Mit dem Cyber Resilience Act, kurz CRA, sieht die EU-Kommission neue verbindliche Sicherheitsanforderungen für Produkte mit digitalen Elementen vor. Wir haben mit Ferdinand Grieger, Chief Legal Officer (CLO) der DGC und Aufsichtsratsvorsitzender der DGC Germany AG, darüber gesprochen, welche Änderungen auf Hersteller von Hard- und Software zukommen und weshalb Unternehmen branchen- und größenunabhängig auf eine erhöhte Cyber Resilience setzen sollten.
Was bedeutet Cyber Resilience und warum ist sie für Unternehmen wichtig?
Eine Legaldefinition, also eine vom Gesetzgeber vorgegebene Bedeutung von Cyber Resilience, gibt es nicht. Frei ausgelegt lässt sich der Begriff als Widerstandsfähigkeit eines Unternehmens gegen Hackerattacken und die Vorbereitung auf den Ausfall systemrelevanter Komponenten interpretieren. Unternehmensverbände, Versicherungen, die Politik, Strafverfolgungsbehörden und weitere ernstzunehmende Meinungsträger sind sich darin einig, dass Cyberkriminalität die größte Bedrohung für Unternehmen darstellt. Daher ist es für Unternehmen erfolgsentscheidend und Überlebens wichtig, für diese Gefahren gewappnet zu sein und eine entsprechende Cyber Resilience aufzubauen.
Mit dem Cyber Resilience Act soll IT-Sicherheit weiter gesetzlich verankert werden. Worum genau geht es?
Hinter der Bezeichnung Cyber Resilience Act verbirgt sich der Entwurf einer Verordnung der EU-Kommission: “CRA – „Regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020“.
Der CRA soll bereits bestehende Rechtsvorschriften im EU-Raum wie die NIS-Richtlinie oder den Europäischen Rechtsakt zur Cyber-Sicherheit ergänzen. Ziel der neuen Verordnung ist es, Unternehmen und Verbraucher zu schützen, die Produkte oder Software mit einer digitalen Komponente kaufen bzw. nutzen. Der am 15. September 2022 veröffentlichte Entwurf liegt derzeit dem Ministerrat und dem Europäischen Parlament zur Prüfung vor. Nach der Verabschiedung und Veröffentlichung im Amtsblatt der Europäischen Union wird der Cyber Resilience Act mit Übergangsfristen von 12 bzw. 24 Monaten in Kraft treten.
Welche Unternehmen sind von dem Cyber Resilience Act betroffen?
Der Cyber Resilience Act adressiert Hersteller von Produkten mit digitalen Elementen, die auf den EU-Markt gebracht werden, und soll verbindliche Cybersicherheitsanforderungen definieren. Betroffen sind daher Hersteller von Hardwareprodukten, wie etwa mobilen Geräten und Netzwerkegeräten, sowie Unternehmen, die Softwareprodukte entwickeln. Der Gesetzesentwurf nimmt aber nicht nur den „klassischen“ Hersteller im Sinne eines Produzenten, sondern auch die Importeure von Produkten mit digitalen Elementen, die beispielsweise „White-Label-Waren“ mit ihrem eigenen Kennzeichen versehen und vertreiben, in die Pflicht. Vom CRA ausgenommen sind hingegen Hersteller von Medizinprodukten und Fahrzeugsicherheitssystemen.
Welche neuen gesetzlichen Pflichten kommen auf diese Unternehmen zu?
Die genannten Adressaten der Verordnung müssen bei dem Angebot von Produkten mit digitalen Elementen bestimmte Vorgaben beachten. Die Vorgaben sind für Hersteller und Importeure unterschiedlich. Die wichtigsten neuen Pflichten sehen wie folgt aus:
Einhaltung der Pflichten im gesamten Wertschöpfungsprozess
Hersteller sind nach dem CRA verpflichtet, während der Planungs-, Entwurfs-, Entwicklungs-, Produktions- und Vertriebsphase eines Produkts mit digitalen Elementen die Anforderungen des CRA an Cybersicherheit zu erfüllen. Dadurch sollen im gesamten Wertschöpfungsprozess Sicherheitsrisiken eingegrenzt, Sicherheitsvorfälle verhindert und die Auswirkungen von Sicherheitsvorfällen, auch in Bezug auf die Gesundheit und Sicherheit der Nutzer, minimiert werden.
Kontinuierliche Überwachung, Bereitstellung von kostenfreien Updates & Meldepflicht
Zudem müssen Hersteller ihre Produkte während des gesamten Lebenszyklus (im CRA ist von fünf Jahren die Rede) überwachen und beim Auftreten von Schwachstellen kostenfreie Updates zur Verfügung stellen. Tritt ein Vorfall auf, der sich auf die Sicherheit eines Produkts mit digitalem Inhalt auswirkt, muss der Hersteller dies der EU-Cybersicherheitsbehörde ENISA melden.
Cyber Resilience Act: Änderung für Unternehmen mit „kritischen Produkten“
Weiterführende Pflichten treffen Hersteller von „kritischen Produkten“, für die ein besonderes Konformitätsverfahren vorgesehen ist. Zu den kritischen Produkten gehören nach dem Anhang III des CRA zwei Klassen: Zur Klassen 1 gehören unter anderem Internetbrowser, Antiviren-Programme, Passwortmanager und VPN. Die Klasse 2 umfasst beispielsweise Kartenlesegeräte, Desktops und mobile Endgeräte sowie sämtliche Geräte, die auf „Internet of Things (IoT)“ setzen.
