In einem vernetzten Umfeld kann ein Cybersicherheitsvorfall, der ein Produkt betrifft, ganze Organisationen oder Lieferketten beeinflussen und sich oft innerhalb weniger Minuten über die Grenzen des Binnenmarktes hinweg ausbreiten. Dies kann zu ernsthaften Störungen der Wirtschaft, sozialer Aktivitäten und Kommunikation führen. Mit dem Cyber Resilience Act wird versucht, diesen Problemen entgegenzuwirken. Wir informieren Sie über die wichtigsten Aspekte.
Inhaltsverzeichnis
Was bedeutet Cyberresilienz eigentlich?
Im Allgemeinen ist Resilienz die Fähigkeit zur Widerstandsfähigkeit. Im Kontext der Cybersicherheit bezieht sich die Cyberresilienz auf die Widerstandsfähigkeit eines Unternehmens gegenüber Bedrohungen aus dem Netz und dem Ausfall von Sicherheitskomponenten. Cyberresilienz ist ein Maß dafür, wie gut ein Unternehmen auf einen Cyberangriff vorbereitet ist, wie es diesen bewältigt und sich davon erholt.
Warum betrifft Cyberresilienz jeden?
Cyberangriffe sind mittlerweile Teil des Alltags vieler Unternehmen. Deshalb trat 2021 das IT-Sicherheitsgesetz 2.0 in Kraft. Dennoch sind viele Unternehmen immer noch nicht ausreichend auf Cyberangriffe vorbereitet.
Das Thema der IT-Widerstandsfähigkeit ist daher relevanter denn je. Es betrifft nicht nur Unternehmen, sondern auch jeden Einzelnen in der Gesellschaft, der mit dem Internet verbunden ist. Denn nicht nur Unternehmen kommunizieren online.
Auch Einzelpersonen tun dies über ihre Notebooks, Tablets oder Mobiltelefone. Eine Cyberresilienzstrategie ist für den fortgesetzten Betrieb eines Geschäfts unverzichtbar.
Sie kann nicht nur dazu beitragen, das Sicherheitsniveau eines Unternehmens zu erhöhen und das Risiko eines Angriffs auf seine kritischen Infrastrukturen zu verringern. Cyberresilienz kann auch dazu beitragen, finanzielle und Reputationsverluste zu reduzieren.
Eine gute Cyberresilienz hat verschiedene Vorteile:
- Minderung von finanziellen Verlusten
- Erhöhung von Kundenvertrauen und gleichzeitiger Geschäftsaufbau
- Steigerung des Wettbewerbsvorteils
Wenn es um IT-Sicherheit geht, verlassen sich nicht nur Unternehmen immer mehr auf die neueste Technologie.
Doch bisher wurde der IT-Sicherheit vor allem im privaten Bereich wenig Aufmerksamkeit geschenkt, weshalb vernetzte IoT-Geräte, also smarte Geräte oder Produkte, zunehmend zur Zielscheibe von Cyberkriminalität werden.
Hinzu kommt, dass Unternehmen die Sicherheitsrisiken von intelligenten Geräten oft unterschätzen. Hier besteht dringender Handlungsbedarf, erste Vorschläge finden sich im Cyber Resilience Act.
Was ist der Cyber Resilience Act?
Der Cyber Resilience Act (CRA) ist ein Gesetzesentwurf der Europäischen Kommission, der Verbraucher*innen und Unternehmen in der EU besser vor Produkten mit unzureichenden IT-Sicherheitsmaßnahmen schützen soll. Er bildet die erste EU-weite Rechtsvorschrift zur Cyberresilienz von Produkten mit digitalen Elementen.
Der vorgeschlagene Cyber Resilience Act würde Folgendes garantieren: harmonisierte Regeln für das Inverkehrbringen von Produkten oder Software mit einer digitalen Komponente; einen Rahmen von Cybersicherheitsanforderungen, die die Planung, den Entwurf, die Entwicklung und die Wartung solcher Produkte regeln, mit Verpflichtungen, die auf jeder Stufe der Wertschöpfungskette einzuhalten sind; eine Sorgfaltspflicht für den gesamten Lebenszyklus solcher Produkte.
Mit den Zielen des CRA soll eine digitale Widerstandskraft der gesamten IT-Wertschöpfungskette erreicht werden.
Dabei verfolgt der CRA zwei Hauptziele und vier spezifische Ziele.
