Cyber-Regulierung: CRA und NIS

Was sollte man allgemein zum CRA wissen?

Heisst es CRA oder CRV?

Beide Abkürzungen bedeuten dasselbe. CRA steht für den englischen Begriff «Cyber Resilience Act» und CRV für den deutschen Begriff «Cyberresilienz-Verordnung».

EU-Verordnung, EU-Richtlinie: Ist das ein Unterschied?

EU-Verordnungen und EU-Richtlinien sind zwei Formen von Rechtsakten in der EU-Gesetzgebung. Während Richtlinien von den Mitgliedstaaten in nationales Recht umgesetzt werden müssen, gelten Verordnungen grundsätzlich direkt und unmittelbar in allen Mitgliedstaaten.

Wo finde ich die Verordnung?

Die Verordnung trägt den Titel «Verordnung (EU) 2024/2847 des europäischen Parlaments und des Rates vom 23. Oktober 2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnungen (EU) Nr. 168/2013 und (EU) 2019/1020 und der Richtlinie (EU) 2020/1828 (Cyberresilienz-Verordnung)» und kann direkt vom EUR-Lex-Portal heruntergeladen werden.

Wie lese ich die Verordnung?

Die Verordnung gliedert sich in drei Bereiche. Zu Beginn kommen die Erwägungsgründe (Erwgr.), danach der eigentliche Verordnungstext (Art.) und zum Schluss die Anhänge (Anhang).

Die Erwägungsgründe erläutern den Hintergrund, die Ziele und die Überlegungen, die den einzelnen Bestimmungen der Verordnung zugrunde liegen. Sie dienen als Orientierungshilfe für die Auslegung und Anwendung der Artikel und Anhänge, haben aber keine unmittelbare Rechtswirkung. Sie sind jedoch zu berücksichtigen.

Was sind Ziel und Zweck des CRA?

Zwei Hauptprobleme, die angegangen werden müssen, da sie hohe Kosten für die Nutzer und die Gesellschaft verursachen (Erwgr. 1):

• «… ein geringes Mass an Cybersicherheit von Produkten mit digitalen Elementen, … inkohärenten Bereitstellung von Sicherheitsaktualisierungen zu deren Behebung zeigt …»
• «… unzureichendes Verständnis und ein mangelnder Informationszugang der Nutzer …»

Welche Strafen drohen bei Nichteinhaltung des CRA?

Bei u.a. falschen oder unvollständigen Informationen - bis zu 5 Mio. € oder 1 % des Jahresumsatzes (Art. 64 Abs. 4). Siehe auch «Welche Dokumentation muss ich erstellen?»

Bei Verstoss gegen u.a. die Herstellerpflichten - bis zu 15 Mio. € oder 2,5 % des Jahresumsatzes (Art. 64 Abs. 1).

Was ist der rechtliche Gültigkeitsbereich des CRA?

Welche geographischen Märkte sind vom CRA betroffen?

Die Europäische Union (EU) und Staaten des Europäischen Wirtschaftsraum (EWR).

Ab wann sind die Produkte vom CRA betroffen?

Die Verordnung sieht ein stufenweises Vorgehen vor, bis sie ab dem 11. Dezember 2027 für alle neuen Produkte eingehalten werden muss (Art. 71 Abs.2).

Wichtig zu wissen ist, dass aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle bereits ab dem 11. September 2026 gemeldet werden müssen (Art. 71 Abs.2).

Gilt der CRA auch für Legacy-Produkte?

Nein, solange an den bereits in Verkehr gebrachten Produkten keine wesentliche Änderung vorgenommen wird (Art. 69 Abs. 2).

Was ist eine wesentliche Änderung?

Die EU-Kommission wird den Begriff der wesentlichen Änderung mit einer Leitlinie noch genauer definieren (Art. 26 Abs. 1, 2d).

Bis dahin hilft uns der CRA, indem er ihn an verschiedenen Stellen aufnimmt, z.B.

«… auf die Konformität des Produkts mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I auswirkt … des bestimmungsgemäßen Zwecks, für den das Produkt geprüft wurde, führt» (Art. 3 Abs. 30).

«… wenn sich die wesentliche Änderung auf die Cybersicherheit des Produkts mit digitalen Elementen insgesamt auswirkt …» (Art. 22 Abs. 2)

Daraus folgt, dass die Auswirkungen einer Änderung untersucht werden müssen. Dies geschieht in der Regel durch eine Risikobewertung.

Darf ich Geld für Sicherheitsupdates verlangen?

Nein, es sei denn, es handelt sich um ein massgefertigtes Produkt für einen gewerblichen Nutzer, für das etwas anderes vereinbart wurde (Anhang I Teil II Abs. 8).

Was ist der technische Gültigkeitsbereich des CRA?

