TÜV SÜD. Mit Vertrauen nach vorn.
TÜV SÜD. Mit Vertrauen nach vorn.
Mit dem im September 2022 vorgeschlagenen Cyber Resilience Act hat die EU-Kommission einen bedeutenden Schritt zur Stärkung der Cybersicherheit im europäischen Markt unternommen. Unsere Zusammenfassung zeigt Ihnen, wie diese Verordnung Unternehmen in der EU vor neue Herausforderungen stellt. Erfahren Sie, wie Sie sich optimal vorbereiten und warum TÜV SÜD der ideale Partner ist, um Sie dabei zu unterstützen.
► Der Cyber Resilience Act (CRA) legt EU-weit verbindliche Cybersicherheits-Anforderungen fest.
► Der CRA gilt für alle Produkte mit digitalen Elementen, die in der EU hergestellt, importiert oder vertrieben werden.
► Nach seinem Inkrafttreten sind für die betroffenen Wirtschaftsakteure Übergangsfristen von 36 Monaten zur Anpassung an die neuen Anforderungen vorgesehen.
► Der CRA teilt Produkte in verschiedene Kategorien gemäß ihrer Risikoklasse ein, wobei sich das Konformitätsbewertungsverfahren entsprechend ändert.
► Bei nicht konformen Produkten kommt es zu Sanktionsmechanismen wie hohen Bußgeldern.
1. Definition und Bedeutung
►Was das ist
►Konsequenzen bei Nichteinhaltung
►Betroffene Produkte
►Betroffene Unternehmen
2. Cyber Resilience Act vs. NIS2
3. Anforderungen an Unternehmen
4. CRA-Services von TÜV SÜD
Der Cyber Resilience Act (CRA) zielt darauf ab, die Cybersicherheit von Produkten mit digitalen Elementen und Funktionen in der EU zu verbessern. Die Verordnung legt verbindliche Sicherheitsstandards für alle in der EU hergestellten, importierten oder vertriebenen Hardware- und Softwareprodukte fest.
Dies gewährleistet, dass Cybersecurity während des gesamten Produktlebenszyklus berücksichtigt wird, um den Schutz vor Cyberbedrohungen zu verbessern.Durch diese verbindlichen Sicherheitsanforderungen sollen
► die Verbreitung sicherer Technologien gefördert,
►die Verbraucher*innen geschützt und
►das Vertrauen in digitale Produkte mit digitalen Elementen und Funktionen gestärkt werden.
Ein Produkt wird nur dann für den europäischen Markt zugelassen, wenn es den Anforderungen des Cyber Resilience Act entspricht. Der CRA steht somit im direkten Zusammenhang zu der EU-Konformitätsbewertung von Produkten und stellt sicher, dass Cybersecurity bereits während des Prozesses zur CE-Kennzeichnung beachtet wird.
Daher kann die Nichteinhaltung der CRA-Vorschriften zu folgenden Auswirkungen führen:
Hohe Geldstrafen: Bis zu 15 Millionen Euro oder bis zu 2,5 Prozent des gesamten jährlichen Umsatzes (je nachdem, welcher Betrag höher ist).
Marktzugangsbeschränkungen: Der Verkauf von nicht konformen Produkten in der EU kann von Behörden eingeschränkt oder sogar verhindert werden.
Produktrückrufe: In schwerwiegenden Fällen kann eine vollständige Rücknahme oder ein Rückruf des Produkts verlangt werden.
Der CRA betrifft alle Produkte, die digitale Elemente (zum Beispiel Software, Hochrisiko-KI-Systeme) enthalten und mit Netzwerken oder Geräten verbunden sind. Dadurch ist der Anwendungsbereich des CRA ziemlich weit und umfasst unter anderem:
► Industrielle Hardware- und Software-Produkte wie IoT-Geräte, PLCs und Sensoren
► Software-Produkte wie Desktop-, Web- und mobile Applikationen sowie Betriebssysteme
► Software- und Hardware-Produkte für die persönliche Anwendung wie intelligente Geräte
Dabei werden die betroffenen Produkte in verschiedene Kategorien gemäß ihrer Risikoklasse eingeteilt. Insbesondere Produkte und Systeme, die in der kritischen Infrastruktur, dem produzierenden Gewerbe und dem Industrie- und Energiesektor zum Einsatz kommen, werden einer höheren Risikoklasse zugeordnet. Gerade für sie ändert sich daher das Konformitätsbewertungsverfahren, weil sie potenzielle Auswirkungen auf die Wirtschaft sowie öffentliche Sicherheit haben können.
