EU Cyber Resilience Act – ein Schritt zu sicheren Produkten

Für Herbst 2024 wird erwartet, dass der EU Cyber Resilience Act (CRA) in Kraft tritt. Produkte mit digitalen Elementen müssen dann ab Herbst 2027 die neuen Cybersicherheitsanforderungen einhalten. Die Konformität wird durch das CE-Kennzeichen bestätigt. Produkte, die den CRA nicht erfüllen, dürfen – außer als Ersatzteile – nicht mehr auf dem Markt bereitgestellt werden.

„Produkte mit digitalen Elementen“ sind alle Produkte, die digitale Daten verarbeiten, speichern oder übertragen können. Betroffen sind alle diese Produkte, die in der Lage sind, mit anderen Netzwerken und Geräten zu kommunizieren. Kommunikation bedeutet hier drahtlos, drahtgebunden, optisch oder mechanisch. Es sind also sehr viele Produkte betroffen; schon eine einfache Computermaus fällt unter den CRA.

Die zu erfüllenden wesentlichen Anforderungen sind im Anhang I des CRA zu finden. Risikobasiert sind Sicherheitsanforderungen vom sicheren Auslieferungszustand, über Zugriffsschutz und Integrität, bis zur Verfügbarkeit zu erfüllen. Sind Risiken nach einer Analyse nicht relevant, kann dies dokumentiert werden, und die jeweiligen Anforderungen können entfallen. So wird die genannte Computermaus weniger betroffen sein.

Weitere Pflichten ergeben sich bei der Behandlung von Schwachstellen über den Support-Zeitraum, die ohne Verzug behoben werden müssen. Hier werden Updates bereitgestellt werden müssen, um das Produkt wieder in einen CRA-konformen Zustand zu versetzen. Den Support-Zeitraum muss der Hersteller vor dem Kauf zusagen. Er muss sich an der Lebenszeit des Produkts im Einsatz orientieren und mindestens fünf Jahre betragen.

Aktiv ausgenutzte Schwachstellen und Vorfälle, die die Cyber-Sicherheit von Produkten beeinträchtigen könnten, z. B. kompromittierte Update-Server, müssen kurzfristig an die zuständigen Behörden gemeldet werden.

Eine besondere Herausforderung wird die Konformitätsbewertung darstellen, ohne die Produkte nicht mehr auf dem Markt bereitgestellt werden dürfen. Es gibt aktuell noch keine harmonisierten Europäischen Normen (hEN), deren Einhaltung die Konformitätsvermutung begründen würde. Für die meisten Produkte wird zwar formal keine hEN benötigt.

Trotzdem bleibt für den Hersteller die Frage, wie er den Stand der Technik belegen kann. Für wichtige Produkte ist entweder eine hEN notwendig (Produkte der Klasse I) oder die Prüfung durch eine benannte Stelle (Klasse II). Für Produkte der Klasse I ergibt sich ohne hEN auch eine Drittstellenpflicht.

Für die Konformität sind die Eigenschaften des fertigen Produkts relevant. Ein sicherer Entwicklungsprozess wird entsprechend diesem Konzept nicht ausdrücklich verlangt. Es dürfte aber schwierig sein, ohne entsprechende Prozesse sichere Produkte zu entwickeln und zu pflegen.

In der Automatisierungstechnik hat sich die IEC 62443 als geeigneter Standard für Cyber-Sicherheit etabliert. Die Teile 4-1 (Prozess) und 4-2 (technische Produkteigenschaften) sind eine gute Basis für die Umsetzung des CRA. Eine Weiterentwicklung durch eine „Common Modification“ könnte es ermöglichen, eine entsprechende hEN mit Konformitätsvermutung zu entwickeln. Entsprechende Aktivitäten sind bei Cenelec gestartet.