Einführung in den Cyber Resilience Act (CRA) und die NIS-Richtlinien der EU

Cyberangriffe sind mittlerweile und gerade in unserem digitalen Zeitalter, zu einer ständigen Bedrohung für Unternehmen und Verbraucher geworden. Um die Cybersicherheit zu stärken und die Widerstandsfähigkeit gegen solche Bedrohungen zu erhöhen, hat die Europäische Union den Cyber Resilience Act (CRA) sowie die Richtlinien zur Netzwerk- und Informationssicherheit (NIS und NIS2) eingeführt. In diesem Artikel fassen wir zusammen, was diese Richtlinien bedeuten, welche Ziele und Änderungen sie mit sich bringen und geben einen Überblick über die Anforderungen, Auswirkungen und Sanktionen.

Was ist der Cyber Resilience Act?
Der Cyber Resilience Act (CRA) ist eine Verordnung der Europäischen Union zur Verbesserung der Cybersicherheit von Produkten mit digitalen Komponenten. Diese Verordnung soll Mitte 2024 verabschiedet werden und zielt darauf ab, grundlegende Anforderungen an die Sicherheit und den Umgang mit Schwachstellen sowie Meldepflichten für Cybervorfälle festzulegen.

Ziele des CRA
Um die Cybersicherheit in der Europäischen Union nachhaltig zu verbessern, setzt der Cyber Resilience Act (CRA) mehrere Hauptziele:

• Stärkung der Cybersicherheit in der EU.
• Schutz von Verbrauchern und Unternehmen vor Cyberangriffen.
• Festlegung von Sicherheitsstandards für alle Produkte mit digitalen Elementen.
• Förderung einer koordinierten Reaktion auf Cybervorfälle.

Geltungsbereich und betroffene Produkte
Der CRA betrifft nahezu alle Produkte mit digitalen Elementen, die vernetzt sind und nicht bereits durch andere Regulierungen abgedeckt werden. Zu den betroffenen Kategorien gehören beispielsweise:

• Klasse I Produkte: Passwortmanager, Antivirenprogramme, VPNs, Router.
• Klasse II Produkte: Hypervisoren, Firewalls, Container-Runtime, manipulationssichere Microcontroller
• Kritische Produkte: Hardware-Sicherheitsmodule (HSM), Smart-Meter-Gateways, Chipkarten.
• Sonstige Produkte: Die Mehrheit der Produkte, die unter keine spezifische Kategorie fallen (laut der EU-Kommission circa 90 Prozent).

Anforderungen und Umsetzung
Der Cyber Resilience Act (CRA) umfasst mehrere wesentliche Anforderungen zur Verbesserung der Cybersicherheit. Zunächst müssen Produkte grundlegende Sicherheitsstandards erfüllen. Außerdem sind Unternehmen sind dazu verpflichtet, ein effektives Schwachstellenmanagement einzuführen, das die Identifikation, Dokumentation und Behebung von Schwachstellen sowie die Bereitstellung von Sicherheitsupdates (unverzüglich und kostenlos) umfasst. Schwerwiegende Cybervorfälle müssen innerhalb von 24 Stunden gemeldet werden, gefolgt von detaillierten Meldungen innerhalb von 72 Stunden. Ein Abschlussbericht inklusive Korrekturmaßnahmen soll daraufhin innerhalb von 14 Tagen folgen.

Zusätzlich zu diesen Maßnahmen ist es erforderlich, dass Unternehmen umfassende technische Dokumentationen und Risikoanalysen erstellen und die Produkte eine CE-Kennzeichnung erhalten, die die Einhaltung der Cybersicherheitsanforderungen bestätigt.

Rollen und Verantwortlichkeiten
Im Rahmen des Cyber Resilience Act (CRA) spielen verschiedene Akteure entscheidende Rollen und tragen spezifische Verantwortlichkeiten. Die Europäische Agentur für Cybersicherheit (ENISA) übernimmt eine zentrale Rolle, indem sie die EU-Mitgliedstaaten und Institutionen in Cybersicherheitsfragen unterstützt und die Entwicklung und Förderung von Sicherheitsstandards vorantreibt. Dabei unterstützt wird sie von den Computer Security Incident Response Teams (CSIRTs), wie dem CERT Bund in Deutschland, die auf Cybervorfälle reagieren und bei IT-Sicherheitsvorfällen Unterstützung leisten. Zudem sind nationale Cybersicherheitsbehörden, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Deutschland, sind für die Durchsetzung der CRA-Bestimmungen und die Überwachung der Einhaltung von Sicherheitsstandards auf nationaler Ebene verantwortlich. Akkreditierungsstellen, wie die Deutsche Akkreditierungsstelle (DakkS), akkreditieren die Prüfstellen, die die Einhaltung der CRA-Anforderungen überprüfen, und stellen sicher, dass diese Stellen kompetent und in der Lage sind, Bewertungen und Prüfungen gemäß den festgelegten Standards durchzuführen.

