MenüSchließen

(Foto: © tapati/123RF.com)

Cyber Resilience Act: Überblick über Hintergründe und Ziele

Aktuelles

Die zunehmende Digitalisierung und Vernetzung unserer Gesellschaft bringt nicht nur immense Vorteile, sondern auch erhebliche Herausforderungen mit sich.

Hierzu gehören vor allem Cyberangriffe, die stetig zunehmen und immense wirtschaftliche Schäden verursachen. Vor diesem Hintergrund hat die Europäische Kommission den Cyber Resilience Act (CRA) verabschiedet.

Von Manuel Poncza und Michael Kuska, LL.M., LL.M.

• Hintergründe und Ziele des CRA: Der Cyber Resilience Act ist Teil der EU-Cybersicherheitsstrategie. Sie zielt darauf ab, die digitale Souveränität Europas zu sichern und die Cyberresilienz europäischer Unternehmen zu erhöhen. Der CRA verfolgt dabei mehrere zentrale Ziele. Diese umfassen insbesondere:

• Die Erhöhung der Cybersicherheit von Produkten mit digitalen Elementen: Der CRA soll sicherstellen, dass alle in der EU verkauften "Produkte mit digitalen Elementen" grundlegende Sicherheitsanforderungen einhalten. Dies umfasst sowohl Hard- als auch Software, solange diese über sogenannte "Datenfernverarbeitungslösungen" verfügen, also etwa internetfähig sind.

• Die Förderung der Verantwortlichkeit und Transparenz: Hersteller von Produkten mit digitalen Elementen sollen Sicherheitsrisiken identifizieren und beheben. Zudem sollen sie transparent über die Sicherheitsmerkmale und -lücken ihrer Produkte informieren. Dies soll das Vertrauen der Verbraucher stärken und die Marktanreize für sichere Produkte erhöhen.

Cybersicherheit als Produktsicherheitsanforderung

Systematisch erreicht der CRA diese Ziele, indem er Herstellern, Einführern und Händlern von Produkten mit digitalen Elementen im Produktsicherheitsrecht weitreichende Pflichten auferlegt. Dazu zählt etwa die Pflicht zur fortwährenden Gewährleistung der grundlegenden Cybersicherheitsanforderungen während der Produktentwicklung. Diese grundlegenden Cybersicherheitsanforderungen sind in einem umfangreichen Katalog im CRA festgelegt.

Zu den weiteren Pflichten gehören:
• die Durchführung einer Konformitätsbewertung,
• die Anfertigung und Bereitstellung einer technischen Dokumentation,
• die CE-Kennzeichnung sowie
• die Pflicht zum Beheben und Melden von bekannt werdenden Sicherheitsschwachstellen.

Einführer und Händler müssen vor dem Inverkehrbringen von Produkten mit digitalen Elementen prüfen, ob die Hersteller diese und andere Verpflichtungen einhalten.

Die regulatorische Vorgabe von Cybersicherheitsanforderungen in der Aufzugs- und Fahrtreppenbranche ist dabei grundsätzlich nichts Neues. So folgen bereits aus der von der Bundesanstalt für Arbeitsschutz und Arbeitsmedizin (BAuA) im März 2023 veröffentlichten "TRBS 1115 Teil 1: Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen" zahlreiche Anforderungen an das Cybersicherheits-Risikomanagement.

Rahmenwerk für das Cybersicherheits-Risikomanagement

Foto: © okapidesign/ Frei nutzbar gemäß Adobe Firefly-LizenzFoto: © okapidesign/ Frei nutzbar gemäß Adobe Firefly-Lizenz

Der zentrale Unterschied zwischen der TRBS 1115-1 und dem CRA ist jedoch, dass die TRBS 1115-1 ein Rahmenwerk für das Cybersicherheits-Risikomanagement darstellt. Der CRA reguliert dagegen die Sicherheit der gegenständlichen Produkte mit digitalen Elementen selbst und richtet sich damit nicht an die Betreiber, sondern an Hersteller, Einführer und Händler solcher Produkte.

Der CRA enthält zudem zahlreiche Vorgaben für die Produktentwicklung und -überwachung, etwa zum Schwachstellenmanagement, die die TRBS 1115-1 in dieser Form nicht kennt. Damit besteht ein signifikanter Unterschied hinsichtlich des Adressatenkreises und des Pflichtenkreises.

Daneben führt der CRA ein neues Sanktionsregime ein. Hiernach erhalten die zuständigen Aufsichtsbehörden die Befugnis, direkt gegen relevante Wirtschaftsakteure vorzugehen. Dabei können sie – bei Vorliegen der entsprechenden Voraussetzungen – Aufsichts- und Durchsetzungsmaßnahmen unmittelbar gegen diese ergreifen. Dies kann auch Bußgelder und Zwangsrückrufe umfassen.

Fazit

Der CRA ist ein wichtiger Schritt zur Stärkung der Cybersicherheit in der Europäischen Union und findet zusätzlich zu der TRBS 1115-1 Anwendung. Dies führt zu einer deutlichen Erhöhung der Cybersicherheit von Aufzugsanlagen und ihren technischen Systemen.

Zwar gilt der CRA erst ab September 2026 bzw. Dezember 2027, es sollte jedoch bereits jetzt geprüft werden, inwiefern bestehende Entwicklungs-, Prüf- und Beschaffungsprozesse angepasst werden müssen, um die Vorgaben des CRA angemessen zu berücksichtigen.

Die Autoren sind auf IT-Sicherheitsrecht spezialisierte Rechtsanwälte und Salaried Partner der Kanzlei Heuking. Beide wurden mehrfach im Bereich des IT-Sicherheitsrechts zertifiziert und ausgezeichnet.


TRBS 1115-1: Die TRBS 1115-1 ist ein Rahmenwerk für das Cybersicherheits-Risikomanagement. Diese Regelung findet neben dem CRA weiterhin Anwendung.

Das könnte Sie auch interessieren: