Cybersicherheit ist eine große Herausforderung für eine große Zahl und Vielfalt der vernetzten Geräte und diese wird in kommenden Jahren exponentiell zunehmen. Mit der neuen Verordnung (EU) 2024/2847 (Cyberresilienz-Verordnung) ist ein einheitlichen Rechtsrahmen für grundlegende Cybersicherheitsanforderungen für das Inverkehrbringen von Produkten mit digitalen Elementen geschaffen worden damit Hardware- und Softwareprodukte mit weniger Schwachstellen in den Verkehr gebracht werden und damit sich die Hersteller während des gesamten Lebenszyklus eines Produkts konsequent um die Sicherheit kümmern.
Für welche Produkte gilt die Cyberresilienz-Verordnung
Die Cyberresilienz-Verordnung enthält grundlegenden Cybersicherheitsanforderungen, die grundsätzlich für alle Arten von Produkte mit digitalen Elementen gelten. Produkte mit digitalen Elementen“ werden im Cyberresilienz-Verordnung als Produkte definiert, die mit einem Gerät oder einem Netzwerk verbunden werden können, und umfassen sowohl Hardwareprodukte mit vernetzten Funktionen (z.B. Smartphones, Laptops, Smarthome-Produkte, Smartwatches, vernetztes Spielzeug, aber auch Mikroprozessoren, Firewalls und intelligente Zähler) als auch reine Softwareprodukte (z.B. Buchhaltungssoftware, Computerspiele, mobile Apps).
Das umfasst neben preisgünstigen Verbraucherprodukten auch B2B-Software sowie komplexe High-End-Industriesysteme.
Klassifizierung von Produkten:
- Standard-Produkte, die nicht als wichtige oder kritische Produkte gelten
- Wichtige Produkte mit digitalen Elemente, die in Anhang III gelistet sind:
- Klasse I
- Identitätsmanagementsysteme sowie Software und Hardware für die Verwaltung privilegierter Zugänge bzw. Zugriffe, einschließlich Lesegeräte für die Authentifizierung und Zugangskontrolle, auch biometrische Lesegeräte
- eigenständige und eingebettete Browser
- Passwort-Manager
- Software für die Suche, Entfernung und Quarantäne von Schadsoftware
- Produkte mit digitalen Elementen mit der Funktion eines virtuellen privaten Netzes (VPN)
- Netzmanagementsysteme
- Systeme für die Verwaltung von Sicherheitsinformationen und -ereignissen (SIEM)
- Bootmanager
- Public-Key-Infrastrukturen und Software für die Ausstellung digitaler Zertifikate
- physische und virtuelle Netzschnittstellen
- Betriebssysteme
- Router, Modems für die Internetanbindung und Switches
- Mikroprozessoren mit sicherheitsrelevanten Funktionen
- Mikrocontroller mit sicherheitsrelevanten Funktionen
- anwendungsspezifische integrierte Schaltungen (ASIC) und FPGA (Field Programmable Gate Array) mit sicherheitsrelevanten Funktionen
- virtuelle Assistenten für die intelligente häusliche Umgebung mit allgemeinem Zweck
- Produkte für die intelligente häusliche Umgebung mit Sicherheitsfunktionen, einschließlich intelligenter Türschlösser, Sicherheitskameras, Babyüberwachungssysteme und Alarmanlagen
- mit dem Internet verbundenes Spielzeug, das unter die Richtlinie 2009/48/EG des Europäischen Parlaments und des Rates (1) fällt und über Funktionen zur sozialen Interaktion (z. B. sprechen oder filmen) oder zur Ortung verfügt
- am Körper tragbare Produkte, die zum Zwecke der Gesundheitsüberwachung (z. B. Tracking) bestimmt sind und nicht unter die Verordnungen (EU) 2017/745 oder (EU) 2017/746 fallen, oder am Körper tragbare Produkte, die für die Verwendung durch und für Kinder bestimmt sind
- Klasse II
- Hypervisoren und Container-Runtime-Systeme, die eine virtualisierte Ausführung von Betriebssystemen und ähnlichen Umgebungen unterstützen
- Firewalls, Intrusion-Detection-Systeme und Intrusion-Prevention-Systeme
- manipulationssichere Mikroprozessoren
- manipulationssichere Mikrocontroller
- Klasse I
- Kritische Produkte mit digitalen Elementementen, die in Anhang IV gelistet sind:
- Hardwaregeräte mit Sicherheitsboxen
- Smart-Meter-Gateways in intelligenten Messsystemen im Sinne des Artikels 2 Nummer 23 der Richtlinie (EU) 2019/944 des Europäischen Parlaments und des Rates sowie andere Geräte für fortgeschrittene Sicherheitszwecke, einschließlich der sicheren Kryptoverarbeitung
- Chipkarten oder ähnliche Geräte, einschließlich Sicherheitselemente
