Die Kommission wagt sich an die Normierung eines verbindlichen horizontalen Regulierungsrahmens zur Cybersicherheit vernetzter Geräte. Eine Übersicht.
Die Europäische Kommission hat am 19. September 2022 ihren Vorschlag für eine Verordnung über horizontale Cybersicherheitsanforderungen für digitale Produkte (sog. Cyber Resilience Act, kurz: CRA) veröffentlicht. Durch die Verordnung sollen unionsweit verbindliche Cybersicherheitsanforderungen für „Produkte mit digitalen Elementen“ eingeführt werden.
Ein wesentliches Puzzleteil der Europäischen Cybersicherheitsstrategie
Der Entwurf des CRA (CRA-E) stellt einen weiteren Baustein der europäischen Cybersicherheitsstrategie dar. Ziel der Strategie ist es ist, die Widerstandsfähigkeit Europas gegenüber Cyberangriffen zu stärken und zu gewährleisten, dass alle Bürger* und Unternehmen in vollem Umfang von vertrauenswürdigen und zuverlässigen digitalen Diensten profitieren können. Hierzu soll das europäische Cybersicherheitsniveau in den Bereichen kritische Infrastrukturen, kritische Einrichtungen sowie Produkte und Dienste gestärkt werden.
Im Bereich der produktbezogenen Regulierung folgt die Veröffentlichung des CRA-E auf die Normierung eines rechtlichen Rahmens zur Etablierung freiwilliger europäischer Zertifizierungsschemata (in Gestalt des Europäischen Rechtsaktes zur Cybersicherheit) und die Definition von Gerätekategorien unter der Funkanlagenrichtlinie, für die ab dem 1. August 2024 verbindliche Cybersicherheitsanforderungen gelten sollen.
Dem Anwendungsbereich der Funkanlagenrichtlinie entsprechend werden von den vorgenannten Anforderungen nur Geräte erfasst, die (zumindest auch) drahtlos kommunizieren können. Vernetzte, ausschließlich kabelgebundene Geräte werden diesen erstmals verbindlichen Cybersicherheitsvorgaben nicht unterliegen. Hierin zeigt sich sogleich auch eine Schwäche des bisherigen vertikalen Regulierungsansatzes. Verbindliche Cybersicherheitsanforderungen wurden – soweit man datenschutzrechtliche Vorgaben ausblendet – bis dato ausschließlich in technologie- oder produktgruppenbezogenen Rechtsakten adressiert, wie bspw. unter der Funkanlagenrichtlinie, der bestehenden Verordnung für Medizinprodukte oder der geplanten Verordnung über Maschinenprodukte.
Schutzlücken sind in einer solchen vertikalen Regulierungslandschaft – gerade angesichts der schnelllebigen Innovationszyklen und zunehmenden Konvergenz im Bereich vernetzter Geräte – unvermeidbar.
Weitreichender horizontaler Anwendungsbereich des CRA: Hardware, Software und die Cloud
Diese Schwäche soll durch den CRA behoben werden. Seinem horizontalen Charakter entsprechend soll der CRA mit wenigen Ausnahmen auf alle „Produkte mit digitalen Elementen“ Anwendung finden, deren bestimmungsgemäße oder vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netzwerk beinhaltet. Die Frage der technischen Realisierung der Datenverbindung oder die Einordnung in eine bestimmte Produktgruppe spielen unter dieser technologieneutralen Ausgestaltung des CRA-E keine Rolle mehr.
Gem. der Legaldefinition in Art. 3 Abs. 1 CRA-E soll als „Produkt mit digitalen Elementen“ jede Software oder Hardware, einschließlich zugehöriger Datenverarbeitungslösungen in der Cloud, gelten. Und auch Software- und Hardware-Komponenten, die separat in den Verkehr gebracht werden, sollen in den Anwendungsbereich des CRA fallen.
Software als eigenständiges Produkt
Neben der Hardware und der integrierten Software (sog. embedded software) vernetzter Geräte soll der CRA auch sog. Stand-alone-Software erfassen. Die Kommission begründet dies damit, dass nicht integrierte Software häufig Schwachstellen aufweise und nur durch die Aufnahme auch dieser Software ein kohärenter Ansatz für alle Produkte mit digitalen Elementen mit einer klaren Aufteilung der Verantwortlichkeiten der verschiedenen Wirtschaftsakteure gewährleistet werden könne.
Demnach sollen künftig bspw. auch einzelne Apps, die eine logische oder physische Datenverbindung zu einem anderen Gerät oder Netzwerk herstellen (können), verbindlichen Cybersicherheitsanforderungen nach dem CRA unterliegen. Dieser breite Anwendungsbereich ist aus Cybersicherheitsgesichtspunkten zielführend, um ein möglichst lückenloses Schutzniveau zu gewährleisten. Sofern er Realität wird, wird er gleichzeitig zu einer signifikanten Ausweitung der CE-Regulierung auf Software und deren Hersteller führen.