Der CRA ist nicht nur für Hersteller, sondern für die gesamte Lieferkette und alle Akteure im digitalen Produktmarkt in der EU von Bedeutung.
Vom Cyber Resilience Act (CRA) betroffen sind:
1. Hersteller von digitalen Produkten: Unternehmen, die Hardware und Software mit digitalen Elementen entwickeln und herstellen, müssen sicherstellen, dass ihre Produkte den neuen Cybersicherheitsanforderungen entsprechen.
2. Importeure: Firmen, die digitale Produkte aus Nicht-EU-Ländern importieren, sind verantwortlich für die Einhaltung der Anforderungen und müssen sicherstellen, dass importierte Produkte die vorgeschriebenen Sicherheitsstandards erfüllen.
3. Distributoren und Händler: Unternehmen, die digitale Produkte innerhalb der EU vertreiben, müssen überprüfen, ob die von ihnen verkauften Produkte den Vorgaben entsprechen. Sie sind verpflichtet, die Einhaltung der Sicherheitsanforderungen zu gewährleisten.
Betroffen oder nicht? In nur 3 Minuten erfahren Sie, ob der Cyber Resilience Act für Ihre Produkte relevant ist!
Zum Schnell-Check
Der Cyber Resilience Act (CRA) und die NIS2-Richtlinie stehen in engem Zusammenhang, da beide darauf abzielen, die Cybersicherheit in der EU zu stärken, jedoch unterschiedliche Schwerpunkte setzen. Insgesamt ergänzen sich der CRA und die NIS2-Richtlinie, um eine umfassende Cybersicherheitsstrategie für die EU zu gewährleisten, indem sie die Sicherheit von Produkten und kritischen Diensten und Infrastrukturen stärken.
Der Cyber Resilience Act konzentriert sich auf die Cybersicherheit von Produkten mit digitalen Elementen. Er legt verbindliche Sicherheitsanforderungen für Hardware und Software fest, die in der EU hergestellt, importiert oder vertrieben werden, um sicherzustellen, dass diese Produkte gegen Cyberangriffe geschützt sind.
Die NIS2-Richtlinie zielt auf die Verbesserung der Cybersicherheit von Netzwerken und Informationssystemen, die für die Bereitstellung wesentlicher Dienste und kritischer Infrastrukturen notwendig sind. Sie wendet sich daher an Betreiber von wesentlichen Diensten und Anbieter digitaler Dienste.
Gemeinsames Ziel: Verbesserung der Cybersicherheit in der EU
Beide Regelwerke ergänzen sich, indem sie die Cybersicherheit auf unterschiedlichen Ebenen verbessern: der CRA auf Produktebene und die NIS2 auf der Ebene der Infrastruktur und wesentlichen Dienste. Zusammen tragen sie zu einer umfassenden Stärkung der Cybersicherheit in der EU bei.
Für Unternehmen, die sowohl Produkte herstellen als auch wesentliche Dienste bereitstellen, ist es entscheidend, eine koordinierte Herangehensweise zu verfolgen. Sie müssen sicherstellen, dass sie sowohl die Anforderungen des CRA als auch der NIS2-Richtlinie erfüllen. Dies fördert eine koordinierte Herangehensweise an Cybersicherheitsmaßnahmen.
Die Anforderungen des CRA können je nach der Rolle des betroffenen Wirtschaftsakteurs variieren. Unter anderem sind diese Punkte wichtig:
► Cybersicherheitsmaßnahmen beachten: Zu den Mindestanforderungen für Hersteller gehört die verpflichtende Beachtung von Cybersicherheitsmaßnahmen während des gesamten Produktlebenszyklus – einschließlich Planung, Entwicklung, Herstellung, Lieferung und Wartung.
► Regelmäßige Updates: Es ist erforderlich, Updates für mindestens 5 Jahre bereitzustellen.
► Dokumentation und Anleitung: Sicherheitsrisiken müssen dokumentiert und klare Benutzeranleitungen bereitgestellt werden.
