Ziel des Cyber Resilliance Acts (CRA) ist es, ein einheitliches Cybersicherheitsniveau für Produkte mit digitalen Elementen zu schaffen. Hersteller sehen sich dabei mit einer Vielzahl an Pflichten konfrontiert, die weit über bisherige Anforderungen hinausgehen.
Einheitlicher Rechtsrahmen für Cybersicherheit
Der CRA gilt für nahezu alle Produkte mit digitalen Elementen, sofern sie direkt oder indirekt mit einem anderen Gerät oder Netzwerk kommunizieren können, Art. 2 Abs. 1 CRA. Er adressiert neben Herstellern auch Einführer, Händler und Verwalter quelloffener Software. Im Fokus dieses Beitrags stehen die Pflichten der Hersteller. Diese treffen einerseits Vormarktpflichten wie Einhaltung der Produktanforderungen und Organisations- und Dokumentationspflichten sowie Nachmarktpflichten, was unter anderem die Pflicht zur Produktbeobachtung, Tätigwerden bei Schwachstellen und Kooperations- und Informationspflichten umfasst.
Sicherheitsanforderungen an Produkte
Produkte dürfen keine bekannten ausnutzbaren Schwachstellen enthalten, wenn sie in den Verkehr gebracht werden. Die Anforderungen teilen sich in zwei Bereiche: Einerseits in produktspezifische Anforderungen (z. B. sichere Standardkonfiguration, Datenminimierung, Schutz vor unbefugtem Zugriff), andererseits in organisatorische Anforderungen im Bereich Schwachstellenmanagement. Letztere verpflichten Hersteller unter anderem zur Entwicklung und Anwendung einer Strategie zur koordinierten Offenlegung sowie zur unverzüglichen Behebung erkannter Schwachstellen.
Besondere Bedeutung kommt der Verpflichtung zur Bereitstellung sicherheitsbezogener Informationen und zuverlässiger Update-Mechanismen zu. Sicherheitsaktualisierungen müssen dabei unverzüglich, kostenlos und für mindestens zehn Jahre nach der Bereitstellung erfolgen. Eine automatische Installation ist vorzusehen, sofern dies technisch umsetzbar ist.
Pflichtenbündel für Hersteller im Überblick
Der CRA sieht für Hersteller eine klar strukturierte Reihe von Pflichten vor:
- Produktanforderungen: Produkte müssen sicher konzipiert sein (Anhang I Teil 1), dürfen keine bekannten Schwachstellen enthalten und müssen geeignete Schutzmechanismen aufweisen. Auch das Schwachstellenmanagement ist geregelt (Anhang I Teil 2).
- Dokumentations- und Informationspflichten: Hersteller müssen die Bewertung der Cybersicherheitsrisiken über den gesamten Lebenszyklus dokumentieren. Neben der technischen Dokumentation (Art. 31 CRA) gehören dazu Informationen zu Support-Zeiträumen, Kontaktstellen sowie Nutzerinformationen gemäß Anhang II. Die Konformität mit dem CRA ist durch ein Konformitätsbewertungsverfahren zu prüfen und zu dokumentieren (Art. 27 ff. CRA).
- Nachmarktpflichten: Hersteller müssen eine wirksame Behandlung gemeldeter Schwachstellen sicherstellen sowie Sicherheitsaktualisierungen innerhalb des Support-Zeitraums bereitstellen. Zudem besteht eine Verpflichtung zur Zusammenarbeit mit nationalen Meldestellen (z. B. BSI).
- Meldepflichten: Aktive Meldungspflichten bestehen bei ausgenutzten Schwachstellen und schweren Vorfällen. Die Meldung erfolgt gestaffelt: Frühwarnung binnen 24 Stunden, detaillierte Informationen binnen 72 Stunden, Abschlussbericht binnen eines Monats.
- Aufbewahrungspflichten: Technische Dokumentation, Nutzerinformationen und Konformitätserklärung sind für mindestens zehn Jahre nach Ende des Support-Zeitraums aufzubewahren.
- Transparenz gegenüber Nutzern: Nutzer müssen in klarer und verständlicher Weise über Cybersicherheitsmerkmale, Meldewege und geplante Sicherheitsupdates informiert werden. Auch eine Anlaufstelle für Schwachstellenmeldungen ist verpflichtend einzurichten.
Nachgelagerte Pflichten für Einführer und Händler
Importeure und Händler müssen sicherstellen, dass die von ihnen in Verkehr gebrachten Produkte mit digitalen Elementen den Vorgaben des CRA entsprechen. Dazu zählen insbesondere die Kontrolle der CE-Kennzeichnung, das Vorhandensein der Konformitätserklärung sowie die Erfüllung der Kennzeichnungspflichten.
Importeure, die ein Produkt unter eigenem Namen oder eigener Marke in den EU-Markt einführen, oder Händler, die wesentliche Änderungen am Produkt vornehmen, gelten als Hersteller im Sinne des CRA (Quasi-Hersteller) und unterliegen denselben umfassenden Pflichten, Art. 21 CRA. Damit kommt es nicht allein auf die technische Entwicklung an, sondern auch auf die Art des Vertriebs. Die Pflicht zur Beobachtung von Sicherheitsanforderungen und zur Zusammenarbeit mit den zuständigen Stellen kann sich somit auch auf nachgelagerte Wirtschaftsakteure erstrecken.