In ihrem Vortrag am ersten Tag der Packaging Machinery Conference 2024 leisteten Simon Brockschmidt, Senior Associate für Industrial & Product Cyber Security, und Kai Rohde, Manager für Industrial & Product Cyber Sercurity, PWC Cyber Security Services, darum wichtige Aufklärungsarbeit und gaben einen umfassenden Überblick über die wichtigsten Anforderungen des CRA an Produkthersteller und den Zeitplan für dessen Umsetzung. Natürlich mit Fokus auf den Verpackungsmaschinenbau und den hier relevanten To-dos, um die Cyberresilienz zu erhöhen.
Um was geht es beim Cyber Resilience Act?
Der Cyber Resilience Act (CRA), der im März 2024 vom Europäischen Parlament verabschiedet wurde, stellt eine bedeutende Neuerung in der Cybersecurity-Regulierung dar und betrifft alle Produkte mit digitalen Elementen, die im europäischen Markt in Verkehr gebracht werden. Ziel ist es, einen europaweit einheitlichen Standard für die Cybersicherheit von Produkten zu schaffen. „Dabei geht es nicht nur um Mikrocontroller oder speicherprogrammierbare Steuerungen, sondern um alle Produkte mit digitalen Elementen“, betonte Brockschmidt bei seinem Vortrag und fuhr fort: „Er zielt darauf ab, Produkte über ihren gesamten Lebenszyklus hinweg abzusichern – von der Entwicklung über die Produktion und den Betrieb bis hin zur Außerbetriebnahme.“
Dabei ist der Cyber Resilience Act für alle Produkte relevant, die im europäischen Markt in Verkehr gebracht werden – unabhängig davon, ob diese von Herstellern, Händlern oder anderen Akteuren stammen. Dies bedeutet, dass Unternehmen, die Produkte mit digitalen Komponenten verkaufen, unabhängig von ihrem Standort, die Anforderungen des CRA erfüllen müssen.
Anforderungen und Pflichten des Cyber Resilience Act
Kai Rohde ging näher auf die spezifischen Anforderungen des Cyber Resilience Act ein und erklärte, dass das Gesetz sowohl technische als auch organisatorische Anforderungen an Unternehmen stellt. Zu den technischen Anforderungen gehören die Durchführung von Risikoassessments, die Erstellung einer Software-Bill of Materials (SBOM) und die Bereitstellung von Sicherheitsupdates über die gesamte Nutzungsdauer der Produkte – wobei die Hersteller diese nur in den ersten fünf Jahren kostenlos bereitstellen müssen.
Ein weiterer wichtiger Punkt sind die strikten Meldepflichten des CRA: Unternehmen sind verpflichtet, innerhalb von 24 Stunden nach Entdeckung einer Schwachstelle die entsprechenden Behörden zu informieren. „Und diese Uhr beginnt auch dann zu ticken, wenn eine Schwachstelle außerhalb der normalen Geschäftszeiten entdeckt wird“, betonte Rohde.
Bußgelder und Durchsetzung des Cyber Resilience Act
Um die Einhaltung des Cyber Resilience Act sicherzustellen, hat die EU empfindliche Bußgelder vorgesehen. Diese können bis zu 15 Mio. Euro oder 2,5 % des globalen Jahresumsatzes eines Unternehmens betragen – was für einen größeren Konzern dann erhebliche Summen bedeuten kann. Dazu Brockschmidt mit leichtem Augenzwinkern: „Rein aus wirtschaftlichem Interesse ist es darum vermutlich im Interesse jeden Unternehmens, die entsprechenden Anforderungen zu adressieren und umzusetzen.“ Mit diesen strengen Sanktionen will die EU sicherstellen, dass Unternehmen die Cybersecurity ernst nehmen und die notwendigen Maßnahmen ergreifen.
Wer ist betroffen – und wo gelten Ausnahmen?
Der Cyber Resilience Act betrifft alle Produkte mit digitalen Elementen, von Smartwatches und Bluetooth-Lautsprechern bis hin zu komplexen industriellen Anlagen wie Verpackungsmaschinen. Es gibt jedoch einige Ausnahmen für bestimmte Produktkategorien, die bereits unter spezifische EU-Cybersecurity-Regularien fallen, wie medizinische Geräte, Automobilprodukte sowie Marine- und Luftfahrtprodukte.
Klassifizierung und Nachweis der CRA-Konformität
Produkte teilt der Cyber Resilience Act in vier Risikoklassen ein, wobei die meisten in die Standardkategorie fallen. Für diese Produkte können Unternehmen die Konformität inhouse nachweisen, indem sie die Anforderungen des CRA selbst überprüfen und umsetzen.
Für höherwertige Produkte, die als wichtig eingestuft werden, müssen harmonisierte Standards herangezogen werden. Diese werden derzeit von der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) entwickelt und sollen industriebekannte Standards wie die ISO-27000-Familie umfassen.
Für Produkte, die in die höchsten Risikokategorien fallen, sind strengere Nachweise erforderlich, einschließlich Third-Party-Assessments und Zertifizierungen durch anerkannte Stellen wie den TÜV. Rohde fügte hinzu: „Man kann davon ausgehen, dass Verpackungsmaschinenbauer nicht in diese Kategorie fallen, da diese in aller Regel keinen Teil der sogenannten kritischen Infrastruktur bilden.“
Umsetzungszeitplan und Übergangsfristen des Cyber Resilience Act
Der aktuelle Status des Cyber Resilience Act ist, dass das Europäische Parlament das Gesetz bereits im März 2024 verabschiedet hat und der Europäische Rat es im Juni 2024 genehmigte. Nach der Veröffentlichung im offiziellen Journal der EU startet dann eine Übergangszeit von 36 Monaten, innerhalb der Unternehmen die Anforderungen des CRA vollständig umsetzen müssen. Es gibt jedoch auch wichtige Zwischenfristen: So müssen Unternehmen bereits nach 21 Monaten bekannte Schwachstellen melden.
