Cyber Resilience Act Cyberresilienz – das sind die neuen Pflichten in puncto Cybersicherheit

Hardware und Softwareprodukte sind heutzutage immer wieder Gegenstand erfolgreicher Cyberangriffe. Weltweit werden die Kosten für Cyberattacken im Jahr 2021 auf 5,5 Billionen Euro geschätzt. In einer vernetzten Umgebung kann sich ein Cybersicherheitsvorfall bei einem Produkt auf eine ganze Organisation oder Lieferkette auswirken und sich oft innerhalb weniger Minuten über die Grenzen des Binnenmarktes hinweg ausbreiten. Dies kann zu schwerwiegenden Unterbrechungen der Wirtschaft, sozialer Aktivität und Kommunikation führen.

Die EU sieht zwei große Probleme, die den Nutzer*innen und der Gesellschaft so hohe zusätzliche Kosten verursachen. Einerseits herrscht weltweit ein zu geringes Maß an Cybersicherheit. Es gibt weit verbreitete Schwachstellen und eine unzureichende und uneinheitliche Bereitstellung von Sicherheitsupdates. Andererseits herrscht ein mangelndes Verständnis und es gibt zu wenig Informationen, wodurch Nutzer*innen gehindert werden, Produkte mit angemessenen Cybersicherheitseigenschaften auszuwählen. Mit dem Cyber Resilience Act soll dem nun entgegengewirkt werden. Wir klären euch über die wichtigsten Punkte auf.

Was bedeutet Cyberresilienz?

Im Allgemeinen bezeichnet die Resilienz die Widerstandsfähigkeit. Die Cyberresilienz bezieht sich in diesem Fall auf die Widerstandsfähigkeit eines Unternehmens gegen Gefahren aus dem Netz und dem Ausfall von Sicherheitskomponenten. Cyberresilienz ist ein Indikator dafür, wie gut ein Unternehmen auf einen Cyberangriff vorbereitet ist, diesen übersteht und sich davon erholt.

Warum geht Cyberresilienz alle etwas an?

Cyberangriffe gehören mittlerweile zum Alltag vieler Firmen. Aus diesem Grund ist 2021 das IT-Sicherheitsgesetz 2.0 in Kraft getreten. Dennoch sind zahlreiche Unternehmen noch immer nicht ausreichend auf Cyberangriffe vorbereitet. Das Thema zur Widerstandsfähigkeit der IT ist deshalb aktueller denn je. Es betrifft nicht mehr nur Firmen, sondern auch jede*n in der Gesellschaft, der*die mit dem Internet in Verbindung steht. Denn nicht nur Betriebe kommunizieren online. Auch Privatpersonen tun dies über ihre Notebooks, Tablets oder Handys.

Eine Strategie der Cyberresilienz ist für die Weiterführung des Geschäftsbetriebs unerlässlich. Sie kann nicht nur zur Erhöhung des Sicherheitsniveaus eines Unternehmens und zur Verringerung des Risikos eines Angriffs auf seine kritischen Infrastrukturen nützlich sein. Die Cyberresilienz trägt auch dazu bei, finanzielle und Reputationsverluste zu verringern.

Trotz verschiedener Verteidigungsmöglichkeiten sind viele Unternehmen nicht gegen Cyberkriminelle gewappnet. © Shutterstock, Andrey_Popov
Trotz verschiedener Verteidigungsmöglichkeiten sind viele Unternehmen nicht gegen Cyberkriminelle gewappnet. © Shutterstock, Andrey_Popov

Eine gute Cyberresilienz hat verschiedene Vorteile:

  • Minderung von finanziellen Verlusten
  • Erhöhung von Kundenvertrauen und gleichzeitiger Geschäftsaufbau
  • Steigerung des Wettbewerbsvorteils

Wenn es um IT-Sicherheit geht, verlassen sich nicht nur Unternehmen immer mehr auf die neueste Technologie. Doch bisher wurde der IT-Sicherheit vor allem im privaten Bereich wenig Aufmerksamkeit geschenkt, weshalb vernetzte IoT-Geräte, also smarte Geräte oder Produkte, zunehmend zur Zielscheibe von Cyberkriminalität werden. Hinzu kommt, dass Unternehmen die Sicherheitsrisiken von intelligenten Geräten oft unterschätzen. Hier besteht dringender Handlungsbedarf, erste Vorschläge finden sich im Cyber Resilience Act.