Auch Cloud-Lösungen im Anwendungsbereich
Hinsichtlich der Anwendung des CRA auf Datenverarbeitungslösungen in der Cloud nimmt die Kommission eine wesentliche Einschränkung vor. Derartige Dienste sollen grds. nicht erfasst werden, es sei denn, die Cloud-Lösung wurde vom Hersteller des betreffenden Produkts oder unter der Verantwortung dieses Herstellers entworfen und entwickelt und das Fehlen des Dienstes würde zum Wegfall einer Funktion des Produktes führen.
Soweit Cloud-Dienste diese Anforderungen erfüllen, ist eine künftige Doppelregulierung dieser Dienste unter dem CRA und der NIS-2-Richtlinie denkbar, die mit einer nicht unerheblichen Komplexitätssteigerung für die betroffenen Anbieter verbunden sein dürfte.
Hersteller, Importeure und Vertreiber in der Pflicht
Der Konzeption des New Legal Framework folgend nimmt der CRA-E die Marktakteure Hersteller, Importeur und Vertreiber in die Pflicht. Wie gewohnt richtet sich der primäre und umfangreichste Pflichtenkatalog an die Hersteller von Produkten mit digitalen Elementen, während Importeuren und Vertreibern überwiegend Prüfpflichten auferlegt werden.
Design, Entwicklung und Fertigung in Einklang mit verbindlichen Cybersicherheitsanforderungen
Hersteller sollen nach dem CRA-E künftig verpflichtet sein, sicherzustellen, dass ihre Produkte im Einklang mit den in Annex I Abschnitt 1 CRA-E aufgeführten, grundlegenden Cybersicherheitsanforderungen designt, entwickelt und gefertigt wurden.
Ausgangspunkt dieser zentralen und ergebnisbezogenen Verpflichtung soll eine vom Hersteller durchgeführte produktbezogene und dokumentierte Risikobewertung sein, die sich – einschließlich der Phasen der Planung, des Designs, der Entwicklung, der Fertigung, der Lieferung und der Wartung – auf den gesamten Lebenszyklus des Produktes erstreckt. Soweit Drittkomponenten integriert werden, sieht der CRA-E zusätzlich eine Verpflichtung der Hersteller vor, eine Due Diligence durchzuführen, um sicherzustellen, dass die zugekauften Komponenten die Sicherheit der eigenen Produkte nicht beeinträchtigen.
Fortlaufende Identifikation und Dokumentation relevanter Cybersicherheitsaspekte und Behebung von Sicherheitslücken
Gleichzeitig sollen Hersteller von Produkten mit digitalen Elementen künftig verpflichtet sein, relevante Cybersicherheitsaspekte fortlaufend und systematisch zu identifizieren und zu dokumentieren. Soweit Auswirkungen neu gewonnener Erkenntnisse auf die bisherige Risikobewertung anzunehmen sind, soll diese von den Herstellern angepasst werden müssen.
Darüber hinaus sieht der CRA-E eine Verpflichtung der Hersteller vor, mit Sicherheitslücken über den gesamten Produkt-Lebenszyklus oder über einen Zeitraum von fünf Jahren ab Inverkehrbringen (je nachdem, welcher Zeitraum kürzer ist) „effektiv umzugehen“ (engl. Wortlaut im Entwurf: to be handled effectively). Dies schließt eine risikobezogene Verpflichtung der Hersteller ein, Sicherheitslücken in diesem Zeitraum unverzüglich (insbesondere mittels bereitgestellter Updates) zu beheben. Um dies zu gewährleisten, fordert der CRA-E vor allem die herstellerseitige Implementierung angemessener interner Prozesse zur Bearbeitung und Behebung von (potenziellen) Sicherheitslücken, einschließlich der Einrichtung einer Kontaktstelle zur Meldung von Schwachstellen.
Informations- und Instruktionspflichten: Mehr Cybersicherheitstransparenz
Zusätzlich zu den vorgenannten Verpflichtungen, die primär auf eine materielle Anhebung des Sicherheitsniveaus abzielen, verfolgt die Europäische Kommission mit dem CRA das Ziel, eine erhöhte Transparenz hinsichtlich der Sicherheitsmerkmale von „Produkten mit digitalen Elementen“ auf Nutzerseite zu schaffen. Kunden bzw. Nutzern soll so ermöglicht werden, cybersicherheitsrelevante Eigenschaften bei der Auswahl und Nutzung von Produkten stärker als bisher zu berücksichtigen.