Es wird noch viel Arbeit auf Sie zukommen, die erfüllt werden muss
Strategien zur Umsetzung des Cyber Resilience Act
Brockschmidt und Rohde gaben den Teilnehmern zum Abschluss ihres Vortrags noch eine Checkliste zur Hand, um die Herausforderungen des CRA zu bewältigen. Die ersten Schritte umfassen die Identifizierung der betroffenen Produkte und die Zuweisung von Verantwortlichkeiten und Budgets innerhalb des Unternehmens. Wichtig sei es, die Awareness für Cybersecurity im eigenen Unternehmen zu steigern und sicherzustellen, dass alle Beteiligten in den Prozess eingebunden seien, so Brockschmidt: „Wenn Sie diese Übersicht haben und wissen, dass Sie betroffen sind und auch wissen, für welche Produkte Ihres Portfolios dies der Fall ist, müssen Sie im nächsten Schritt entsprechende Verantwortungen und Zuständigkeiten regeln.“
Ein weiterer wichtiger Schritt ist der Vergleich von Ist- und Soll-Zustand, also zu ermitteln, welche Anforderungen des Cyber Resilience Act bereits erfüllt sind und wo noch Handlungsbedarf besteht. Dazu gehört auch die Durchführung von Risikoassessments und die Planung konkreter Maßnahmen zur Schließung identifizierter Lücken. Abschließend sollten Unternehmen eine Roadmap erstellen, um die Umsetzung des CRA über die kommenden Jahre zu planen und sicherzustellen, dass alle Anforderungen rechtzeitig erfüllt werden. „Es wird noch viel Arbeit auf Sie zukommen, die erfüllt werden muss“, schloss Brockschmidt, „aber mit einer klaren Roadmap und einer strategischen Herangehensweise können Sie den Herausforderungen des CRA erfolgreich begegnen.“
Der Cyber Resilience Act für Maschinenbauer
1. Geltungsbereich und Anwendbarkeit
- Der CRA gilt für alle Produkte mit digitalen Elementen, einschließlich Maschinen mit integrierten digitalen Komponenten, die auf dem EU-Markt verkauft werden. Dies umfasst Hardware und Software, die in Industriemaschinen verwendet werden, wie Steuerungssysteme, Sensoren und Kommunikationsgeräte.
2. Wesentliche Sicherheitsanforderungen
- Risikobewertung: Hersteller müssen eine detaillierte Risikobewertung durchführen, um die Anwendbarkeit der wesentlichen Anforderungen für ihre Produkte zu beurteilen. Dies beinhaltet die Analyse potenzieller Schwachstellen und die Gewährleistung, dass ihre Produkte keine bekannten ausnutzbaren Schwachstellen aufweisen, wenn sie auf den Markt gebracht werden.
- Design und Entwicklung: Produkte müssen so entworfen, entwickelt und hergestellt werden, dass Cyberangriffe eingeschränkt und deren Auswirkungen gemindert werden. Dies schließt die Integrität und Verfügbarkeit gespeicherter Informationen ein.
- Sicherheitsupdates: Hersteller müssen sicherstellen, dass Schwachstellen durch Sicherheitsupdates behoben werden können, einschließlich der Bereitstellung automatischer Updates, von denen sich Benutzer bei Bedarf abmelden können.
3. Dokumentation und Konformität
- Technische Dokumentation: Hersteller müssen technische Dokumentationen erstellen, die Risikobewertungen, Designinformationen und Details zum Schwachstellenmanagementprozess enthalten. Diese Dokumentation muss den Marktüberwachungsbehörden auf Anfrage zur Verfügung gestellt werden.
- Konformitätserklärung: Hersteller müssen eine EU-Konformitätserklärung erstellen, die bestätigt, dass ihre Produkte die CRA-Anforderungen erfüllen, und das CE-Kennzeichen an ihren Produkten anbringen als Symbol für die Konformität.
4. Benutzerinformationen und Anweisungen
- Benutzerhandbücher: Produkte müssen mit klaren Benutzerhandbüchern geliefert werden, die die beabsichtigte Verwendung des Produkts, wesentliche Funktionen und Sicherheitsmerkmale beschreiben. Diese Handbücher sollten auch Anleitungen zur sicheren Konfiguration, Installation von Sicherheitsupdates und sicheren Entfernung von Benutzerdaten enthalten.
5. Schwachstellenmanagement
- SBOM (Software Bill of Materials): Hersteller müssen eine Software-Stückliste führen, die alle Softwarekomponenten dokumentiert und Schwachstellen umgehend behebt. Sie müssen auch eine koordinierte Offenlegungspolitik für Schwachstellen einrichten und behobene Schwachstellen öffentlich bekannt machen.
6. Konformitätsverfahren
- Konformitätsbewertung: Produkte werden basierend auf ihrem Risikoniveau kategorisiert, mit unterschiedlichen Anforderungen für die Selbstbewertung oder die Bewertung durch Dritte. Produkte, die als „kritisch“ oder „wichtig“ eingestuft werden, müssen strengere Konformitätsbewertungen durchlaufen, oft unter Einbeziehung einer Zertifizierung durch Dritte.
7. Kontinuierliches Sicherheitsmanagement
- Support und Updates: Hersteller sind verpflichtet, kontinuierlichen Support einschließlich regelmäßiger Sicherheitsupdates für einen definierten Zeitraum zu bieten, der mit der erwarteten Lebensdauer des Produkts übereinstimmt. Dies stellt sicher, dass die Produkte gegen sich entwickelnde Bedrohungen gesichert bleiben.