Ausschluss von Produkten, die nicht unter der Cyberresilienz-Verordnung fallen
Diese Verordnung gilt nicht für Produkte mit digitalen Elementen, wie
- Medizin-Produkte
- In-Vitro-Diagnostika Produkte
- Kraftfahrzeuge
- Zivilluftfahrt
- Schiffsausrüstung
- Produkte, die ausschließlich für Zwecke der nationalen Sicherheit oder für Verteidigungszwecke
- Produkte, die ausschließlich für Verteidigungszweck
Grundlegende Cybersicherheitsanforderungen
Produkte mit digitalen Elementen dürfen nur dann auf dem Markt bereitgestellt werden, wenn
- sie den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I genügen und unter der Bedingung, dass sie ordnungsgemäß installiert, gewartet und bestimmungsgemäß oder unter vernünftigerweise vorhersehbaren Umständen verwendet werden sowie gegebenenfalls die erforderlichen Sicherheitsaktualisierungen installiert wurden; und
- die vom Hersteller festgelegten Verfahren den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II entsprechen
Bei Produkten mit digitalen Elementen und vom Hersteller festgelegten Verfahren, die mit harmonisierten Normen oder Teilen davon übereinstimmen, deren Fundstellen im Amtsblatt der Europäischen Union veröffentlicht worden sind, wird eine Konformität mit den grundlegenden Cybersicherheitsanforderungen in Anhang I vermutet, soweit diese Anforderungen von den betreffenden Normen oder Teilen davon abgedeckt sind.
Konformitätsbewertung der Produkte mit digitalen Elementen
Damit die Wirtschaftsakteure die Konformität mit den festgelegten grundlegenden Cybersicherheitsanforderungen nachweisen können und die Marktüberwachungsbehörden sicherstellen können, dass Produkte mit digitalen Elementen, die auf dem Markt bereitgestellt werden, diesen Anforderungen genügen, sind Konformitätsbewertungsverfahren vorgesehen.
Die vorgesehen Module für die Konformitätsbewertungsverfahren sind je nach der Höhe des Risikos und dem geforderten Sicherheitsniveau festgelegt.
- Standard Produkte:
Für die Konformitätsbewertung von Produkten mit digitalen Elementen, die in dieser Verordnung nicht als wichtige oder kritische Produkte mit digitalen Elementen aufgeführt sind, kann vom Hersteller in eigener Verantwortung nach dem internen Kontrollverfahren Modul A - Wichtige Produkte Klasse I
- Konformitätsbewertung nach Module A, wenn der Hersteller eine harmonisierte Norm oder Spezifikation anwendet, die in einem Durchführungsrechtsakt ermittelt wurden;
- Konformitätsbewertung unter Beteiligung eines Dritten durchgeführt werden (basierend auf den Modulen B und C oder H) wenn keine harmonisierte Norm oder Spezifikation anwendet wird;
- Wichtige Produkte Klasse II
- Konformitätsbewertung unter Beteiligung eines Dritten durchgeführt werden (basierend auf den Modulen B und C oder H), auch wenn eine harmonisierte Norm oder Spezifikation ganz oder teilweise anwendet wird;
- Kritische Produkte
- Konformitätsbewertung auf Basis ein europäisches Schema für die Cybersicherheitszertifizierung gemäß Artikel 8 Absatz 1
- wenn die Bedingungen des Artikels 8 Absatz 1 nicht erfüllt sind, Konformitätsbewertung unter Beteiligung eines Dritten durchgeführt werden (basierend auf den Modulen B und C oder H), auch wenn eine harmonisierte Norm oder Spezifikation ganz oder teilweise anwendet wird;
Weitere Anforderungen der Cyberresilienz-Verordnung
Die Cyberresilienz-Verordnung enthält weiter wichtige Regelungen:
- Pflichten der Wirtschaftsakteure wie Hersteller, Einführer und Händler
- Meldepflichten für Hersteller
- Erstellung einer EU-Konformitätserklärung
- CE-Kennzeichnung
- Informationen und Anleitung für die Nutzer den Produkten beifügen
- Im Supportzeitraum mit kostenlosen Sicherheitsupdates für Endanwender. Das Ende des Supports, d.h. das Datum, bis zu dem sich der Hersteller verpflichtet, Sicherheitsaktualisierungen bereitzustellen, muss klar angegeben werden.
Ab wann gilt die Cyberresilienz-Verordnung?
Diese Verordnung gilt ab dem 11. Dezember 2027. Das Meldeverfahren gemäß Artikel 14 gilt ab dem 11. September 2026.
Weiterführende Informationen
Verordnung (EU) 2024/2847 (Cyberresilienz-Verordnung)