Zu diesem Zweck sollen Hersteller künftig verpflichtet sein, ihren Produkten die in Annex II CRA-E aufgeführten Informationen und Instruktionen, wie bspw. Informationen zu wesentlichen cybersicherheitsrelevanten Funktionen und Eigenschaften des Produkts, Informationen zu der Art und Dauer des technischen Cybersicherheitssupports des Herstellers sowie Angaben zur Kontaktstelle in elektronischer oder physischer Form, beizufügen.
Meldepflichten im Fall von ausgenutzten Sicherheitslücken und Cybersicherheitsvorfällen
Flankiert werden die vorgenannten Pflichten von herstellerseitigen Meldepflichten für die Fälle einer aktiv ausgenutzten Sicherheitslücke oder eines Cybersicherheitsvorfalls. In beiden Varianten ist nach dem CRA-E unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden die Agentur der Europäischen Union für Cybersicherheit (ENISA) zu informieren. Bei einem Sicherheitsvorfall sollen zudem unverzüglich die Nutzer des Produktes über den Vorfall und etwaige Abhilfemaßnahmen, die die Nutzer ergreifen können, informiert werden müssen.
Sofern ein Hersteller eine Sicherheitslücke in einer Komponente entdeckt, soll er nach den neuen Vorgaben außerdem dazu verpflichtet sein, die für die Wartung der Komponente zuständige Person bzw. Einrichtung hierüber zu informieren.
Konformitätsbewertungsverfahren: Verpflichtende Einbindung notifizierter Stellen bei kritischen Produkten
Erwähnenswerte Vorgaben enthält der CRA-E schließlich auch hinsichtlich des durchzuführenden Konformitätsbewertungsverfahrens. Der Entwurf der Kommission sieht insofern ein nach Kritikalitätsklassen abgestuftes System vor.
Für unkritische Produkte mit digitalen Elementen soll es dem Hersteller offenstehen, auf die interne Fertigungskontrolle (Modul A), die EU-Baumusterprüfung (Modul B) mit Prüfung der Konformität mit dem Baumuster auf der Grundlage einer internen Fertigungskontrolle (Modul C) oder die umfassende Qualitätssicherung (Modul H) zurückzugreifen.
Für kritische Produkte, die wiederum in die Kritikalitätsklassen I und II unterteilt werden, normiert der CRA-E Einschränkungen. So soll das Verfahren der internen Fertigungskontrolle für Produkte der Kritikalitätsklasse I nur bei lückenloser Anwendung harmonisierter Normen, gemeinsamer Spezifikationen oder europäischer Zertifizierungsschemata für Cybersicherheit angewendet werden können. Diese Einschränkung gilt z.B. für Browser, Passwort-Manager, Antiviren-Software, SIEM, Firewalls und Router für den privaten Gebrauch.
Das Konformitätsbewertungsverfahren für Produkte der höchsten Kritikalitätsklasse II (hierunter fallen etwa Betriebssysteme für Server, Desktops und mobile Geräte, Public-Key-Infrastrukturen, Firewalls und Router für gewerbliche Zwecke sowie Smart Meter) ist schließlich zwingend unter Beteiligung einer notifizierten Stelle durchzuführen: Für diese Produkte sollen den Herstellern nach dem CRA-E ausschließlich die Verfahren der EU-Baumusterprüfung (Modul B) mit Prüfung der Konformität mit dem Baumuster auf der Grundlage einer internen Fertigungskontrolle (Modul C) oder der umfassenden Qualitätssicherung (Modul H) zur Verfügung stehen.
CRA-Entwurf mit Potential und Herausforderungen
Mit ihrem CRA-E wagt sich die Europäische Kommission erstmals an die Normierung eines umfassenden, verpflichtenden Regulierungsrahmens zur Stärkung der Cybersicherheit vernetzter Geräte heran. Nicht zuletzt aufgrund des weit gefassten Anwendungsbereichs und des umfangreichen an die Hersteller entsprechender Produkte adressierten Pflichtenkataloges hat der CRA‑E auf den ersten Blick durchaus das Potential, das unionsweite Cybersicherheitsniveau signifikant zu stärken.
Auf Herstellerseite ist zu erwarten, dass die Umsetzung der im CRA-E vorgesehenen Verpflichtungen einen erheblichen Aufwand erfordern und eine Vielzahl von Herausforderungen mit sich bringen wird. Dies gilt neben der Durchführung, Dokumentation und fortlaufenden Aktualisierung produktspezifischer Risikobewertungen sowie der Implementierung der in technischen Spezifikationen festzulegenden konkreten Cybersicherheitsvorgaben im Besonderen für die im CRA-E geforderte Erkennung und Behebung von Sicherheitslücken über den gesamten Produkt-Lebenszyklus hinweg.
Doch noch ist es bis dahin ein weiter Weg. Es bleiben zunächst der weitere Gang des Gesetzgebungsverfahrens und die Positionierung des Europäischen Parlamentes und Rates zu dem Entwurf der Europäischen Kommission abzuwarten.
*Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.
