Die Verordnung über Cyber-Resilienz
Erste Schritte in Richtung Compliance
Die Verabschiedung der EU-Verordnung über Cyber-Resilienz wird für die kommenden Monate erwartet. Im Anschluss daran müssen die Normadressaten die Umsetzung der im Cyber Resillience Act (CRA) genannten Verpflichtungen vorbereiten, um sich ab dem Zeitpunkt, ab dem die Verordnung anwendbar sein wird, regelkonform zu dieser verhalten zu können. Vor diesem Hintergrund skizziert der vorliegende Beitrag erste mögliche Schritte auf dem Weg zur Compliance.
Die europäische Verordnung über Cyber-Resilienz (kurz: CRA), die – einfach ausgedrückt – verhindern soll, dass netzwerkfähige Hardware- oder Software-Produkte als Einfallstor für Hacking-Angriffe ausgenutzt werden, soll in den kommenden Monaten formal verabschiedet werden. Danach soll es eine Übergangsfrist von 21 bis 36 Monaten geben, bevor der CRA anwendbar werden wird. Die Übergangsfrist soll Organisationen, die den CRA beachten müssen, genügend Zeit einräumen, um die für sie einschlägigen Pflichten umzusetzen, sodass sie zum Zeitpunkt der Anwendbarkeit des CRA regelkonform sind.
Compliance zum CRA kann auf vielfältige Art und Weise erreicht werden. In den folgenden Abschnitten soll deshalb nur eine Vorgehensweise vereinfacht und zusammenfassend skizziert werden. Sie stellt erste wichtige Schritte vor, die in betroffenen Organisationen bereits jetzt vorbereitet werden können, um rechtzeitig CRA-konform zu sein. Da der finale Verordnungstext noch nicht verabschiedet ist sind die fol- genden Aussagen als vorläufig zu betrachten, sofern sie sich unmittelbar auf den Inhalt des CRA beziehen.
Prüfung der Eröffnung des Anwendungsbereichs
Bevor Gedanken zur effizienten Umsetzung der rechtlichen Verpflichtungen angestellt werden können, gilt es zunächst zu untersuchen, ob die betreffende Organisation überhaupt als Normadressat des CRA zu qualifizieren ist: Im Grundsatz gilt der CRA für alle Produkte mit digitalen Elementen, die eine Verbindung zu einem anderen Gerät oder Netz aufbauen können. Einzelne Ausnahmen können für Produkte gelten, die bereits anderweitig sektorspezifischen Regularien zur Bewältigung von Cybersicherheitsrisiken unterliegen. Im Ergebnis ist der Anwendungsbereich damit sehr weit und umfasst nahezu jede Software oder Hardware, welche eine Datenverbindung mit einem Gerät oder Netz eingehen kann. Dazu ist nicht einmal eine Verbindung zum Internet erforderlich. Der CRA umfasst also sowohl physische Produkte wie Festplatten, Router, Drucker, Smart-Home-Geräte als auch digitale Produkte wie Browser, Apps oder Passwort-Manager.
Welche konkreten Verpflichtungen mit dem CRA verbunden sind, ist maßgeblich von der Rolle der betreffenden Organisation abhängig, und zwar, ob es sich um einen Hersteller, Einführer/Importeur oder Händler handelt. Im Gegensatz zum Einführer muss der Hersteller dabei nicht einmal in der Europäischen Union (EU) niedergelassen sein. Wiederum gibt es einen Einführer nur dann, wenn sich der Hersteller außerhalb der EU befindet; ist der Hersteller in der EU ansässig gibt es folgerichtig auch keinen Einführer (des Produkts in die EU). Im Gegensatz zum Hersteller und Einführer kann es regelmäßig mehrere Händler in der Lieferkette eines Produkts geben. Sofern Einführer oder Händler wesentliche Änderungen am Produkt vornehmen oder dieses unter eigenem Namen vermarkten, können die (umfassenden) Pflichten des Herstellers auf diese übergehen.
Identifizieren einschlägiger Pflichten
Im nächsten Schritt müssen – bei Anwendbarkeit des CRA – die für die Organisation einschlägigen Pflichten identifiziert werden. Diese sind maßgeblich von der Rolle der Organisation abhängig.
Der Hersteller hat unter anderem risikoabhängig die Cybersicherheitsanforderungen an sein Produkt von Anfang an bei dessen Entwicklung und Herstellung zu berücksichtigen (Security by Design). Zudem hat er in seiner Organisation ein System aufzubauen, mit dem ihm Schwachstellen in seinem Produkt (aus internen und externen Quellen) an ihn gemeldet werden können, sodass er diese beheben kann. In diesem Zusammenhang ist er auch zur Bereitstellung von Sicherheitsupdates innerhalb des Support-Zeitraums verpflichtet. Dieser beträgt im Regelfall fünf Jahre. Um nachzuweisen, dass der Hersteller die Anforderungen an sein Produkt und an sein System zur Schwachstellenbehandlung rechtskonform umgesetzt hat, ist er verpflichtet ein Konformitätsbewertungsverfahren durchzuführen oder durchführen zu lassen. Weitere Pflichten des Herstellers bestehen hinsichtlich der Information der Nutzer seiner Produkte (um für mehr Transparenz bei der Cybersicherheit zu sorgen) sowie Dokumentations- und Meldepflichten, zum Beispiel von aktiv ausgenutzten Schwachstellen gegenüber der zuständigen Behörde.
