Gesetzestexte, wie Gesetze oder Verordnungen sind mitunter umständlich, wenn auch (idealerweise) eindeutig formuliert. Die EU-Verordnung 2025/2847 verpflichtet Hersteller von Produkten mit digitalen Elementen im EU-Markt, diese nachweislich und kontinuierlich sicher zu gestalten. Dabei wird neben sicher im Sinne von Safety, was man von der CE-Kennzeichnung bereits weiß, auch sicher im Sinne von Cybersecurity wichtig. Um mit den ganzen Begrifflichkeiten vertrauter zu werden, nehme ich mir hier 7 Begriffe aus dem Gesetzestext heraus und erläutere sie. Ich starte mit dem etwas unhandlichen Wort: Konformitätsbewertungsverfahren. Was ist denn das?
Konformitätsbewertungsverfahren
Das ist ein Verfahren, mit dem überprüft und bestätigt wird, ob die Anforderungen der Verordnung (EU) 2024/2847(CRA) an ein Produkt mit digitalen Elementen erfüllt wurden. Mit Anforderungen sind Cybersicherheitsanforderungen gemeint, die erfüllt sein müssen, BEVOR das Produkt auf dem EU-Markt bereitgestellt wird. Dabei gibt es ein Stufenmodell: Je nach Risikoklasse des Produkts variiert die Strenge des Verfahrens. Es gibt mehrere Risikoklassen für die der CRA aktuell Vorgaben zum Bewertungsverfahren macht:
Standard = nicht kritische Produkte mit digitalen Elementen
Endbenutzer Produkte: smarte Fernseher, Spielekonsolen, Hausautomatisierung, Fotobearbeitungssoftware
Kritische Produkte mit digitalen Elementen Klasse I
Produkte in der industriellen Automatisierung oder Gebäudeautomatisierung: Router, VPN-Produkte, Firewalls, Passwort-Manager, Identitätsmanagement
Kritische Produkte mit digitalen Elementen Klasse II
Produkte, die in einer kritischen Infrastruktur Verwendung finden.
Während ein Unternehmen mit Produkten der ersten Kategorie seine Konformität ohne das Einbeziehen einer externen Stelle durchführen darf, wird für die anderen beiden eine externe Notifizierungsstelle eingebunden.
Cybersicherheitsanforderungen
Nun komme ich zu einem Begriff, der zusammengesetzt ist aus den Begriffen “Cybersicherheit” und “Anforderungen”. Was bedeutet das im Zusammenhang des CRA? Und wo kannst du das nachlesen?
Anhang I des Cyber Resilience Act regelt die “Grundlegenden Sicherheitsanforderungen” an Produkte mit digitalen Elementen. Diese sollten angesichts der Risiken ein angemessenes Sicherheitsniveau gewährleisten.
In der Fassung vom November 24 enthält dieser 13 konkrete Anforderungen, die ein Produkt mit digitalen Elementen zu erfüllen hat. So sollte es ohne bekannte, ausnutzbare Schwachstelle (a) und mit einer sicheren Standardkonfiguration (b) verbreitet werden. Sichere Zugangskontroll- und Authentifizierungsmechanismen haben sicherzustellen, dass Unbefugte keinen Zugang zu dem Produkt haben (d). Schwachstellen, die erst nach dem Inverkehrbringen des Produktes bekannt werden, sollten mittels Softwareupdate behoben werden können (c ). Auch dem Schutz personenbezogener Daten sind einige der Cybersicherheitsanforderungen gewidmet.
Zugrunde liegen sollte jedem Produkt eine Bewertung der Cybersicherheitsrisiken. Im Automotive-Umfeld ist diese als TARA bekannt, also Threat Analysis and Risk Assessment. Mit unserer Anwendung itemis SECURE können Unternehmen TARAs normkonform erstellen und auditfähige Berichte erzeugen. (mehr dazu, englisch)
VERORDNUNG (EU) 2024/2847
Ein paar Worte hat auch die Verordnung selbst verdient. Die als Cyber Resilience Act (CRA) bekannte Verordnung der EU über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen regelt erstmalig ein erhöhtes Maß an Cybersicherheit in Produkten in der EU. Sie ist seit 2024 in Kraft und wird seither schrittweise umgesetzt. Des Weiteren werden zwei andere Verordnungen und eine Richtlinie mit dieser geändert:
Die Verordnung (EU) Nr. 168/2013 hat die Verwaltungsvorschriften und technischen Anforderungen für die Typgenehmigung aller neuen Fahrzeuge, Systeme, Bauteile und selbstständigen technischen Einheiten zum Gegenstand.
Die zweite (EU) 2019/1020 beschäftigt sich mit der Marktüberwachung und der Konformität von Produkten.
Die Richtlinie (EU) 2020/1828 wird auch als Cyberresilienz-Verordnung bezeichnet.