Der Cyber Resilience Act bildet die erste EU-weite Rechtsvorschrift zur Cyberresilienz von Produkten mit digitalen Elementen. © Shutterstock, Miha Creative
Der Cyber Resilience Act bildet die erste EU-weite Rechtsvorschrift zur Cyberresilienz von Produkten mit digitalen Elementen. © Shutterstock, Miha Creative

Was ist der Cyber Resilience Act?

Der Cyber Resilience Act (CRA) ist ein Gesetzesentwurf der Europäischen Kommission, der Verbraucher*innen und Unternehmen in der EU besser vor Produkten mit unzureichenden IT-Sicherheitsmaßnahmen schützen soll. Er bildet die erste EU-weite Rechtsvorschrift zur Cyberresilienz von Produkten mit digitalen Elementen.

Der vorgeschlagene Cyber Resilience Act würde Folgendes garantieren:

  • harmonisierte Regeln für das Inverkehrbringen von Produkten oder Software mit einer digitalen Komponente;
  • einen Rahmen von Cybersicherheitsanforderungen, die die Planung, den Entwurf, die Entwicklung und die Wartung solcher Produkte regeln, mit Verpflichtungen, die auf jeder Stufe der Wertschöpfungskette einzuhalten sind;
  • eine Sorgfaltspflicht für den gesamten Lebenszyklus solcher Produkte.

Mit den Zielen des CRA soll eine digitale Widerstandskraft der gesamten IT-Wertschöpfungskette erreicht werden. Dabei verfolgt der CRA zwei Hauptziele und vier spezifische Ziele.

Hauptziele:

  1. Die Schaffung von Voraussetzungen für die Entwicklung von sicheren Produkten mit digitalen Elementen.
  2. Verbraucher*innen sollen mit ausreichend Informationen versorgt werden, um eine fundierte Entscheidung treffen zu können, wenn sie entsprechende Produkte erwerben.

Spezifische Ziele:

  • Schaffung einer umfassenden Cybersicherheitsarchitektur, die es Entwickler*innen erleichtert, Compliance-Vorgaben zu erfüllen.
  • Verpflichtung der Hersteller, die Sicherheit digital erweiterter Produkte von der Entwurfs- und Entwicklungsphase an über den gesamten Lebenszyklus des Produkts hinweg zu verbessern
  • Erhöhung der Übersichtlichkeit von Produkten mit digitalen Komponenten und deren Sicherheitsmerkmalen
  • Unternehmen und Kunden in die Lage zu versetzen, digitale Produkte auf sichere Weise nutzen zu können.

Produkte werden nach diesem Gesetz in drei Kategorien eingeteilt:

  • Standardkategorie
  • Kritische Klasse I
  • Kritische Klasse II

Zur Standardkategorie zählen um die 90 % aller Produkte, wie zum Beispiel Produkte der Text- und Fotoverarbeitung, intelligente Lautsprecher, Festplatten, Spiele oder ähnliches.

Etwa 10 % der Produkte, werden in die Kategorien I und II eingeteilt. Die Kriterien für die Einstufung sind die Funktionalität, die Art des Verwendungszwecks (z. B. industrielle Steuerungssysteme) und andere Kriterien wie das Ausmaß der Auswirkungen von Sicherheitsproblemen.

Zur kritischen Klasse I gehören u. a. Passwortmanager, Netzwerkschnittstellen, Firewalls und Mikrocontroller.

Betriebssysteme, industrielle Firewalls, CPUs usw. werden als kritisch der Klasse II eingestuft.

Beim Nicht-Einhalten des Cyber Resilience Acts sind Geldbußen in Höhe von bis zu 15 Millionen Euro möglich. Beim Nicht-Einhalten des Cyber Resilience Acts sind Geldbußen in Höhe von bis zu 15 Millionen Euro möglich. © Shutterstock, Volodja1984
Beim Nicht-Einhalten des Cyber Resilience Acts sind Geldbußen in Höhe von bis zu 15 Millionen Euro möglich. © Shutterstock, Volodja1984

Nicht-Einhalten des Cyber Resilience Acts

Das Gesetz zur Cyberresilienz ist so formuliert, dass jeglicher Verstoß mit Sanktionen geahndet wird. Dabei wurde darauf geachtet, dass diese Sanktionen wirksam, verhältnismäßig und abschreckend sind.