Demgegenüber hat ein Einführer insbesondere sicherzustellen, dass der Hersteller seinen Verpflichtungen nachgekommen ist, bevor der Einführer das Produkt in der EU verfügbar macht. Daneben treffen den Einführer auch eigene Dokumentations-, Informations- und Meldepflichten.
Die Verpflichtungen des Händlers ähneln denen des Einführers, fallen insgesamt aber deutlich geringer aus.
Freigabe der Umsetzungsressourcen
Die Umsetzung (neuer) rechtlicher Pflichten ist in Organisationen regelmäßig mit Kosten verbunden. Somit sollte nach der Identifizierung der einschlägigen Pflichten im nächsten Schritt die Freigabe der Umsetzungsressourcen geklärt werden.
Da die Freigabe von Geldern in Organisationen in der Regel auf höchster Führungsebene entschieden wird, ist es ratsam, schon frühzeitig wichtige Informationen rund um die neuen rechtlichen Pflichten für die Managementebene zusammenzustellen. Hierbei sollten unter anderem das Schutzziel der neuen rechtlichen Pflichten, die geschätzten Umsetzungskosten und der anvisierte Umsetzungszeitraum beschrieben werden. Zusätzlich sollte skizziert werden, welche Konsequenzen es für die Organisation haben könnte, wenn die rechtlichen Pflichten nicht, nicht vollständig oder verspätet umgesetzt würden. In diesem Zusammenhang sollten sowohl direkte finanzielle Risiken wie potenzielle Bußgelder als auch sonstige Risiken benannt werden.
Der Bußgeldkatalog des CRA ähnelt dabei dem der DSGVO: Wo in der DSGVO Bußgelder bis zu 20 Millionen Euro oder vier Prozent des gesamten weltweit erzielten Jahresumsatzes möglich sind, drohen bei Verstößen gegen den CRA bis zu 15 Millionen Euro oder zweieinhalb Prozent. Auch die Formulierung, die vorgesehenen Sanktionen sollten „wirksam, verhältnismäßig und abschreckend“ sein, lässt sich in beiden Rechtsakten finden. Basierend auf diesen Informationen sollten sodann die Umsetzungsressourcen festgelegt und freigegeben werden.
Bildung eines Umsetzungs-Teams
Im nächsten Schritt sollte innerhalb der Organisation ein Team gebildet werden, dass die Umsetzung des CRA organisationsintern durchführt. Auch hierbei ist es ratsam, möglichst frühzeitig zu entscheiden, welche Kompetenzen mit welchen (geschätzten) Ressourcen und in welchen Zeiträumen an der CRA-Umsetzung beteiligt sein sollten, um sodann die Verfügbarkeit der Personen im jeweils erforderlichen Zeitraum einplanen zu können. Zentrale Ressourcen zur Umsetzung des CRA können insbesondere der Informationssicherheitsbeauftragte oder IT-Verantwortliche sowie Mitarbeiter der organisationsinternen Rechts- und/oder Compliance-Abteilung sein, die die Umsetzung idealerweise als interdisziplinäres Team begleiten sollten. Bei Querschnittsaufgaben, die sowohl die Umsetzung des CRA als auch die Umsetzung der DSGVO betreffen, ist eventuell zusätzlich der Datenschutzbeauftragte oder -koordinator der Organisation einzubinden.
Ableiten und Umsetzen von Maßnahmen aus Perspektive des Händlers
Im letzten Schritt sollte sich das zuvor gebildete Team mit der Ableitung und Umsetzung von Maßnahmen befassen.
Der CRA verfolgt hinsichtlich der Cybersicherheitsanforderungen an das Produkt einen risikobasierten Ansatz, das bedeutet, dass sich Maßnahmen zur Absicherung eines Produkts am Cybersicherheitsrisiko orientieren müssen, das mit dem Einsatz des Produkts einhergeht. Im Rahmen einer verpflichtend durchzuführenden Risikoanalyse müssen Hersteller deshalb im ersten Schritt mögliche Cybersicherheitsrisiken identifizieren und die Wahrscheinlichkeiten für deren Eintreten einschätzen.
Nachdem der Hersteller seine Risikoanalyse initial abgeschlossen hat, legt er fest, wie er die ermittelten Risiken behandeln will. Besteht nur ein geringes Risiko, kann es sein, dass wenige oder gar keine zusätzlichen Sicherheitsmaßnahmen benötigt werden; ist umgekehrt ein hohes Risiko mit dem Produkt verbunden, sind unter Umständen umfangreiche Sicherheitsmaßnahmen vorzusehen.