► Regelungen für höhere Risikoklassen: Besonders für Produkte aus höheren Risikoklassen sind anspruchsvollere Sicherheitsmaßnahmen vorgeschrieben. Außerdem müssen Hersteller, Händler und Importeure von betroffenen Produkten tiefer greifende Risikobewertungen miteinbeziehen und fortgeschrittene Sicherheitsmechanismen implementieren, um die Konformität mit den Vorschriften sicherzustellen.
Unser Experten-Team hat eine Lösung für die Einhaltung der komplexen und übergreifenden Anforderungen des CRA entwickelt, die aus individuell wählbaren Schritten besteht. Unabhängig davon, in welcher Phase Sie oder Ihre Zulieferer sich befinden: Wir begleiten Sie auf dem Weg zur EU-Konformität Ihrer Produkte durch unser Dienstleistungsportfolio:
Grafik: Roadmap zur Cybersicherheit nach dem Cyber Resilience Act
► Verstehen Sie die EU-Cybervorschriften (RED, Cyber Resilience Act, Maschinenverordnung, AI-Act, KRITIS, NIS2 usw.) und lernen Sie die Grundlagen des CRA in unseren Foundation-Trainings kennen.
► Nutzen Sie unseren Deep-Dive-Workshop, um zu verstehen, wie sich die CRA-Anforderungen auf Ihr Industriesegment auswirken.
► Wir entwickeln ein dynamisches, umfassendes Cybersicherheitsschema, das die CRA-Anforderungen auf der Grundlage der Kritikalität Ihrer Produkte abdeckt. Anhand dieses Schemas können wir die CRA-Konformität Ihrer Qualitäts- und Produktdokumentation bewerten.
► Begleitend zur Dokumentenprüfung testen wir Ihre Produkte, um die korrekte Implementierung der Cybersicherheitsfunktionalitäten zu gewährleisten. Zusammen mit dem Compliance-Check zeigen wir das Compliance-Level Ihres Unternehmens deutlich auf.
► Wir liefern einen umfassenden CRA Readiness Report über die Konformität Ihrer Produkte. Wir bieten als Mehrwert Dienstleistungs-Empfehlungen und Best Practices.
► Nachdem die Europäische Kommission Benennende Stellen bestimmt hat, strebt TÜV SÜD an, eine Benannte Stelle zu werden und wird ein Zertifizierungsschema für die CE-Kennzeichnung und die europäische Marktzulassung entwickeln. Dieses Zertifizierungsschema wird sich auf die harmonisierten Standards beziehen, die künftig von der Europäischen Kommission veröffentlicht werden.
Der Cyber Resilience Act bringt neue Herausforderungen, aber auch bedeutende Chancen zur Verbesserung der Cybersicherheit und des Vertrauens in digitale Produkte mit sich. Mit der Unterstützung von TÜV SÜD können Unternehmen sicherstellen, dass ihre Produkte den neuen Anforderungen entsprechen.
Es lohnt sich, zu prüfen, ob Ihr Unternehmen von der Verordnung betroffen ist. Unsere Expert*innen stehen Ihnen außerdem zur Seite, um Ihnen bei der Navigation durch die neuen Regelungen zu helfen und Ihre Produkte auf höchste Sicherheitsstandards auszurichten. Kontaktieren Sie uns bitte, um mehr zu erfahren.
Lernen Sie die Produkt-Anforderungen an Cybersecurity für die EU kennen.
Jetzt informieren
Erweitern Sie Ihr Basiswissen für Fachkräfte in der Industrial Automation (IACS).
Termin buchen
Erhalten Sie einen Überblick über das Sicherheitsniveau und detaillierte Liste konkreter Schwachstellen Ihres Produkts.
Mehr erfahren
Schützen Sie industrielle Steuerungs- und Automationselemente gegen unbefugte Zugriffe.
Erfahren Sie mehr
Erfahren Sie mehr über den erweiterten Schutzbereich für die Cyber-Resilienz kritischer Infrastrukturen.
Mehr erfahren
Stellen Sie mit RED-Funkprüfungen die EU-Konformität Ihrer drahtlosen Geräte sicher.
Erfahren Sie mehr
Von erprobten Best Practices bis hin zu fundiertem Expertenwissen in Regularien und Marktzulassungen – jetzt tiefer eintauchen.
Mehr erfahren