So kann eine Nichteinhaltung der Cybersicherheitsanforderungen Geldbußen in Höhe von maximal 15 Millionen Euro zur Folge haben. Auch können Unternehmen dazu angehalten werden, 2,5 % des gesamten weltweiten Jahresumsatzes aus dem vorausgegangenen Geschäftsjahr zu zahlen – je nachdem, welcher Betrag höher ausfällt. Auch kleinere Verstöße werden verfolgt und mit Summen beginnend von 5 Millionen Euro oder 1 % des im vorausgegangenen Geschäftsjahr erzielten weltweiten Gesamtjahresumsatzes geahndet. Auch eine Mehrfachbebußung ist nicht ausgeschlossen.

Welche Pflichten ergeben sich für herstellende Unternehmen?

Cybersicherheit soll in der Planungs-, Entwurfs-, Entwicklungs-, Produktions-, Lieferungs- und Wartungsphase berücksichtigt werden. Deshalb ergeben sich aus dem CRA einige neue Pflichten für Hersteller und verschiedene Unternehmen der Lieferkette.

Hersteller müssen die Sicherheit und Integrität der Bauteile, Produkte oder Anlagen ab dem Verkauf des Produktes während der gesamten erwarteten Produktlebensdauer bzw. über einen Zeitraum von fünf Jahren gewährleisten und etwaige Schwachstellen beseitigen.

  • Es muss ein Schwachstellen-Management eingeführt und Vorschriften für die Marktüberwachung und Durchsetzung umgesetzt werden.
  • Für die gesamte Laufzeit eines Produkts müssen Updates garantiert werden.
  • Es müssen klare und verständliche Gebrauchsanweisungen entworfen werden.
  • Mindestens fünf Jahre lang müssen von den Herstellern Sicherheitsupdates zur Verfügung gestellt werden.
  • Hersteller müssen Schwachstellen und Vorfälle melden, die sie aktiv ausgenutzt haben.

Smart Data Center unterstützt euch bei der Cybersicherheit

Die Widerstandsfähigkeit der IT ist einer der wichtigsten unternehmerischen Grundpfeiler. Schließlich ist sie im Ernstfall essenziell, um den Unternehmensalltag weiterzuführen. Mit den zunehmenden Ransomware-Angriffen steigt leider auch die Gefahr, selbst Opfer von Cyberattacken zu werden. Macht jetzt den kostenlosen Test und prüft, ob euer Unternehmen ausreichend vor Cyberangriffen geschützt ist. Noch ein Tipp: Mit dem Disaster Recovery as a Service seid ihr auf der sicheren Seite, solltet ihr eure Daten verlieren – etwa durch einen Cyberangriff. Wir freuen uns auf eure Anfrage!

Beitragsbild: © Shutterstock, Den Rise

Weitere Themen aus diesem Artikel

Aktuelle Beiträge

DDOS-Angriff auf BaFin und Lok Leipzig Hackerangriffe aktuell: September 2023

Im September 2023 wurden erneut Unternehmen aus verschiedenen Branchen Opfer von Cyberangriffen, die auf Sicherheitslücken zurückzuführen waren. Diese Angriffe haben zugenommen und sie werden aus vielfältigen Motiven durchgeführt.

Nachhaltigkeit der KMUs Gothaer Studie 2023: Nachhaltigkeit in Unternehmen

Das Thema Nachhaltigkeit gewinnt immer mehr an Bedeutung. Sowohl in privaten Haushalten als auch in Unternehmen. Doch wie stehen KMUs eigentlich dazu, ihre Unternehmensphilosophie anzupassen und Nachhaltigkeit einen größeren Raum zu geben? Die Gothaer Studie kam zu interessanten Ergebnissen, die wir euch in diesem Beitrag zusammengefasst haben.

Cyberangriffe Deutschland Cyberangriffe aktuell: August 2023

Unternehmen aus verschiedenen Branchen waren im August 2023 erneut Ziel von Cyberangriffen, die auf Sicherheitslücken zurückzuführen waren. Die Zahl der Hackerangriffe nimmt ständig zu, und sie werden aus den unterschiedlichsten Gründen durchgeführt.