Aktuelle Cyberangriffe sind längst nicht mehr mit denen zu vergleichen, die noch vor einigen Jahren für Schlagzeilen sorgten. Was damals einer Katastrophe glich, ist heute fast schon alltäglich und somit keinen gesonderten Kommentar mehr wert. Die Angriffe von früher locken bei modernen Sicherheitsexperten somit oft nur noch ein müdes Lächeln hervor, denn ihre aktuellen Herausforderungen im IT-Alltag sehen gänzlich anders aus und haben oft schwerwiegende Auswirkungen auf die Sicherheit von Unternehmen oder die jeweilige Geschäftskontinuität. Nun kommt der EU Cyber Resilience Act, der für mehr digitale Sicherheit sorgen soll, indem er auch modernen Gefahren gerecht wird. Der Kern des Ganzen ist eine Art gesetzliche Grundlage, die Unternehmen dazu zwingt, nur noch IT-Produkte mit besonders hohen Sicherheitsstandards einzusetzen. Doch was auf dem Papier erst einmal relativ gut klingt, hat wie so oft viele verschiedene Besonderheiten, über die gerade Unternehmen vorab bestens Bescheid wissen sollten.
Damit Sie sich in Ihrem Unternehmen also nicht zu spät informieren und auf dem Laufenden bleiben, haben wir in unserem Artikel die wichtigsten Fakten zum Thema für Sie zusammengefasst. Schauen wir uns den EU Cyber Resilience Act also einmal genauer an und beleuchten, was auf Ihr Unternehmen zukommen wird, wenn das EU-Gesetz der Cyberresilienz in Kraft tritt.
Was genau ist der Cyber Resilience Act?
Mit dem Cyber Resilience Act führt die EU eine europaweite Rechtsvorschrift ein, die eine Cyberresilienz von allen Produkten mit digitalen Elementen fordert. Die Cyberresilienz bezieht sich dabei auf die Fähigkeit eines Systems, Cyberangriffe entsprechend zu erkennen, darauf zu reagieren und sich vor den Auswirkungen dieser Angriffe zu schützen. Sie ist ein wichtiger Aspekt der Cybersicherheit und zielt darauf ab, die Widerstandsfähigkeit von Unternehmen gegenüber Cyberbedrohungen entsprechend zu stärken.
Der Cyber Resilience Act sorgt nun dafür, dass diese gängige Praxis zur absoluten Pflicht wird. Die EU begründet diese gesetzliche Pflicht damit, dass Sicherheitsrisiken im IT-Bereich deutlich zunehmen, wohingegen die IT selbst im Zuge der Digitalität immer mehr Bedeutung gewonnen hat. Da es kaum noch ohne IT-Systeme geht, soll mit dem Cyber Resilience Act EU-weit dafür gesorgt werden, dass die notwendigen Sicherheitsmaßnahmen integriert und somit weitläufig vorhanden sind. In jedem Unternehmen und jeder Branche.
Laut Europa ist die digitale Landschaft derzeit sogar derart gefährlich, dass alle elf Sekunden ein Ransomware-Angriff stattfindet. Diese Angriffe verursachen zum Teil Milliarden an Kosten und richten ungeahnten Schaden an. Zur Bekämpfung der Cyberkriminalität auf gesetzlicher Basis wurde daher der Cyber Resilience Act ins Leben gerufen.
Wer ist betroffen?
Wer jetzt befürchtet, mit jeder kleinen Website und jedem kleinen Dienst unter den Cyber Resilience Act zu fallen und gesetzliche Verpflichtungen auferlegt zu bekommen, der irrt sich glücklicherweise. Solche Dienste fallen gar nicht erst unter den Cyber Resilience Act. Betroffen sind Produkte mit digitalen Elementen (Hard- und Software sowie Funkanlagen), die über den europäischen Binnenmarkt laufen. Cloud-Anbieter und Ähnliches sind davon also nicht betroffen, da sie mit der NIS-2-Richtlinie eigene Regelungen seitens der EU bekommen haben.
Verantwortlich sind hier also Hersteller und Vertreiber von Produkten mit digitalen Elementen, wie auch Importeure und Händler von IT-Produkten. Diese haben nun erweiterte und strengere Sicherheitspflichten zu beachten und auch zwingend einzuhalten. Die EU hat dabei ein besonderes Augenmerk auf die häufig fehlenden Sicherheitsupdates und die schwierige Kommunikation, wenn es um einen transparenten Umgang mit Sicherheitslücken und Schwachstellen geht. Genau hier soll der Cyber Resilience Act, also das EU-Gesetz der Cyberresilienz, entsprechende Wirkung zeigen.
Wie wirkt sich der Cyber Resilience Act aus?
Wie zuvor schon angedeutet, geht es der EU dabei vor allem um einen transparenteren Umgang. Dieser wiederum soll mehr Bewusstsein schaffen und Hersteller dazu zwingen, entsprechende Vorsorgemaßnahmen umzusetzen. Insbesondere dann, wenn es um regelmäßige Sicherheitsupdates geht, aber auch im Bereich der Cybersicherheitsmaßnahmen im Allgemeinen, die bereits im Zuge der Herstellung solcher Produkte beachtet werden können.
So sieht der Gesetzentwurf für den Cyber Resilience Act vor, dass unter anderem eine umfangreiche Dokumentationspflicht für Cybersicherheitsrisiken besteht. Auch eine Meldepflicht für bereits ausgenutzte Schwachstellen wird mit dem Cyber Resilience Act bestehen. Außerdem soll die Cybersicherheit bereits in der Planungs-, Entwurfs-, Entwicklungs-, Produktions-, Liefer- und Wartungsphase besondere Beachtung erhalten, und zwar verpflichtend für die jeweiligen verantwortlichen Stellen.