Die Wirksamkeit der umgesetzten Maßnahmen muss vom Hersteller über den Lebenszyklus – konkret: bis zum Ablauf des Support-Zeitraums – des Produkts hinweg überwacht und unzureichende Maßnahmen nachgebessert werden. In puncto Nachbesserung besitzen viele Produkte heute schon eine Aktualisierungsfunktion mit deren Hilfe Endanwender über die Verfügbarkeit einer neuen Version des Produkts informiert werden, häufig auch mit der Möglichkeit das Produkt zu aktualisieren. Derlei Aktualisierungsfunktionen werden zur Behebung von Programmfehlern oder zur Einführung neuer oder verbesserter Funktionen eingesetzt, aber auch zur Behebung von Schwachstellen, die zu Cybersicherheitsvorfällen führen können. Letzteres ist durch den CRA nunmehr von Herstellern zwingend umzusetzen, um die Cybersicherheit über den ganzen Lebenszyklus des Produkts hinweg zu gewährleisten. Hersteller werden somit gesetzlich verpflichtet, Schwachstellen in ihrem Produkt zu beheben, unabhängig davon, ob sie durch eigene Erkenntnisse oder durch externe Quellen darüber informiert wurden. Neue Erkenntnisse können zu einer Neubewertung des Risikos führen und veränderte oder zusätzlichen Sicherheitsmaßnahmen im Produkt notwendig machen.
Darüber hinaus muss der Hersteller ein Verfahren zur Schwachstellenbehandlung definieren und umsetzen. Dieses schließt unter anderem eine initiale Meldung über aktiv ausgenutzte Schwachstellen sowie über schwere Vorfälle mit Auswirkungen auf die Sicherheit des Produkts unverzüglich ab Kenntnisnahme (spätestens nach 24 Stunden) des Herstellers ein. Diese Meldung hat über eine zentrale Reporting-Plattform an die Europäische Cybersicherheitsagentur ENISA sowie an das nationale als Koordinator benannte CSIRT zu erfolgen. Zusätzlich besteht eine Meldepflicht gegenüber den (betroffenen) Nutzern der Produkte mit Informationen zur Risikominderung und etwaigen Abhilfemaßnahmen.
Weiter ist der Hersteller verpflichtet eine EU-Konformitätsbewertung durchzuführen, um damit den Nachweis zu erbringen, dass sowohl sein Produkt als auch sein Schwachstellenmanagement den gesetzlichen Anforderungen des CRA entspricht.
Das Ergebnis seiner Risikoanalyse sowie eine Beschreibung des Produkts einschließlich dessen Konzeption, Entwicklung und Herstellung sowie der Verfahren und Prozesse zur Behandlung von Schwachstellen muss der Hersteller in Form einer technischen Dokumentation festhalten. Diese ist vom Hersteller für zehn Jahre aufzubewahren. Teil dieser technischen Dokumentation sind die EU-Konformitätsbewertung sowie Informationen zum Hersteller.
Auf einen begründeten Antrag hin kann eine „Marktüberwachungsbehörde“ die Vorlage der technischen Dokumentation vom Hersteller verlangen. Marktüberwachungsbehörden sind vom CRA als nationale Organisationen vorgesehen und sollen vom jeweiligen EU-Mitgliedsstaat bestimmt werden.
Fazit
Der CRA soll die Sicherheit von vernetzten Hard- und Softwareprodukten erhöhen, indem Hersteller hierfür stärker in die Pflicht genommen werden. Das ist gut und richtig, denn Produkte mit Schwachstellen werden allzu häufig zum unmittelbaren Angriffsziel oder werden ausgenutzt, um Cyberangriffe zu verschleiern oder zu unterstützen, etwa bei Ransomware und Bot-Netzen. Viele Hersteller bieten – ganz ohne CRA-Pflichten – bereits Sicherheitsaktualisierungen an, auch wenn sie bislang vielleicht keine systematische Risikoanalyse im Sinne des CRA durchgeführt haben. Auch solche Hersteller sind vom CRA betroffen, jedoch in weit geringerem Maße als jene, die Sicherheitsaktualisierungen unterlassen und Schwachstellen in ihren Produkten gar nicht oder viel zu spät beheben. Auf Letztere zielt der CRA primär ab. Durch den CRA wird bestimmt nicht alles sicher, aber (hoffentlich) vieles sicherer. Dennoch ist zu beachten, dass auch unter Zugrundelegung größter Sorgfalt die Bewertung der Cybersicherheitsrisiken durch den Hersteller von der Bewertung eines Endnutzers des Produkts abweichen kann. Endnutzer müssen deshalb weiterhin entscheiden, ob sie für ihr spezifisches Risiko eigene zusätzliche Maßnahmen ergreifen. Sie sind nach wie vor in der Verantwortung, wenn es darum geht, vom Hersteller bereitgestellte Sicherheitsaktualisierungen zu installieren.
Die Autoren sind Mitarbeitende von ATHENE und Fraunhofer SIT, die Unternehmen bei der Umsetzung rechtlicher und technischer Anforderungen zu Cybersicherheit und Datenschutz unterstützen und schulen.