Welche Produkte sind betroffen?

Der CRA bezieht sich auf Software- und Hardwareprodukte und deren (zugehörige) Datenfernverarbeitungslösungen (Art. 2 Abs. 1). Damit sind reine Softwareprodukte und -komponenten (z.B. Anwendungen, Betriebssysteme), reine Hardwareprodukte und -komponenten (z.B. Mikrocontroller) und Kombinationen davon (z.B. Messgeräte, Kaffeemaschinen) gemeint.

«… deren bestimmungsgemässer Zweck oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt»

Betroffen sind also alle Geräte, die direkt oder indirekt mit anderen Geräten verbunden werden können.

Mein Gerät hat eine USB-Schnittstelle. Ist es betroffen?

Ja. Siehe oben.

Mein Gerät hat eine Bluetooth-Schnittstelle. Ist es betroffen?

Ja. Siehe oben.

Welche Lebensphasen eines Produktes sind betroffen?

Der gesamte Produktlebenszyklus von der Entwicklung über den Betrieb bis zur Ausserbetriebnahme (Art. 13 Abs. 2).

Gibt es eine minimale Produktlebensdauer?

Die Cybersicherheit muss für die erwartete Lebensdauer des Produkts, mindestens jedoch für 5 Jahre, gewährleistet sein.

Gibt es Ausnahmen?

Der CRA gilt nicht für (Art. 2 Abs. 2 – 8, Erwgr. 12):

• Medizinprodukte
• In-Vitro-Diagnostika
• Kraftfahrzeugen und Kraftfahrzeuganhängern
• Zivilluftfahrt
• Produkte der Nationale Sicherheit und Verteidigung
• Dienstleistungen (z.B. Cloud-Computing-Dienste)

Meine Cloud-Software ist also nicht betroffen?

Es kommt darauf an, ob es sich bei den angebotenen Cloud-Funktionen um Gerätefunktionen handelt, z. B. Fernsteuerung oder Fernkonfiguration von Geräten. Dann ist die Cloud-Software durch den CRA betroffen (Erwgr. 11, 12).

Die Cloud-Plattformen selbst fallen nicht unter den CRA, da sie in der EU-Richtlinie 2022/2555 (NIS2) geregelt sind.

Im Einzelfall kann die Abgrenzung zwischen Dienstleistung und Produkt mit digitalen Elementen bei Cloud-Diensten komplex sein.

Wie sind die Begriffe im CRA definiert?

Wie ist Cybersicherheit definiert?

Der CRA verwendet die Definition gemäss Artikel 2 Nummer 1 der Verordnung (EU) 2019/881 (Art. 3 Abs. 3)):

«`Cybersicherheit` bezeichnet alle Tätigkeiten, die notwendig sind, um Netz- und Informationssysteme, die Nutzer solcher Systeme und andere von Cyberbedrohungen betroffene Personen zu schützen»

Gibt es weiter Begriffsbestimmungen?

Art. 3 Abs. 1 - 51 definiert die in der CRA verwendeten Begriffe und wie diese zu verstehen sind, z.B. Software, Hardware, Komponenten, Inverkehrbringen etc.

Welche Anforderungen werden an mich gestellt?

Die Anforderungen hängen davon ab was für ein Wirtschaftsakteure ich bin. Der CRA unterscheidet Hersteller (Art. 13), Einführer (Art. 19), Händler (Art. 20) und Verwalter quelloffener Software (Art. 24).

Importeure und Händler werden automatisch zu Herstellern, wenn sie Produkte unter ihrem eigenen Namen oder ihrer eigenen Marke in Verkehr bringen oder diese wesentlich verändern (Art. 21, 22).

Was bedeuten die Sicherheitsstufen im CRA?

Welche Sicherheitsstufen gibt es?

Der CRA unterscheidet vier Stufen:

• Standard/ Basis Produkte (Art. 6)
  • z.B. Haushaltsgeräte, Messgeräte, IoT (Internet of Things) Geräte, Mobile- oder PC-Applikationen
• Wichtige Produkte (Klasse I) (Art. 7, Anhang III)
  • z.B. Virtuelle Assistenten, intelligente Türschlösser, Babyphones, Wearables mit dem Zweck der Gesundheitsüberwachung
• Wichtige Produkte (Klasse II) (Art. 7, Anhang III)
  • z.B. Firewall-Appliance
• Kritische Produkte (Art. 8, Anhang IV)
  • z.B. HSM-Appliance

Wie wirken sich die Sicherheitsstufen auf meine Tätigkeiten aus?

Alle Sicherheitsstufen müssen Anhang I entsprechen, d.h. alle Tätigkeiten müssen immer durchgeführt werden.

