ‘Herstellern’ gemäß CRA.
• Hersteller:
  Vollständig verantwortlich für die Einhaltung der Vorschriften in der gesamten Wertschöpfungskette. Zu den größten Herausforderungen gehören eine komplexe Berichterstattung, eine umfassende Compliance-Sicherung und die Identifizierung von CRA-relevanten Produkten.
• Importeure & Händler:
  Sie müssen die Einhaltung der CRA-Richtlinien überprüfen und sich aktiv an den Kommunikationsprozessen beteiligen. Die größten Herausforderungen sind die genaue Identifizierung der regulierten Produkte und die Verwaltung der Compliance-Verantwortlichkeiten.

Cybersicherheitsvorschriften für Services und Dienstleistungen

Neben den Produkten befassen sich mehrere EU-Verordnungen speziell mit der Cybersicherheit bei Dienstleistungen und Services:

NIS-2-Richtlinie:
Erweiterung des ursprünglichen NIS-Standards. Legt strenge Cybersecurityregeln für kritische Infrastrukturen und wichtige Sektoren fest und legt den Schwerpunkt auf Risikomanagement, robuste Sicherheit der Lieferkette, umfassende Berichterstattung über Vorfälle und Verantwortlichkeit des Managements. Im Gegensatz zum Cybersecurity Act ist NIS-2 verbindlich und legt rechtsverbindliche Verpflichtungen fest, um ein hohes gemeinsames Niveau der Cybersicherheit in der EU zu gewährleisten.

Cybersecurity Act:
Bietet einen freiwilligen Rahmen für die Zertifizierung von IKT-Produkten, -Dienstleistungen und -Prozessen und fördert die Harmonisierung und Transparenz von Cybersecurity-Standards in der EU. Es fördert die branchenweite Übernahme bewährter Verfahren, ohne verbindliche Verpflichtungen aufzuerlegen.

Critical Entities Resilience (CER) Richtlinie:
Konzentriert sich auf die Stärkung der physischen Widerstandsfähigkeit kritischer Infrastrukturen, indem sie obligatorische Risikobewertungen und Resilienz-Planung vorschreibt. Während die CER-Richtlinie in erster Linie auf physische Bedrohungen abzielt, gilt sie oft für dieselben Organisationen wie die NIS2-Richtlinie, die sich auf die Cybersecurity konzentriert. Daher erfordert die Umsetzung beider Richtlinien in der Regel eine enge Abstimmung zwischen den zuständigen Behörden, um einen umfassenden Schutz zu gewährleisten und regulatorische Überschneidungen zu vermeiden.

General Data Protection Regulation (GDPR):
Konzentriert sich eher auf den individuellen Datenschutz als auf direkte Cybersecurity und wirkt sich auf den Umgang mit persönlichen Daten in allen Sektoren aus.

Digital Operational Resilience Act (DORA):
Zielt auf die Widerstandsfähigkeit des Finanzsektors gegen Cyber-Störungen ab, um die Stabilität und Kontinuität von Finanzdienstleistungen zu gewährleisten.

Schlussfolgerung: Skalierbare, kontinuierliche Cybersicherheit ist der Schlüssel

Angesichts der zunehmenden Zahl von Vorschriften sind kontinuierliche und skalierbare Cybersicherheitstests unerlässlich. Herkömmliche Penetrationstests können damit nicht Schritt halten – sie führen zu übermäßiger Arbeitsbelastung, fragmentierten Berichtsketten und steigenden Compliance-Kosten.

HydraVision bietet mehr als nur Vulnerability Detection: Es hilft Unternehmen, zwischen der schieren Menge der entdeckten Schwachstellen und den vergleichsweise wenigen Vorfällen, die tatsächlich ausnutzbar sind, zu unterscheiden. Diese Unterscheidung ist von entscheidender Bedeutung – sie ermöglicht es den Security Teams, das Rauschen zu durchdringen, die wirklich wichtigen Bedrohungen zu priorisieren und die Verschwendung von Ressourcen für Erkenntnisse ohne praktisches Risiko zu vermeiden.

Und all dies funktioniert auch bei einer großen Anzahl vernetzter Geräte, welche im Feld eingesetzt werden. HydraVision stellt fest, welche Produkte oder Konfigurationen betroffen sind, ermöglicht eine gezielte Meldung von Vorfällen und hilft Unternehmen, gesetzliche Auflagen effizient zu erfüllen – ohne unnötige Warnmeldungen für ganze Flotten auszulösen. Das Ergebnis: schlankere Prozesse und niedrigere Kosten.

Entfliehen Sie dem Irrgarten der Vorschriften – mit HydraVision!