Was der Cyber Resilience Act von Schweizer Unternehmen fordert
Am 10. Dezember 2024 ist der Cyber Resilience Act der EU in Kraft getreten. Die Verordnung beinhaltet neue Pflichten für Hersteller von «Produkten mit digitalen Elementen». Was nun auf Schweizer Unternehmen zukommt, erklären das BACS und Pilz Industrietechnik.
Zum Glück hat der Cyber Resilience Act (CRA) einen prägnanten Kurztitel erhalten. Müsste man immer die vollständige Bezeichnung erwähnen, würde das wohl einiges an Zeit, Aufwand oder auch Druckerschwärze kosten. Denn der vollständige Name geht gewiss niemandem leicht von der Zunge: Die Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnungen (EU) Nr. 168/2013 und (EU) 2019/1020 und der Richtlinie (EU) 2020/1828.
Die Verordnung trat am 10. Dezember 2024 in Kraft und gilt ab dem 11. Dezember 2027. Sie ergänzt die Datenschutz-Grundverordnung und die NIS-2-Richtlinie. Das Ziel ist es, das Sicherheitsniveau von "Produkten mit digitalen Elementen" zu erhöhen, wie die EU schreibt. Diese Definition ist sehr weit gefasst und so ist eine grosse Produktbandbreite von der Regelung betroffen: jegliche Hard- und Software, die mit einem Netzwerk verbunden ist.
Denn alle Produkte, die in grössere vernetzte Systeme eingebunden sind, könnten unter bestimmten Umständen böswilligen Akteuren als Angriffsvektor dienen, so lautet die Argumentation der EU. "Folglich kann selbst eine als weniger kritisch geltende Hardware und Software eine erste Kompromittierung eines Geräts oder Netzes erleichtern und es böswilligen Akteuren ermöglichen, sich privilegierten Zugriff auf ein System zu verschaffen oder sich systemübergreifend zu bewegen", heisst es in der Verordnung.
Neue Pflichten für Hersteller
Mit der neuen Verordnung sind auch neue Verpflichtungen für Hersteller verbunden – davon betroffen sind nicht nur Unternehmen mit Sitz in der EU. "Schweizer Unternehmen müssen die Anforderungen des CRA erfüllen, wenn sie ihre Produkte mit digitalen Elementen in die EU exportieren wollen", erklärt Manuel Suter, Stellvertretender Direktor des Bundesamtes für Cybersicherheit (BACS), auf Anfrage. Daher lohnt es sich auch hierzulande, genauer zu schauen, was nun von den Anbietern solcher Produkte verlangt wird. Die wichtigsten Punkte der CRA sind gemäss Suter:
- Hersteller müssen nachweisen, dass ihre Produkte mit den EU-Cybersicherheitsanforderungen konform sind (Cybersecurity by Design).
- Hersteller sind verpflichtet, die nötigen Sicherheitsupdates über die gesamte Produktlebensdauer zur Verfügung zu stellen.
- Hersteller müssen Schwachstellen, die aktiv ausgenutzt werden, innerhalb von 24 Stunden nach dem Bekanntwerden der Agentur der Europäischen Union für Cybersicherheit (Enisa) melden.
- Hersteller müssen einen Nachweis der Konformität für ihre Produkte erbringen – dieser erfolgt unterschiedlich, je nach Klassifizierung der Produkte.
Bezüglich des Konformitätsnachweises präzisiert Suter, dass die überwiegende Mehrheit der Produkte (90 Prozent) als nicht-kritisch gelte – in dieser Kategorie genüge eine Selbstdeklaration. Die Grundlage für die Selbstdeklaration ist das Modul A des Beschlusses Nr. 768/2008/EG, wie es im CRA heisst. Die 17 Punkte des Moduls A finden Interessierte und betroffene Unternehmen auf der Website der EU.
Manuel Suter, Stellvertretender Direktor des Bundesamtes für Cybersicherheit. (Source: BACS)
Produkte können aber auch als wichtig oder als kritisch klassifiziert werden. Wichtige Produkte seien solche, die mit einem höheren Cybersicherheitsrisiko behaftet sind, "da ihre Funktionen ein erhebliches Risiko nachteiliger Auswirkungen in Bezug auf ihre Tragweite und ihre mögliche Beeinträchtigung der Gesundheit, Sicherheit oder Unversehrtheit der Nutzer solcher Produkte bergen", heisst es in der Verordnung. Je nach Schweregrad des Sicherheitsrisikos werden wichtige Produkte weiter in Klasse I und Klasse II unterteilt. Der Text listet folgende Beispiele für wichtige Produkte auf:
- intelligente Haushaltsgeräte mit Sicherheitsfunktionen (inkl. intelligente Türschlösser),
- Babyphone-Systeme,
- Alarmanlagen,
- vernetztes Spielzeug,
- am Körper tragbare medizinische Geräte (Wearables),
- Firewalls,
- Intrusion-Detection- und Intrusion-Prevention-Systeme.
Als wichtig klassifizierte Produkte sollten gemäss CRA einem strengeren Konformitätsbewertungsverfahren unterzogen werden – die Klasse II erfordere eine nochmals strenge Überprüfung. Firewalls sowie Intrusion-Detection- und Intrusion-Prevention-Systeme beispielsweise fallen unter die Klasse II und erfordern daher eine obligatorische Konformitätsbewertung durch Dritte.Kritische Produkte erfordern ebenfalls eine Bewertung durch Dritte. Um als "kritisch" eingestuft zu werden, müssen die Produkte mindestens einem der folgenden Kriterien entsprechen:
- Es besteht eine kritische Abhängigkeit wesentlicher Einrichtungen (gemäss Artikel 3 der Richtlinie (EU) 2022/2555) von der Kategorie der Produkte mit digitalen Elementen.
