Die Cyberresilienz-Verordnung (CRV) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Cybersicherheit von Produkten mit digitalen Elementen EU-weit vereinheitlicht werden. Dadurch soll ein hohes Cybersicherheitsniveau in der Union sichergestellt und der freie Verkehr von Produkten mit digitalen Elementen im europäischen Binnenmarkt gewährleistet werden.

Flagge der Europäischen Union

Verordnung (EU) 2024/2847

Titel: Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnungen (EU) Nr. 168/2013 und (EU) 2019/1020 und der Richtlinie (EU) 2020/1828
Kurztitel: Cyberresilienz-Verordnung
Geltungsbereich: EWR
Grundlage: AEUV, insbesondere Artikel 114
Verfahrensübersicht: Europäische Kommission
Europäisches Parlament
IPEX Wiki
Inkrafttreten: 10. Dezember 2024
Anzuwenden ab: 11. Dezember 2027 (Berichtspflicht ab 11. September 2026)
Fundstelle: ABl. L, 2024/2847, 20.11.2024
Volltext Konsolidierte Fassung (nicht amtlich)
Grundfassung
Regelung ist in Kraft getreten, aber noch nicht anwendbar.
Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union

Die Verordnung tritt am 10. Dezember 2024 in Kraft und gilt ab dem 11. Dezember 2027.[1] Sie ergänzt die Datenschutz-Grundverordnung und die NIS-2-Richtlinie.

Bereits im ersten Erwägungsgrund stellt die Verordnung fest:

„Die Cybersicherheit bedeutet eine der größten Herausforderungen für die Union.“[2]

Die Verordnung sollte ursprünglich zwei Hauptprobleme angehen, die hohe Kosten für Nutzer und die Gesellschaft verursachen und zu erheblichen, teils lebensbedrohlichen Risiken, führen:

  1. Weit verbreitete Schwachstellen in Produkten mit digitalen Elementen und die unzureichende sowie inkonsistente Bereitstellung von Sicherheitsupdates seitens der Hersteller.
  2. Mangelhaftes Wissen bei nutzenden Personen und unzureichende Informationen für nutzende Stellen, um Produkte mit angemessenen Sicherheitsmerkmalen auszuwählen oder sie sicher zu nutzen.

Das bestehende EU-Recht enthält bereits Cybersicherheitsvorschriften für bestimmte Produktkategorien wie Medizinprodukte, In-vitro-Diagnostika, Kraftfahrzeuge und Luftfahrtprodukte, die auch sicherheitsrelevante Aspekte abdecken. Diese konzentrieren sich jedoch auf meist bestimmte Aspekte wie die Sicherheit von Netz- und Informationssystemen oder die Zertifizierung. Für diese bereits regulierten Produkte gilt auch die Verordnung nicht.

Beide Probleme, die nach Ansicht der EU-Institutionen durch den fehlenden umfassenden Rechtsrahmen für alle „anderen“ Produkten entstehen, sollen durch die Einführung von verbindlichen horizontalen Cybersicherheitsanforderungen und durch die Verbesserung der Transparenz und des Informationszugangs für nutzende Personen und Stellen angegangen werden.

Die Regulierung soll technologieneutral erfolgen.

Geltungsbereich

Bearbeiten

Die Verordnung gilt für Produkte mit digitalen Elementen, d. h. für Hardware oder Software, die entweder direkt oder indirekt mit einem Netzwerk verbunden sind. Dazu gehören:

  • Software und Hardware mit Netzwerkfähigkeit,
  • Cloud-basierte Lösungen, sofern diese als "Fernverarbeitungslösungen" gelten,
  • Freie und Open-Source-Software, wenn sie in kommerziellen Produkten eingesetzt wird.

Ausnahmen gelten unter anderem für:

  • Medizinprodukte,
  • Fahrzeuge,
  • Produkte der Luft- und Raumfahrt,
  • Verteidigungsgüter.

Open-Source-Software

Bearbeiten

Die Verordnung erkennt die besondere Rolle und Bedeutung von Open-Source-Software (FOSS) an. Grundsätzlich wird FOSS von den strengen Anforderungen für proprietäre Software ausgenommen, sofern sie nicht im Rahmen kommerzieller Tätigkeiten bereitgestellt wird. „Open Source Software Stewards“ – Organisationen oder juristische Personen, die FOSS-Projekte unterstützen oder deren Bereitstellung organisieren – haben jedoch spezifische Verpflichtungen. Dazu zählen die Einführung einer Cybersicherheitsrichtlinie und die Zusammenarbeit mit Marktüberwachungsbehörden. Diese Maßnahmen sollen sicherstellen, dass auch quelloffene Software ein angemessenes Sicherheitsniveau bietet, ohne die Innovationskraft der Open-Source-Gemeinschaft zu beeinträchtigen.[3]

Kern der Regulierung sind „Produkte mit digitalen Elementen“, welche nicht in bestehende Regulierungsrahmen fallen.[4] Dies sind Software oder Hardware und die zu dieser Software oder Hardware zugehörige Lösung zur entfernt stattfindenden Datenverarbeitung, ohne die das Produkt nicht funktionieren würde.[5]

Verschiedene Arten von Produkten werden verschiedenen Kategorien von Regulierungen unterworfen[6]:

Produkte mit digitalen Elementen Wichtige Produkte mit digitalen Elementen Kritische Produkte mit digitalen Elementen
Klasse-Ⅰ-Produkte Klasse-Ⅱ-Produkte
Alle Produkte mit digitalen Elementen, die nicht
  • wichtige Produkte sind,
  • kritische Produkte sind,
  • in einen anderen Regulierungsrahmen fallen
Identitätsmanagementsysteme,
Soft- und Hardware zur Zugangsverwaltung,
wie Kartenleser oder Fingerabdruckscanner