Importeure und Händler hingegen müssen prüfen, ob der Hersteller die Vorgaben der Verordnung einhält oder nicht. Die Prüfungspflicht umfasst auch eine durch den Hersteller vorgenommene CE-Kennzeichnung.
Sie wollen wissen, wie die Cyber Resilience Ihres Unternehmens gezielt optimiert werden kann?
Auf welche rechtlichen Folgen müssen sich Unternehmen bei Verstößen einstellen?
Adressierte Unternehmen müssen bei Verstößen mit weitreichenden rechtlichen Folgen rechnen. Die zuständigen Aufsichtsbehörden sind ermächtigt, Bußgelder in Höhe von bis zu 15 Millionen Euro oder 2,5 Prozent des globalen Umsatzes des verletzenden Unternehmens zu verhängen. Darüber hinaus können sie veranlassen, dass unzureichend geschützte Produkte vom Markt genommen werden müssen.
Etwaige Haftungsrisiken sollten Entscheider generell im Blick behalten – auch über den CRA hinaus. Wird das eigene Unternehmen Opfer eines Cyberangriffes, kann die Führungsetage bei unzureichender Absicherung mit ihrem Privatvermögen zur Verantwortung gezogen werden.
Was spricht für oder auch gegen den CRA-Gesetzentwurf?
Dass dem Thema Cybersicherheit im gesamten Lebenszyklus eines Produktes mit digitalen Elementen und damit mit potenziellen Angriffsvektoren für Cyberkriminelle, Aufmerksamkeit geschenkt wird, ist zu begrüßen. Hersteller sind damit gezwungen, sich diesem Thema zu widmen. Im besten Fall ist zu erwarten, dass zukünftig widerstandfähigere und sicherere Produkte auf den Markt kommen. Verwender dieser Produkte haben, bei bestmöglichem Effekt des CRA, dadurch schon während der Verwendung der erworbenen Produkte ein höheres Cybersicherheitslevel.
Es bleibt jedoch abzuwarten, wie die konkrete Umsetzung des Cyber Resilience Acts aussehen wird und ob die hiermit ggf. erzielbaren Effekte geeignet sind, Cyberrisiken auf lange Sicht zu einer kontrollierbaren Größe zu machen.
Cyber Resilience ist generell eine erfolgskritische Aufgabe – worauf sollten Unternehmen hierbei achten?
Unternehmen sollten, unabhängig von Branche, Größe oder einer für sie geltenden Regulierung, in Sachen Cybersicherheit selbst und umfassend tätig werden. Überspitzt gesagt müssen Unternehmen der Regulierung durch den Gesetzgeber zeitlich und qualitativ voraus sein. Nur so können existenzvernichtende Angriffe und Haftungsrisiken wirksam vermieden werden.
Unternehmen müssen Cybersicherheit zur Chefsache erklären. Zu Anfang gilt es, den Status Quo der Cybersicherheit im Unternehmen zu klären, ein schlüssiges IT-Sicherheitskonzept zu entwickeln und das Unternehmen von einer Art „digitalen Wachdienst“ beschützen zu lassen. Idealerweise erfolgt dies durch regelmäßige interne und externe Schwachstellenscans mithilfe eines leistungsstarken IT-Security Tools und Ernstfallsimulationen durch Penetrationstests. Auch dem Risikofaktor Mensch, sprich dem Trend zum Social Engineering , muss mit Security Awareness Trainings entgegengewirkt werden.
Weshalb lohnt es sich, externe Expertise einzubeziehen – und wie unterstützt die DGC bei der Stärkung der Cyber Resilience?
IT-Sicherheitsverantwortliche sollten das Thema Cybersicherheit mit Nachdruck bei der Unternehmensleitung platzieren und auf eine ausreichende Budgetierung bestehen. Das dies, mehr denn je, notwendig ist, veranschaulicht unter anderem der aktuelle BSI-Lagebericht. Wichtig ist bei der Erarbeitung eines individuellen IT-Sicherheitskonzeptes auch immer die Einbindung einer externen Prüfungsinstanz. Allein zur Vermeidung von Betriebsblindheit ergibt eine solche Auslagerung Sinn. Im Bereich Steuern und Wirtschaftsprüfung ist dieses System seit Jahrzehnten in Kraft und bewährt. Kein Steuerberater darf seinen eigenen Abschluss prüfen und testieren.
Die Kooperation mit externen, erfahrenen und kompetenten Dienstleistern wie der DGC hebt das Cybersicherheitsniveau auf ein neues Level. Schon die Vervielfachung der Mannstärke, mit der das Unternehmen, nach dem Engagement der DGC, für Cybersicherheit sorgt, ist aus eigener Kraft kaum wirtschaftlich sinnvoll erreichbar. Auch das damit in Anspruch genommene und ständig durch Praxisnähe erweiterte Know-how ist ein wichtiger Faktor hin zu mehr Cybersicherheit.
Vielen Dank für das Interview.