Welche Sanktionen sind vorgesehen?
Bei Verstößen gegen die Bestimmungen des CRA können erhebliche Sanktionen verhängt werden. Unternehmen, die gegen die Herstellerpflichten verstoßen, müssen mit Strafen von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes rechnen. Für falsche Angaben können Strafen von bis zu 5 Millionen Euro oder 1 % des weltweiten Jahresumsatzes verhängt werden. Zudem können Händler oder Importeure, die gegen die Vorschriften verstoßen, mit Strafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes belegt werden. Diese Sanktionen unterstreichen die Bedeutung der Einhaltung der Cybersicherheitsanforderungen und sollen Unternehmen dazu anhalten, ihre Produkte und Prozesse kontinuierlich zu verbessern und zu sichern.

Neben dem CRA spielen auch die NIS- und NIS2-Richtlinien eine entscheidende Rolle in der Cybersicherheitsstrategie der EU. Die NIS- und NIS2-Richtlinien sind europäische Vorschriften zur Stärkung der Cybersicherheit und zum Schutz kritischer Infrastrukturen in der Europäischen Union. Die ursprüngliche NIS-Richtlinie wurde 2016 eingeführt und durch die NIS2-Richtlinie im Jahr 2022 erweitert und aktualisiert.

Ziele und Anforderungen der NIS-Richtlinien
Die NIS-Richtlinie zielt darauf ab, ein hohes gemeinsames Sicherheitsniveau von Netzwerk- und Informationssystemen in der EU zu gewährleisten. Die wichtigsten Punkte umfassen:

• Regulierung kritischer Infrastrukturen (KRITIS): Unternehmen in Sektoren wie Energie, Verkehr, Banken und Gesundheitswesen müssen strenge Sicherheitsmaßnahmen einhalten.
• Nationale Strategien: Mitgliedsstaaten müssen nationale Cybersicherheitsstrategien entwickeln und umsetzen.
• Meldepflichten: Unternehmen müssen schwerwiegende Sicherheitsvorfälle melden.

Die NIS2-Richtlinie erweitert den Anwendungsbereich und die Anforderungen:

• Erweiterter Geltungsbereich: Neben kritischen Infrastrukturen werden auch wesentliche und wichtige Einrichtungen abgedeckt.
• Risikomanagement und Meldepflichten: Unternehmen müssen umfassendere Risikomanagementprozesse einführen und strengere Meldepflichten einhalten.
• Einführung von CSIRTs: Jedes Mitgliedsland muss ein Computer Security Incident Response Team (CSIRT) benennen und einen Single Point of Contact (SPOC) für die länderübergreifende Koordination einrichten.

Auswirkungen und Umsetzung der NIS2-Richtlinie
Die NIS2-Richtlinie muss bis zum 18. Oktober 2024 in nationales Recht umgesetzt werden. In Deutschland ist dies noch nicht vollständig geschehen, wobei der letzte Entwurf vom Mai 2024 stammt. Die Richtlinie fordert, dass kleinere und mittlere Unternehmen (KMUs) ebenfalls Maßnahmen ergreifen müssen, wenn sie Teil der Lieferkette von kritischen oder wesentlichen Einrichtungen sind.

Insgesamt stellen der Cyber Resilience Act und die NIS-Richtlinien zentrale Bestandteile der Cybersicherheitsstrategie der EU dar und setzen klare Standards und Anforderungen, um die Sicherheit von digitalen Produkten und Informationssystemen gegenüber Cyberbedrohungen zu stärken und zu erhöhen.

Unternehmen müssen sich dabei auf umfassende Sicherheitsmaßnahmen einstellen, um den neuen gesetzlichen Anforderungen gerecht zu werden und sich gegen die zunehmenden Bedrohungen im Cyberraum zu schützen. Die Einhaltung dieser Regelungen soll nicht nur die Sicherheit erhöhen, sondern auch das Vertrauen der Verbraucher in digitale Produkte und Dienstleistungen stärken. In Kraft treten wird der CRA voraussichtlich in der zweiten Hälfte des Jahres 2024 und soll von den betroffenen Herstellern und Unternehmen bis 2027 umgesetzt werden.

Schlussendlich wird der Erfolg dieser Regelungen entscheidend davon abhängen, wie effektiv sie implementiert und durchgesetzt werden können, um sowohl Verbraucher als auch Unternehmen in Europa zu schützen.