- Sicherheitsvorfälle und ausgenutzte Schwachstellen in Bezug auf die Kategorie von Produkten mit digitalen Elementen könnten zu schwerwiegenden Störungen kritischer Lieferketten im gesamten Binnenmarkt führen.
Der Aufwand für Schweizer Unternehmen
Auf Anfrage der Redaktion schätzt Frank van Oudheusden, Consultant bei Pilz lndustrieelektronik Schweiz, den Aufwand für Unternehmen ein. Der deutsche Hersteller mit einer Niederlassung in Mägenwil bietet Automatisierungslösungen für die Sicherheits- und Steuerungstechnik an.
Durch die Etablierung neuer Prozesse müsse generell mit Aufwänden gerechnet werden. Allgemein könne man aber davon ausgehen, dass die Aufwände in der Umstellungsphase der Prozesse etwas höher seien. Auch Pilz musste nach eigenen Angaben jedes Produkt im Portfolio prüfen, inwieweit es von der CRA betroffen ist und ob es angepasst werden muss. "Diese Bewertung hat stattgefunden und die entsprechenden Massnahmen wurden frühzeitig eingeleitet", sagt van Oudheusden.
Schweizer und andere nicht in der EU ansässige Unternehmen, die Produkte in die EU liefern wollen, benötigen künftig einen Einführer. Dieser muss sicherstellen, dass die Produkte den Anforderungen des CRA entsprechen. Dabei muss es sich um eine in der EU ansässige oder niedergelassene, natürliche oder juristische Person handeln, die diese Produkte in der Union in den Verkehr bringt.
Frank van Oudheusden, Consultant bei Pilz lndustrieelektronik Schweiz. (Source: Pilz Industrieelektronik)
Um sich für die Meldepflicht zu rüsten, baute Pilz ein Product Security Incident Response Team auf. "Unsere Kunden haben auf der Pilz-Website die Möglichkeit, Sicherheitslücken oder Schwachstellen zu melden", sagt van Oudheusden. "Zudem informieren wir in Form von Security Advisories Handlungsempfehlungen zur Behebung von möglichen Schwachstellen." Sobald die Meldestelle der Enisa online sei, würde Pilz auch dort der Meldepflicht nachkommen.
Unternehmen müssen zwar entdeckte Schwachstellen melden. Aber gemäss der Einschätzung des BACS enthält der CRA "keine Verpflichtung, aktiv nach Schwachstellen zu suchen", erklärt Manuel Suter. "Bei einer Verletzung der Meldepflicht sind aber Sanktionen in Form von Bussgeldern vorgesehen."
Wie Frank von Oudheusden erklärt, etablierte Pilz Industrietechnik bereits vor einigen Jahren Massnahmen zur sicheren Entwicklung sowie ein Schwachstellenmanagement. Mit dieser Basis war das Unternehmen bereits gut gewappnet für die Anforderungen des CRA. Mehr zu diesen Massnahmen und zu Pilz’ Einschätzung der neuen EU-Verordnung lesen Sie hier im ausführlichen Interview mit Frank van Oudheusden.
"Grundsätzlich führt eine Diskussion um Aufwand und Kosten für den CRA allerdings in die falsche Richtung", sagt van Oudheusden. "Denn aus eigener Erfahrung mit einem schweren Cyberangriff im Jahr 2019 kann Pilz berichten, dass der Schaden und damit Aufwand und Kosten, die ein ‹erfolgreicher› Cyberangriff anrichtet, deutlich grösser sind." Vorbeugende Massnahmen, wie vom CRA gefordert, würden sich daher definitiv rechnen.
Ausser dem CRA gibt es noch weitere neue Regelungen zur Cybersicherheit, erinnert van Oudheusden – darunter etwa die neue Maschinenverordnung und die NIS-2-Richtlinie. "Ob und in welcher Tiefe sich ein Unternehmen mit Security auseinandersetzen will, ist nicht länger Ermessenssache des Unternehmens", sagt van Oudheusden. Es sei inzwischen eine gesetzliche Vorgabe, deren Umsetzung im eigenen Interesse der Unternehmen liege.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Für die verschiedenen Newsletter der SATW können Sie sich hier anmelden. "SATW News" informiert allgemein über die Aktivitäten der SATW und "MINT" fokussiert sich auf das Themengebiet Nachwuchsförderung. Beide werden auf Deutsch und Französisch angeboten.
Alle weiteren gemeinsamen Beiträge von SwissCybersecurity.net und der SATW finden Sie hier.
Partner
G wie Gurken - ein Allzeit-Klassiker
Update: Nachrichtendienst darf virtuelle Agenten einsetzen
Google Chrome patcht Zero-Day-Schwachstelle
Oracle mutmasslich von Datendiebstahl betroffen
Cyberkriminelle verbreiten Malware mit gefälschten Online-Dateikonverter
Cybercrime-Gruppe nimmt Hypervisors ins Fadenkreuz
Die Schweiz hat nun ihren offiziellen Gaia-X-Hub
Software treibt die Ausgaben für Security in die Höhe
Homeoffice am POS? Aber klar doch!
