Skip to main content

Risk & Cyber Insights

Cyber Resilience Act: Die neue EU-Verordnung und was sie für Ihr Unternehmen bedeutet

Was ist der Cyber Resilience Act

 

Der Cyber Resilience Act (CRA) ist eine Verordnung der Europäischen Union, die die Cybersicherheit von Produkten mit digitalen Elementen stärkt. Damit sind Software- oder Hardwareprodukte gemeint, deren bestimmungsgemäßer Zweck oder vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt. Beispiele dafür sind Software, Router bzw. Modems, IoT-Geräte, Bezahlterminals, Laptops, Smartcards etc.

Ziele des CRA sind:

 

  • Schwachstellen von Produkten zu minimieren, die innerhalb der EU in Verkehr gebracht werden.
  • Den Hersteller, Importeur bzw. Händlerfür die Einhaltung grundlegender Cybersicherheitsanforderungen über den Produktlebenszyklus verantwortlich zuhalten.
  • Die digitale Sicherheit von Endkund:innen zu erhöhen.
  • Die Transparenz durch ein einheitliches Sicherheitsniveau zu stärken.

Wen betrifft der CRA?

 

Der CRA betrifft alle Unternehmen, die Produkte mit digitalen Elementen herstellen, in die EU importieren oder innerhalb der EU vertreiben. Dies schließt sowohl kleine und mittelständische Unternehmen als auch große Unternehmen aus verschiedenen Branchen ein.

Von der Verordnung ausgenommen sind bspw. Medizinprodukte, Fahrzeuge und–teile, Flugsysteme, Schiffsausrüstung und ähnliche Produkte, da für sie bereits Regelungen bestehen, die mit dem CRA gleichwertig sind.

Welche Maßnahmen sind grundsätzlichumzusetzen?

 

  • Unternehmen müssen sicherstellen, dass ihre Produkte ohne ausnutzbare Schwachstellen und mit einer sicheren Standardkonfiguration auf den Mark tkommen.
  • Sicherheitsupdates müssen einfach und gegebenenfalls automatisch installiert werden können.
  • Schutzmechanismen gegen unbefugten Zugriff, wie Authentifizierungs-und Identitätssysteme, sind zu implementieren.
  • Vertraulichkeit und Integrität von Daten sind durch Verschlüsselung und andere technische Mittel sicherzustellen.
  • Unternehmen müssen Datenminimierung praktizieren und die Verfügbarkeit wesentlicher Funktionen auch nach Sicherheitsvorfällen sicherstellen.
  • Produkte sollten so entwickelt werden, dass sie geringe Angriffsflächen bieten und die Auswirkungen von Sicherheits vorfällen eindämmen.
  • Datenzugriffe, Dienste, Funktionen, Änderungen etc. müssen aufgezeichnet oder überwacht werden.
  • Eine sichere Datenlöschung und-übertragung muss gewährleistet sein.

Zudem bestehen weitere Anforderungen an die Behandlung von Schwachstellen. Beispiel dafür sind die Führung einer Software-Bill-of-Materials (SBOM) oder Strategien für eine koordinierte Veröffentlichung von Schwachstellen. Weiters sind betroffene Unternehmen verpflichtet, Sicherheitsvorfälle und Schwachstellen an die ENISA (European Union Agency for Cybersecurity) und das zuständige CSIRT (Computer Security Incident Response Team) zu melden.

Klassifizierung

 

Wichtige Produkte werden taxativ in die Klassen I, II oder kritisch eingeordnet. Die Hersteller, Importeure und Händler müssen definierte Anforderungen, bspw. bei der Konformitätsbewertung erfüllen, um das CE-Kennzeichen am Produkt anbringen zu dürfen.

Beispiele Klasse I:

Passwortmanager, Betriebssysteme, VPNs, Router

Beispiele Klasse II:

Firewalls, Virtualisierungssysteme oder manipulationssichere Mikroprozessoren

Beispiel kritische Produkte:

Hardwaregeräte mit Sicherheitsboxen

Unwichtige Produkte:

Alle Produkte, die nicht zuvor taxativ in Klasse I, II oder kritisch gefallen sind, geltenals „unwichtige Produkte“. Unternehmen können dann mit einfacheren Methoden die Konformitätsbewertung durchführen. Ein Großteil der betroffenen Produkte wird in diese Kategorie fallen.

Zeitplan

 

Die EU-Verordnung ist am 11.12.2024 in Kraftgetreten und wird mit einer Übergangsfrist von 3 Jahren am 11.12.2027 vollumfänglich gelten. Jedoch müssen Hersteller eine Meldepflicht bzgl. Schwachstellen in den Produkten bereits ab 11.09.2026 erfüllen.

Welche Sanktionen gibt es?

 

Bei Nichtkonformität erhalten die  Produkte kein CE-Kennzeichen und dürfen am EU-Markt nicht mehr in Verkehrgebracht werden. Bei Abweichungenzu den Anforderungen kann die Marktüberwachungsbehörde die Hersteller, Importeure oder Händler auffordern, die Bereitstellung vorhandener Produkte zu untersagen oder sie zurückzurufen. Weiters können Verwaltungsstrafen bei Verstößen gegen die grundlegenden Cybersicherheitsanforderungen bis zu max. EUR 15 Mio. oder 2,5 % des jährlichen, weltweiten Jahresumsatzes verhängt werden.

Bei Nichtentsprechung anderer, im CRA enthaltenen Vorschriften können Strafen bis zu EUR 10 Mio. oder 2 % des jährlichen, weltweiten Jahresumsatzes verhängt werden. Bei der Bereitstellung falscher, unvollständiger oder fehlleitender Informationen an Aufsichtsbehörden und Marktüberwachung können Verwaltungsstrafen bis zu EUR 5 Mio. oder 1 % des jährlichen, weltweiten Jahresumsatzes anfallen. Es gilt jeweils der höhere Betrag.

Unterstützung durch Expert:innen

 

Die Unternehmensgröße spielt bei derAnwendung des CRA keine Rolle und ist somit für kleine und mittelständische Unternehmen ebenso relevant wie für große Konzerne. Wenn der Cyber Resilience Act Ihr Unternehmen betrifft, sollten Sie rechtzeitig Vorbereitungsmaßnahmen treffen. Damit die Anforderungen des CRA effektiv und ganzheitlich umgesetzt werden, kann es hilfreich sein, sich externe Unterstützung durch Expert:innen zu holen.

 

 

Fanden Sie dies hilfreich?

Ja

Vielen Dank für Ihr Feedback

Ihr Feedback ist uns wichtig

Um uns Ihre Meinung mitzuteilen, aktualisieren Sie bitte Ihre Einstellungen, um Analyse- und Performance-Cookies zu akzeptieren.

Benötigen Sie Hilfe beim Aktualisieren der Cookies?

Ihr Kontakt

DI Georg Schwondra

Partner Cyber Risk | Deloitte Österreich
+43 1 537 00-3760

Thomas Hödlmoser

Consultant Risk Advisory | Deloitte Österreich
01/53700 3743