Primäre Ziele:
Es geht darum, Bedingungen zu schaffen, die die Entwicklung sicherer Produkte mit digitalen Elementen ermöglichen. Verbraucher*innen sollen umfassend informiert werden, um eine informierte Entscheidung treffen zu können, wenn sie solche Produkte kaufen.
Spezifische Ziele:
Es soll eine umfassende Cybersicherheitsstruktur erstellt werden, die Entwickler*innen die Einhaltung von Compliance-Anforderungen erleichtert. Hersteller sollen verpflichtet werden, die Sicherheit digital erweiterter Produkte von der Design- und Entwicklungsphase an über den gesamten Produktlebenszyklus hinweg zu verbessern.
Die Transparenz von Produkten mit digitalen Komponenten und deren Sicherheitsmerkmalen soll erhöht werden. Unternehmen und Kunden sollen in die Lage versetzt werden, digitale Produkte sicher zu nutzen.
Produkte werden nach diesem Gesetz in drei Kategorien unterteilt: Standardkategorie, kritische Klasse I und kritische Klasse II. Zur Standardkategorie gehören rund 90 % aller Produkte, darunter Produkte der Text- und Bildbearbeitung, Smart Speaker, Festplatten, Spiele und dergleichen.
Circa 10 % der Produkte werden in die Klassen I und II eingeteilt. Die Kriterien für die Klassifizierung sind die Funktionalität, der Verwendungszweck (z. B. industrielle Steuerungssysteme) und andere Kriterien wie das Ausmaß der Auswirkungen von Sicherheitsproblemen. Zur kritischen Klasse I gehören beispielsweise Passwortmanager, Netzwerkschnittstellen, Firewalls und Mikrocontroller. Betriebssysteme, industrielle Firewalls, CPUs usw. werden als kritisch der Klasse II betrachtet.
Nicht-Einhalten des Cyber Resilience Acts
Das Gesetz zur Cyberresilienz ist so formuliert, dass jeglicher Verstoß mit Sanktionen geahndet wird. Dabei wurde darauf geachtet, dass diese Sanktionen wirksam, verhältnismäßig und abschreckend sind. So kann eine Nichteinhaltung der Cybersicherheitsanforderungen Geldbußen in Höhe von maximal 15 Millionen Euro zur Folge haben.
Auch können Unternehmen dazu angehalten werden, 2,5 % des gesamten weltweiten Jahresumsatzes aus dem vorausgegangenen Geschäftsjahr zu zahlen – je nachdem, welcher Betrag höher ausfällt.
Auch kleinere Verstöße werden verfolgt und mit Summen beginnend von 5 Millionen Euro oder 1 % des im vorausgegangenen Geschäftsjahr erzielten weltweiten Gesamtjahresumsatzes geahndet. Eine Mehrfachbebußung ist nicht ausgeschlossen.
Welche Pflichten ergeben sich für herstellende Unternehmen?
Cybersicherheit soll in der Planungs-, Entwurfs-, Entwicklungs-, Produktions-, Lieferungs- und Wartungsphase berücksichtigt werden. Deshalb ergeben sich aus dem CRA einige neue Pflichten für Hersteller und verschiedene Unternehmen der Lieferkette.
Hersteller müssen die Sicherheit und Integrität der Bauteile, Produkte oder Anlagen ab dem Verkauf des Produktes während der gesamten erwarteten Produktlebensdauer bzw. über einen Zeitraum von fünf Jahren gewährleisten und etwaige Schwachstellen beseitigen.
Es muss ein Schwachstellen-Management eingeführt und Vorschriften für die Marktüberwachung und Durchsetzung umgesetzt werden. Für die gesamte Laufzeit eines Produkts müssen Updates garantiert werden.
Es müssen klare und verständliche Gebrauchsanweisungen entworfen werden. Mindestens fünf Jahre lang müssen von den Herstellern Sicherheitsupdates zur Verfügung gestellt werden. Hersteller müssen Schwachstellen und Vorfälle melden, die sie aktiv ausgenutzt haben.
Smart Lense unterstützt euch bei der Cybersicherheit
Niemand ist vor Hackerangriffen sicher, weshalb es von großer Bedeutung ist, sich adäquat zu schützen. Hier bietet Smart Lense eine Lösung: Durch unsere Penetration-Tests wird die Sicherheit Ihres Systems überprüft. Etwaige entdeckte Sicherheitsmängel können identifiziert und sofort korrigiert werden, wodurch Sie fortlaufend geschützt sind.
Beitragsbild: © Adobe Stock, twindesigner