Der Unterschied zwischen den Sicherheitsstufen liegt in der Konzeption des Produkts, das ein der Sicherheitsstufe angemessenes Cybersicherheitsniveau gewährleisten muss (Anhang I Teil I Abs. 1), und im Konformitätsbewertungsverfahren (Anhang VIII).

Welche Normen muss ich erfüllen?

Derzeit gibt es noch keine harmonisierten Normen für die Verordnung. Harmonisierte Normen sind technische Standards, die von der EU-Kommission anerkannt sind und eine rechtlich vereinfachte Konformitätsbewertung ermöglichen. 

Bis zur Veröffentlichung solcher harmonisierten Normen können Hersteller auf etablierte Normen wie die Normenreihe IEC 62443 zurückgreifen.

Wie weise ich Konformität nach?

Kann der Nachweis der Konformität selbst erbracht werden?

Dies ist für Produkte der Sicherheitsstufe «Standard/ Basis» möglich (Art. 32 Abs. 1, Ewgr. 91). Das dazugehörige Verfahren (Modul A) ist im Anhang VIII Teil I beschrieben und verlangt:

• gewährleisten, dass Konzeption, Entwicklung, Herstellung und Behandlung von Schwachstellen der CRA entsprechen
• erstellen der technische Dokumentation gemäss Anhang VII
• anbringen der Konformitätskennzeichnung (CE-Kennzeichnung) und erstellen der EU-Konformitätserklärung

Der Hersteller muss gewährleisten und auf eigene Verantwortung erklären, dass der CRA entspricht. Siehe auch «Brauche ich dafür Prozesse? Wieso? Welche?» und «Welche Strafen drohen bei Nichteinhaltung des CRA?».

Wie weise ich die Konformität meines Produkts nach?

Der Nachweis der Konformität hängt von der Sicherheitsstufe des Produkts ab.

Standard/ Basis Produkte

• siehe oben

Alle höheren Sicherheitsstufen benötigen den Einbezug einer notifizierten Stelle.

Wichtige Produkte (Klasse I) (Art. 32 Abs. 2)

• EU-Baumusterprüfung (Modul B) gemäss Anhang VIII Teil II und Konformität mit dem Baumuster (Modul C) gemäss Anhang VIII Teil III.
  • Dies entspricht dem Standardverfahren zur Erlangung der CE-Kennzeichnung.

oder

• Konformität auf der Grundlage einer umfassenden Qualitätssicherung (Modul H) gemäss Anhang VIII Teil IV
  • Das Qualitätssicherungssystem muss von einer notifizierten Stelle zugelassen und regelmässig überprüft werden.
  • Dieses Verfahren ermöglicht es dem Hersteller, die Konformität auf der Grundlage des zugelassenen Qualitätssicherungssystems im Namen der benannten Stelle zu bescheinigen.

Wichtige Produkte (Klasse II) (Art. 32 Abs. 3)

• Gemäss Modul B und Modul C und Modul H (siehe Klasse I)

Kritische Produkte (Art. 32 Abs. 4)

• Benötigt ein europäisches Cybersicherheitszertifikat, mindestens der Vertrauenswürdigkeitsstufe «mittel» gemäss der Verordnung EU 2019/881

Was muss ich in der Produktentwicklung tun?

Das zentrale Element der CRA ist die Bewertung der Cybersicherheitsrisiken. Dieses Dokument wird zu Beginn der Produktentwicklung erstellt und anschliessend regelmässig aktualisiert (Art. 13 Abs. 2, 3).

Die Produktentwicklung (Planungs-, Konzeptions-, Entwicklungsphase) muss die Ergebnisse der Risikoanalyse berücksichtigen, um die Cybersicherheitsrisiken zu minimieren, Sicherheitsvorfälle zu verhindern und die Auswirkungen von Sicherheitsvorfälle zu minimieren.

Das Produkt muss so konzipiert, entwickelt und hergestellt werden, dass sie angesichts der Risiken ein angemessenes Cybersicherheitsniveau gewährleistet wird.

Die Cybersicherheitsanforderungen (Anhang I Teil I) müssen erfüllt werden. Gefordert werden unter anderem:

• Security by Design und bewährte Praktiken für einen sicheren (Software-)Entwicklungszyklus
• Security by Default (z.B. sichere Standardkonfiguration
• Minimierung potenzieller Angriffsflächen
• Schutz vor unbefugtem Zugriff
• Vertraulichkeit, Integrität und Verfügbarkeit (z.B. Secure Boot)
• Schutz personenbezogener Daten
• Protokollierung sicherheitsrelevanter Daten und Ereignisse

Die Technische Richtlinie TR-03183-1 des BSI beschreibt den Stand der Technik im Detail.

Ist eine Software-Stückliste vorgeschrieben?