Die zu erwartende Produktlebensdauer sieht dabei maximal fünf Jahre vor, in denen eine vollumfängliche Überwachungs- und Beseitigungspflicht von Sicherheitslücken besteht. Sicherheitsupdates für mindestens fünf Jahre müssen den Kunden also zur Verfügung gestellt werden. Nebenbei gibt es dann auch noch eine Pflicht, die eine klare und verständliche Gebrauchsanweisung voraussetzt. Ähnlich wie bei der DSGVO, wo es inzwischen Pflicht wurde, den Datenschutz in klaren und verständlichen Worten wiederzugeben, sodass ihn jeder verstehen kann.
Welche Maßnahmen werden für Unternehmen erforderlich?
Im Grunde ist die Sache mit dem Cyber Resilience Act gar nicht so kompliziert und für Europa ist eine derartige Gesetzgebung sicherlich auch ein wichtiger Schritt in die Zukunft. Für Unternehmen jedoch wird durch den Cyber Resilience Act eine Cyber-Risikoanalyse erforderlich. Diese wird unumgänglich sein, da die Verantwortung für die Cybersicherheit vom Nutzer auf den Hersteller bzw. Händler übergeht. Ein wichtiger Punkt, der ein vollständiges Umdenken der jeweiligen Parteien erfordert.
Produkte mit digitalen Elementen werden von der EU und per Gesetz in drei verschiedene Kategorien unterteilt. Demzufolge fallen fast alle Geräte (etwa um die 90 Prozent) in die Standardkategorie. Dazu gibt es noch die kritische Klasse I und die kritische Klasse II. In der Standardkategorie landen digitale Geräte wie Smart Speaker oder Festplatten. In die kritische Klasse I gehören Firewalls oder Mikrocontroller. Die kritische Klasse II umfasst hingegen CPUs und industrielle Firewalls.
Um nachzuweisen, dass entsprechende Sicherheitsanforderungen erfüllt werden, sollen sich Hersteller in Zukunft verschiedenen Konformitätsbewertungsverfahren unterziehen. Diese erfordern aber nicht immer eine Bewertung durch Dritte. Gerade in der Standardkategorie wird wohl auch eine Selbstbewertung ausreichend sein. Aufwändiger wird es nur in der kritischen Klasse I und II, die vom EU-Gesetz der Cyberresilienz mit besonderen Regeln versehen werden.
Was bedeutet der Cyber Resilience Act im Alltag?
Im Kern bringt der Cyber Resilience Act etwas Gutes hervor. Er soll nämlich in erster Linie die Widerstandsfähigkeit von Unternehmen in Bezug auf Cyberangriffe erhöhen. Dadurch, dass Hersteller gewissen Auflagen unterliegen, werden potenzielle Sicherheitsverletzungen reduziert, was in Unternehmen zu einer gesteigerten Basissicherheit führt. Jedes Gerät erfüllt dann gewissermaßen die EU-weiten Mindestanforderungen in Bezug auf die Abwehr von Cyberangriffen.
Das bedeutet nicht, dass eigene Maßnahmen in Unternehmen auf einmal weniger wert sind oder nicht mehr beachtet werden müssen. Es heißt vielmehr, dass jedes Gerät ein gewisses Maß an Sicherheit garantieren kann. Selbst dann, wenn es nur um die dann zwingende Bereitstellung von Sicherheitsupdates geht. Denn auch daran scheiterte manch ein Produkt in der letzten Zeit und erleichterte es Angreifern somit mehr als nötig, in Systeme vorzudringen oder schwerwiegende Schwachstellen relativ einfach auszunutzen.
Im Alltag verringert sich durch das EU-Gesetz der Cyberresilienz im besten Fall der eigene Wartungsaufwand für genutzte Geräte. Da viele der digitalen Produkte erhöhte Sicherheitsstandards erfüllen müssen und zwangsweise Sicherheitsupdates erhalten, zumindest für einen gewissen Zeitraum, muss sich die hauseigene IT-Abteilung nicht mehr um derartige Belange kümmern. Jedenfalls nicht mehr mit dem gleichen Aufwand wie noch zuvor.
Macht die EU nun ernst?
Bedingt lässt sich das tatsächlich sagen. Genau wie bei der DSGVO versucht Europa gewisse Richtlinien durchzusetzen, an die sich auch Hersteller und Inverkehrbringer halten müssen. Eine angebrachte CE-Kennzeichnung wird in Zukunft dann wohl auch belegen, dass die digitalen Elemente des Produkts dem EU-Gesetz der Cyberresilienz entsprechen. Jedenfalls in der Theorie.
Ähnlich wie bei der DSGVO würden wir aber nicht davon ausgehen, dass alles sofort klappt, sollte der Cyber Resilience Act wirksam werden. Vielmehr muss abgewartet werden, wie Hersteller reagieren und wie die EU den Cyber Resilience Act weiterhin ausbaut. Letzteres ist nämlich ganz sicher geplant. Unter anderem soll die Wirksamkeit des Gesetzes jährlich geprüft werden, um sicherzustellen, dass es entsprechende Ergebnisse hervorbringt. Gleichzeitig werden Anpassungen erfolgen, sollte dies notwendig sein.
Inkrafttreten soll der Cyber Resilience Act Anfang 2024. Die Hersteller haben daraufhin 36 Monate Zeit, um die notwendigen Maßnahmen einzuleiten und die Vorschriften, die das Gesetz stellt, entsprechend zu erfüllen. Wie es danach weitergeht, wird sich zeigen, doch für die Cybersicherheit ist der Cyber Resilience Act sicherlich ein Schritt in die richtige Richtung. Europa ist hier tatsächlich einmal Vorreiter, was die IT-Sicherheit betrifft.