Webbrowser

Kennwortmanager

Antivirenprogramme

VPN-Software und Hardware

Netzmanagementsysteme

SIEM-Systeme

Bootmanager

Public-Key-Infrastruktur,
Software zur Ausstellung von digitalen Zertifikaten

physische und virtuelle Netzschnittstellen

Betriebssysteme

Router, Modems, Switches

Mikrocontroller, Mikroprozessoren,
ASICs und FPGAs
jeweils mit sicherheitsrelevanten Funktionen

virtuelle Assistenten für das Smart Home

Smart Home Produkte mit Sicherheitsbezug,
wie intelligente Türschlösser,
Überwachungskameras, Babyfone und Alarmanalagen

Hypervisoren und Container-Runtime-Systeme

Firewalls, Angriffserkennungs- und -präventionssysteme

manipulationssichere Mikroprozessoren und Mikrocontroller

Hardwaregeräte mit Sicherheitsboxen

Smart-Meter-Gateways und anderen Geräten für fortgeschrittene Sicherheitszwecke

Chipkarten oder ähnliche Geräte, einschließlich Sicherheitselemente

Alle Produkte mit digitalen Elementen müssen eine umfassende Liste von Cybersicherheitsanforderungen erfüllen. Dazu gehören unter anderem Anforderungen, dass Produkte:

  • ohne bekannte Sicherheitslücken auf den Markt gebracht werden,
  • mit sicheren Standardkonfigurationen ausgeliefert werden und die Möglichkeit bieten, in diesen Zustand zurückgesetzt zu werden,
  • Sicherheitslücken durch Updates, idealerweise automatisch, beheben können,
  • durch Authentifizierungssysteme und andere Kontrollmechanismen vor unberechtigtem Zugriff geschützt sind und unberechtigten Zugriff melden,
  • die Vertraulichkeit, Integrität und Verfügbarkeit von Daten gewährleisten, einschließlich personenbezogener Daten, durch Maßnahmen wie Verschlüsselung und Datenminimierung,
  • die negativen Auswirkungen auf andere Geräte oder Netzwerke minimieren,
  • eine möglichst geringe Angriffsfläche bieten und die Auswirkungen von Sicherheitsvorfällen reduzieren,
  • sicherheitsrelevante Informationen aufzeichnen und/oder überwachen,
  • es den Nutzern ermöglichen, alle Daten und Einstellungen sicher zu löschen.

Darüber hinaus müssen Hersteller von Produkten mit digitalen Elementen sicherstellen, dass:

  • Schwachstellen und Komponenten der Produkte identifiziert und dokumentiert werden, gegebenenfalls durch eine Software-Stückliste.
  • Schwachstellen unverzüglich behoben werden, idealerweise durch Sicherheitsupdates, die getrennt von Funktionsupdates bereitgestellt werden sollten.
  • Die Sicherheit der Produkte regelmäßig getestet und überprüft wird.
  • Informationen über behobene Schwachstellen veröffentlicht werden, es sei denn, dies würde die Sicherheit gefährden.
  • Ein Konzept für die koordinierte Offenlegung von Schwachstellen (Responsible Disclosure) erstellt und umgesetzt wird.
  • Der Austausch von Informationen über mögliche Schwachstellen erleichtert wird.
  • Mechanismen für die sichere Verbreitung von Updates bereitgestellt werden.
  • Sicherheitsupdates unverzüglich und kostenlos bereitgestellt werden, sofern nicht anders vereinbart.

Konformität

Bearbeiten

Die Verordnung regelt die Konformität von Produkten mit digitalen Elementen je nach Kritikalität und Risikopotenzial. Hersteller müssen entsprechende Konformitätsbewertungsverfahren umsetzen:

  • Interne Kontrolle: Eigenständige Prüfung durch den Hersteller für unkritische Produkte.
  • EU-Baumusterprüfung: Benannte Stellen prüfen das Produktdesign, Fertigungskontrolle verbleibt beim Hersteller, für wichtige Produkte der Klasse I.
  • Umfassende Qualitätssicherung: Bewertung von Design und Prozessen durch benannte Stellen, für Produkte der Klasse II und kritische Produkte.
  • Cybersecurity-Zertifizierung: Für kritische Produkte, Mindestniveau „erheblich“ nach Rechtsakt zur Cybersicherheit.

Harmonisierte Normen

Bearbeiten

Aktuell existieren noch keine offiziell harmonisierten Normen für die Verordnung. Harmonisierte Normen sind technische Standards, die von der EU-Kommission anerkannt werden und eine rechtlich vereinfachte Konformitätsbewertung ermöglichen. Bis zur Veröffentlichung solcher harmonisierten Normen können Hersteller auf etablierte Standards wie die Normenreihe IEC 62443 zurückgreifen.[7]

Einzelnachweise

Bearbeiten
  1. Artikel 71 Cyberresilienz-Verordnung. 20. November 2024, abgerufen am 20. November 2024.
  2. Erwägungsgrund 1, Satz 1
  3. Cyber Resilience Act & Open Source: Anforderungen und Pflichten. Abgerufen am 2. Dezember 2024.
  4. Artikel 2 Absatz 2
  5. Artikel 3 Nummern 1 und 2
  6. Anhänge Ⅲ und Ⅳ
  7. Cyber Resilience Act: EU-Verordnung für sichere Produkte. Abgerufen am 2. Dezember 2024.
  NODES
Idea 2
idea 2
innovation 1
INTERN 1