Eine Software-Stückliste (Software Bill of Material (SBOM)) ist zwingend und muss in einer maschinenlesbaren Form vorliegen (Anhang I Teil II Abs. 1). Mögliche Formate sind CycloneDX oder SPDX.

Die Technische Richtlinie TR-03183-2 des BSI beschreibt die Anforderungen an eine SBOM im Detail.

Was muss während der Produktlebensdauer tun?

In Anhang I sind die Anforderungen an die Hersteller eines Produkts festgelegt, die während der gesamten Lebensdauer des Produkts erfüllt werden müssen.

Die Bewertung der Cybersicherheitsrisiken muss während dieser Phase (Herstellungs-, Liefer- und Wartungsphase) ständig aktualisiert werden (Teil I Abs. 2).

Es dürfen keine Produkte mit bekannten ausnutzbaren Schwachstellen auf dem Markt bereitgestellt werden. Dies ist durch aktive Massnahmen sicherzustellen (Teil II Abs. 3). Eine Software-Stückliste hilft dabei (Teil II Abs. 1).

Eine erkannte Schwachstelle muss unverzüglich gemeldet und geschlossen werden. Dazu muss ein Prozess vorhanden sein und gelebt werden (Teil II Abs. 5).

Sicherheitsaktualisierungen sind kostenlos zeitnah und sicher bereitzustellen, möglichst getrennt von funktionalen Aktualisierungen (Teil II Abs. 2, 7). Eine automatisierte und sichere Aktualisierung der Software ist anzustreben (Teil II Abs. 7).

Dritte müssen auf einfache Weise auf Schwachstellen im Produkt hinweisen können (Teil II Abs. 6). Dafür eignet sich der Quasistandard security.txt welcher auch vom Bundesamt für Cybersicherheit BACS empfohlen wird.

Ich habe eine Schwachstelle entdeckt! Was muss ich tun?

Eine erkannte Schwachstelle muss unverzüglich gemeldet und geschlossen werden.

Die Meldung muss eine Beschreibung der Schwachstelle mit Angaben enthalten, die es dem Nutzer ermöglichen, das betroffene Produkt, die Auswirkungen der Schwachstelle und deren Schweregrad zu erkennen.

Eine maschinenlesbare Meldung ist wünschenswert, da die manuelle Auswertung zeitaufwendig ist. Das Common Security Advisory Framework (CSAF) ist ein standardisiertes und quelloffenes Framework, um maschinenverarbeitbare Schwachstellen- und Mitigationsinformationen zu kommunizieren und automatisiert zu verteilen.

Die Technische Richtlinie TR-03183-3 des BSI und die dazugehörige Leitlinie geben Hinweise zum Umgang mit Schwachstellenmeldungen.

Welche Dokumentation muss ich erstellen?

Die Dokumentation ist in zwei Teile gegliedert:

• Technische Dokumentation
• Benutzerdokumentation

Die technische Dokumentation muss alle relevanten Daten oder Einzelheiten darüber enthalten, wie der Hersteller sicherstellt, dass das Produkt dem CRA entspricht (Art. 31 Abs. 1).

Die technische Dokumentation muss vollständig und in leicht verständlicher Sprache geschrieben sein und den Marktüberwachungsbehörden auf Antrag zur Verfügung gestellt werden (Artikel 53, 58). Sie muss es den Marktüberwachungsbehörden ermöglichen, die Konzeption, die Entwicklung, die Herstellung und den Umgang mit Schwachstellen zu ermöglichen (Artikel 31 Abs. 2).

Die technische Dokumentation beinhaltet mindesten (Anhang VII):

• allgemeine Beschreibung des Produkts
• Beschreibung der Konzeption, Entwicklung und Herstellung des Produkts
• Beschreibung des Verfahrens zur Behandlung von Schwachstellen
• Bewertung der Cybersicherheitsrisiken
• Informationen, die bei der Festlegung des Unterstützungszeitraums gemäss Art. 13 Abs. 8 berücksichtigt wurden
• Eine Liste der ganz oder teilweise angewandten harmonisierten Normen oder eine Beschreibung der Lösungen, mit denen die in Anhang I genannten grundlegenden Anforderungen an die Cybersicherheit erfüllt werden
• Berichte über die durchgeführten Tests und Prüfungen
• EU-Konformitätserklärung
• Software-Stückliste

Die Dokumentation ist vor dem Inverkehrbringen zu erstellen und während der gesamten Lebensdauer des Produkts zu aktualisieren (Art. 31 Abs. 2).

Das Kapitel 6 der Technische Richtlinie TR-03183-1 des BSI geht detailliert auf die Dokumentationspflichten ein.

Alois Cavelti

Haben Sie zusätzliche Fragen? Haben Sie eine andere Meinung? Wenn ja, mailen Sie mir oder kommentieren Sie Ihre Gedanken unten!