Digitale Sicherheit durch EU-weite Rechtsvorschrift Mehr Cybersicherheit mit dem Cyber Resilience Act

Die Europäische Kommission hat am 15. September 2022 ihren Entwurf für den mit Spannung erwarteten „Cyber Resilience Act“ vorgestellt. Was Cyberresilience überhaupt ist und was der neue Entwurf verändern soll, das erfährst du in diesem Beitrag.

07.10.2022
Gero Appel

Unternehmen und Verbraucher*innen in der EU sollen besser vor Waren mit unzureichenden IT-Sicherheitsmerkmalen geschützt werden. Zu diesem Zweck hat die EU-Kommission am 15. September 2022 ihren Entwurf für eine Verordnung über die Widerstandsfähigkeit gegen Cyberangriffe vorgestellt, der zuvor veröffentlicht worden war. Mit dem Cyber Resilience Act will die Regierungsorganisation grundlegende Standards für Design, Entwicklung und Produktion von digitalen Gütern wie Hard- und Software festlegen. Wir schauen uns die Cyberresilienz einmal genauer an.

Das erfährst du in diesem Beitrag:

Unsere Leistungen Erstklassige Absicherung ab 84,- EUR mtl.

Bestellung von Fachkräften für Arbeitssicherheit und Betriebsarzt
Erstellung von Gefährdungsbeurteilungen, Unterweisungen und vieles mehr
Dauerhafte Preisgarantie

Ich möchte ein Angebot erhalten

Was genau ist Cyberresilienz?

Das Wort „Resilienz“ wird in vielen verschiedenen Branchen verwendet. Daher hängt die genaue Definition von Resilienz stets von dem jeweiligen Thema oder der jeweiligen Branche ab. Die meisten dieser Definitionen haben jedoch die Idee der Widerstandsfähigkeit gemeinsam. Im Hinblick auf Unternehmen steht Cyberresilienz für die Abwehrkompetenz eines Unternehmens im Hinblick auf:

Gefahren aus dem Netz,
eventuelle Ausfälle von Systemkomponenten,
direkte Hackerangriffe auf die IT des Unternehmens.

Die Cyberresilienz konzentriert sich häufig auf Sicherheitsaspekte und die Umstände unmittelbar nach einem Cyberangriff.

Cyberresilienz stellt die Widerstandsfähigkeit eines Unternehmens gegen Hackerangriffe dar. © Shutterstock, Gorodenkoff

Einfluss von Cyberresilienz gegen einen Hackerangriff

IT Sicherheit ist mehr als nur Vorsichtsmaßnahme. IT-Sicherheit ist auch dann noch notwendig, wenn ein Cyberangriff bereits stattgefunden hat. Hier ist die Cyberresilienz als Teilbereich der IT-Sicherheit entscheidend. Ziel ist es, den Schaden für das Unternehmen im Falle eines Cyberangriffs zu minimieren. Ein widerstandsfähiges Unternehmen kann sich daher besser auf einen Cyberangriff vorbereiten und entstandene Schäden kompensieren. Was das Ziel eines Cyberangriffs im Detail ist und wie du dein Unternehmen vor einem Hackerangriff schützen kannst, erfährst du in diesem Beitrag.

Was ist der Cyber Resilience Act?

Der EU-Vorschlag für eine Vorschrift über Cybersicherheitsstandards für digitale Produkte wird als Cyber Resilience Act bezeichnet. Um sichere Hard- und Software zu gewährleisten, müssen die Cybersicherheitsvorschriften verbessert werden. Produkte, die auf dem Binnenmarkt der Europäischen Union verkauft werden, müssen ebenfalls cybersicher sein. Mit anderen Worten: Sie werden künftig mit „integrierter Cybersicherheit“ beworben.

Mit dem Cyber Resilience Act wird der Sicherheitsstandard für digitale Produkte erhöht. © Shutterstock, Den Rise

Welche Ziele soll das Gesetz verfolgen?

In der Begründung des Entwurfs der Verordnung werden die spezifischen Ziele wie folgt umrissen: Die Europäische Union ist in hohem Maße vernetzt, und es gibt viele verschiedene digitale Produkte, die im täglichen Leben verwendet werden. Auf der anderen Seite nehmen Cyberangriffe und Cyberkriminalität weiter zu. Dies ist auf eine Reihe von Schwachstellen und unzureichende Sicherheitsupgrades sowie auf mangelnde Cybersicherheit auf Seiten der Hersteller und Nutzer*innen zurückzuführen, was die Verbraucher*innen daran hindert, Produkte mit ausreichender Cybersicherheit auszuwählen oder sie sicher zu nutzen.

