Mit großer Sicherheit werden Sie alle mit den neuen Regeln des im September 2022 vorgeschlagenen Cyber Resilience Acts (CRA) konfrontiert werden. Betroffen sind Produkte mit digitalen Elementen. Damit sind nach Artikel 3 der Verordnung vereinfacht gesagt sowohl Software- als auch Hardwareprodukte und deren Datenverarbeitungslösung gemeint, ohne die das Produkt seine Funktionen nicht erfüllen könnte. Diese Produkte sollen nun im Rahmen des New Legislative Frameworks einem Konformitätsbewertungsverfahren und einer behördlichen Marktüberwachung unterworfen werden.
Das heißt: Die EU schreibt vor, dass nur cybersichere Produkte in Verkehr gebracht werden dürfen. Ob das Produkt sicher ist, wird von einer akkreditierten Stelle geprüft. Das Produkt bekommt anschließend das CE-Kennzeichen, zudem wird eine EU-Konformitätserklärung ausgestellt. Es wird – wie im EU-Maschinenrecht – auch wieder harmonisierte technische Normen geben, deren Befolgung zur Vermutung der Konformität des Produkts mit den Vorschriften des CRA führt. Dadurch wird die strenge und teure Überprüfung durch die akkreditierten Stellen unnötig. Diese technischen Normen werden aktuell erfreulicherweise schon im CEN/Cenelec JTC 13 ‚Cybersecurity and Data Protection‘ erarbeitet. Verstöße gegen die Regeln dieser Verordnung können dann zu hohen Geldbußen oder auch zur Rücknahme des Produkts vom Markt führen.
Konkret bedeutet das für Sie als Hersteller von Maschinen und Anlagen mit digitalen Elementen, dass nach Artikel 13 des CRA Unmengen an neuen Pflichten auf Sie zukommen werden. So müssen die Produkte zunächst ein in Anhang I Teil I der Verordnung näher umschriebenes, angemessenes Cybersicherheitsniveau gewährleisten. Weiter muss eine Bewertung der Cybersicherheitsrisiken sorgfältig durchgeführt und technisch dauerhaft dokumentiert werden. Bei der Integration freier und quelloffener Software Dritter gilt nun eine Sorgfaltsanforderung, damit die Cybersicherheit des Produkts nicht beeinträchtigt wird. Weiter trifft Sie als Hersteller nicht nur eine Meldepflicht, wenn Sie eine Sicherheitsschwachstelle feststellen: Sie sind sogar während des Unterstützungszeitraumes des Geräts dazu verpflichtet, jene etwa durch eine Aktualisierung zu beheben. Für diese kurze Auflistung zuletzt, aber noch lange nicht abschließend, muss das Konformitätsbewertungsverfahren durchgeführt werden.
Das ist erstmal viel. Allerdings kann ich Sie teilweise beruhigen. Davon betroffen sind nur sogenannte wichtige Produkte mit digitalen Elementen. Hierzu gibt es eine Liste in Anhang III der Verordnung; nach Artikel 7 CRA muss das Produkt die Kernfunktion einer Produktkategorie dieser Liste aufweisen, um als wichtig zu gelten. Beispielhafte Produktgruppen sind Router sowie Mikroprozessoren und Mikrocontroller mit sicherheitsrelevanten Funktionen. Darüber hinaus gelten noch strengere Anforderungen für kritische Produkte mit digitalen Elementen, etwa Hardwaregeräte mit Sicherheitsboxen oder Chipkarten. Solche benötigen nach Artikel 8 CRA ein europäisches Cybersicherheitszertifikat mit mindestens der Vertrauenswürdigkeitsstufe mittel.
Ob die EU mit diesem Monstrum an Regelwerk tatsächlich ihr Ziel der Cyberresilienz erreichen- und den Schutz der Wirtschaft, Demokratie und der Sicherheit und Gesundheit von Verbrauchern fördern wird, muss sich in der Zukunft zeigen. Was jetzt zählt, ist, dass der Umfang der aus diesem Regelwerk hervorgehenden Pflichten verdaut und die Notwendigkeit zur unternehmensinternen Umsetzung erkannt wird.
Hochachtungsvoll, Ihr
Thomas Klindt