Klasse 1 - Produkte
Was sind die so genannten Klasse 1 Produkte? Hier listet die Verordnung alle Produktgruppen auf, welche zu den zwei kritischen Klassen gehören. Diese Produkte sind kritisch und bedeutsamer als Standardprodukte, gehören aber nicht der kritischen Infrastruktur an. Zu den hier insgesamt 19 gelisteten Produktgruppen gehören zum Beispiel Identitätsmanagementsysteme, Browser, Passwort-Manager, Anti-Malware-Software und andere Netzmanagementsysteme, Bootmanager und Betriebssysteme oder PKIs. Auch Mikroprozessoren und Mikrocontroller mit sicherheitsrelevanten Funktionen gehören hierzu. Spannend ist an dieser Stelle die Frage: Was ist hier konkret mit “sicherheitsrelevanten Funktionen” gemeint?
Aktuell schon spannend und künftig noch interessanter sind die drei letzten Produktkategorien. Hier geht es um intelligente Assistenten für unterschiedliche Zwecke, wie häusliche Umgebungen, Babyphones oder mit dem Internet verbundenes Spielzeug, das über Funktionen zur sozialen Interaktion (sprechen / filmen) oder zur Ortung verfügt, wie Spielekonsolen. Auch die sogenannten Wearables, also Gesundheitstracker, wie Smart Watches oder ähnliches, fallen hierunter.
Klasse 2 - Produkte
Nachdem ich gestern von Klasse 1 Produkten in dem kleinen CRA-Lexikon erzählt habe, wende ich mich heute den Klasse 2 Produkten zu. Das sind Produkte in kritischen Infrastrukturen. Für diese gelten strengere Abnahmeregeln als für Standardprodukte und die Produkte der Klasse 1.
Einige Beispiele für diese Produktkategorie sind Container-Runtime-Systeme, die eine virtualisierte Ausführung von Betriebssystemen o.ä. unterstützen, sowie Firewalls, Intrusion-Detection-Systeme und Intrusion-Prevention-Systeme. Mikroprozessoren und Mikrocontroller zählen ebenfalls zu dieser Produktkategorie, jedoch nur, wenn sie manipulationssicher sind. Ich frage mich, in welche Kategorie dann nicht-manipulationssichere Mikrocontroller gehören.
Werden diese Produkte erfolgreich angegriffen, kann das zu erheblichen Schäden und erheblichen Datenverlusten führen. Daher sind hier auch externe Cybersicherheitsaudits notwendig.
VEREINFACHTE EU-KONFORMITÄTSERKLÄRUNG
Nun widme ich mich dem nicht so griffigen Wort “vereinfachte EU-Konformitätserklärung”. Die vereinfachte EU-Konformitätserklärung nach Artikel 13 Absatz 20 hat folgenden Wortlaut:
“Hiermit erklärt … [Name des Herstellers], dass der Typ des Produkts mit digitalen Elementen … [Bezeichnung des Typs des Produkts mit digitalen Elementen] der Verordnung (EU) 2024/2847 (1) entspricht.
Der vollständige Text der EU-Konformitätserklärung kann unter der folgenden Internetadresse abgerufen werden: … “
Diese vereinfachte EU-Konformitätserklärung muss ab dem 11. Dezember 2027 allen in den EU-Mitgliedsstaaten neu auf den Markt gebrachten Produkten beigelegt werden. Wichtig ist es darüber hinaus, dieser einen weiterführenden Link zur vollständigen EU-Konformitätserklärung mitzugeben. Zuvor ist für das Produkt eine Cybersecurity Risikoanalyse durchgeführt und das Produkt ist optimal abgesichert.
Software-Stückliste (SBOM)
Nun behandle ich ein Thema, das zwar im CRA gefordert ist, aber nicht genau spezifiziert ist. Es handelt sich um die sogenannten SBOMs. Das steht für Software Bill of Materials zu Deutsch Software Stückliste. Hierzu sieht der Cyber Resilience Act (CRA) Folgendes vor:
“Die Hersteller von Produkten mit digitalen Elementen müssen Schwachstellen und Komponenten der Produkte mit digitalen Elementen ermitteln und dokumentieren, u. a. durch Erstellung einer Software-Stückliste in einem gängigen maschinenlesbaren Format, aus der zumindest die obersten Abhängigkeiten der Produkte hervorgehen.”
Wikipedia bezeichnet diese auch als Software-Lieferkette und vergleicht sie anschaulicherweise mit einer Lebensmittelzutatenliste. Es ist das Inventar der Komponenten, die zur Erstellung eines Software-Artefakts wie einer Software-Anwendung verwendet werden. Wie das Etikett auf einer Lebensmittelverpackung uns hilft, Lebensmittel zu vermeiden, die Allergien auslösen können, helfen SBOMs Organisationen, den Konsum von ‘schädlicher’ Software zu vermeiden.
So trägt auch diese Software-Stückliste dazu bei, eine bessere Einschätzung der Cybersicherheit von Produkten mit digitalen Elementen zu haben.
Kommentare