Die EU leitet ihren Regulierungsauftrag aus diesen Bedenken ab, weil ein einziger, tatsächlich produktbezogener Cybersicherheitsvorfall zu einer grenzüberschreitenden Gefahr für die IT-Sicherheit werden und große Auswirkungen auf den gesamten europäischen digitalen Binnenmarkt haben könnte. Suboptimale Produktsicherheit wird in der Begründung in diesem Zusammenhang ausdrücklich genannt. Infolgedessen verfolgt die CRA die folgenden vier spezifischen Regulierungsziele:

Verpflichtung der Hersteller, die Sicherheit digital erweiterter Produkte von der Entwurfs- und Entwicklungsphase an über den gesamten Lebenszyklus des Produkts hinweg zu verbessern („Cybersicherheit by design“).
Schaffung einer umfassenden Cybersicherheitsarchitektur, die es den Hardware- und Softwareentwickler*innen erleichtert, Compliance-Vorgaben zu erfüllen.
Erhöhung der Übersichtlichkeit von Produkten mit digitalen Komponenten und deren Sicherheitsmerkmalen.
Unternehmen und Kunden in die Lage versetzen, digitale Produkte auf sichere Weise zu nutzen.

Das neue Gesetz verpflichtet Hersteller, die Sicherheit ihrer Produkte zu verbessern und übersichtlich zu halten. © Shutterstock, Tero Vesalainen

Warum brauchen wir das neue Gesetz?

Derzeit ist die Cybersicherheit von nicht eingebetteter Software nicht Gegenstand von EU-Rechtsvorschriften. Cyberangriffe zielen jedoch gezielt auf die Schwachstellen dieser Produkte ab, was zu hohen gesellschaftlichen und finanziellen Auswirkungen führt. Für das Jahr 2021 wurde festgestellt, dass allein Ransomware-Angriffe, die alle 11 Sekunden stattfinden, die Welt 20 Milliarden Euro gekostet haben. Im selben Jahr erreichten die Kosten der Cyberkriminalität weltweit 5,5 Billionen Euro.

Laut dem für den Binnenmarkt zuständigen Kommissar Thierry Breton sind besonders Produkte wie Autos, Haushaltsgeräte, Mobiltelefone und natürlich Computer davon betroffen. Digitale Produkte waren bisher durch umfangreiche Sicherheitslücken und unzureichende oder uneinheitliche Sicherheits-Patches gekennzeichnet. Den Nutzer*innen fehlt es häufig an Wissen und Zugang zu Informationen. Aus diesem Grund ist es schwierig, Geräte mit ausreichenden Cybersicherheitsfunktionen auszuwählen oder sie sicher zu nutzen. Die EU hat den Cyber Resilience Act geschaffen, um diese Probleme zu verringern.

Welche Pflichten müssen die Hersteller in Zukunft erfüllen?

Mit dem Cyber Resilience Act werden Hersteller gezwungen, bestimmte Parameter bezüglich der Cybersicherheit zu erfüllen. Wir haben dir in einer übersichtlichen Tabelle alle neuen Pflichten aufgelistet:

Mit dem neuen Gesetz müssen Hersteller mehr Pflichten für digitale Produkte erfüllen.

Bis wann müssen diese neuen Pflichten umgesetzt sein?

Nach der Verabschiedung des Gesetzes haben die Mitgliedstaaten und die Wirtschaftsteilnehmer*innen zwei Jahre Zeit, sich auf die neuen Kriterien einzustellen. Nach einem Jahr wird es jedoch bereits eine Berichtspflicht geben. Das Gesetz über Cyberresilienz wird regelmäßig von der Kommission überprüft werden und über die Funktionsweise Bericht erstattet.

Rechtlich abgesichert mit der Deutschen Mittelstandsschutz

Die Cybersicherheit ist ein wichtiger Bestandteil des Arbeitsschutzes für die Mitarbeitenden in deinem Unternehmen. Die Deutsche Mittelstandsschutz unterstützt dich bei allen rechtlichen Anforderungen. Viele der erforderlichen Unterweisungen sind auch auf unserer sicheren Web-Plattform SMART CAMPUS verfügbar, angefangen bei der vorgeschriebenen Gefährdungsbeurteilung. Hol dir einfach jetzt sofort ein erstes unverbindliches Angebot von uns ein. Wir freuen uns auf deine Anfrage!

Angebot Jetzt unverbindliches Angebot anfordern

Bestellung von Fachkräften für Arbeitssicherheit und Betriebsarzt
Gefährdungsbeurteilungen, Unterweisungen und vieles mehr
100% Preisgarantie

Ich möchte ein Angebot erhalten

Weitere Themen aus diesem Artikel

Digitalisierung