NIS-2 und CRA im Überblick
In einer zunehmend digitalisierten Welt ist die Sicherheit von Informationstechnologie und digitalen Produkten von entscheidender Bedeutung. Die Europäische Union hat dies erkannt und zwei neue Gesetze entwickelt, um die Cybersecurity zu stärken: die NIS-2-Richtlinie und die CRA-Verordnung. Diese Regelwerke legen Standards fest, die von Unternehmen eingehalten werden müssen, um die Sicherheit ihrer IT-Systeme und Produkte zu gewährleisten. Im Folgenden werfen wir einen detaillierten Blick auf diese Gesetze.
NIS-2-Richtlinie: Verantwortliche verpflichtet
Wer muss sich an die NIS-2 halten?
Die NIS-2 (Network and Information Security) legt die Anforderungen für die Sicherheit von Netzwerken und Informationssystemen fest. Sie richtet sich an wesentliche und wichtige Einrichtungen. Insg. dürften in Deutschland mindestens 30.000 Unternehmen von der Regulierung betroffen sein.
Als wesentliche Einrichtungen werden Unternehmen mit über 249 Beschäftigten oder 50 Mio. Euro und über 43 Mio. Euro Bilanz, insbesondere aus Bereichen wie Verkehr, Energie, Gesundheitswesen, Trink- und Abwasser, Verwaltung, Banken und Finanzwesen und digitale Infrastruktur definiert. Auch Unternehmen aus dem KRITIS-Bereich (Kritische Infrastrukturen) sowie solche, die vom Staat als „wesentlich“ eingestuft werden, müssen sich an die NIS-2-Richtlinie halten.
Wichtige Einrichtungen sind große Unternehmen, u.a. aus Post- und Kurierdienst, Abfallwirtschaft, Lebensmittelindustrie, Warenherstellung, Anbieter digitaler Dienste und der Forschung. Auch sog. „mittlere Unternehmen“ mit mindestens 50 Beschäftigten oder über 10 Mio. EUR Umsatz und über 10 Mio. Euro Bilanz zählen dabei zu den wichtigen Einrichtungen.
Was müssen diese Unternehmen beachten?
Die NIS-2 fordert von den betroffenen Unternehmen, technische und organisatorische Maßnahmen (TOMs) zu ergreifen, um Störungen von IT-Sicherheitszielen zu vermeiden und Sicherheitsvorfälle zu verhindern. Diese Maßnahmen müssen angemessen sein und dem Stand der Technik entsprechen.
Unternehmen müssen zudem dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ab 2027 nachweisen, dass sie die Anforderungen umgesetzt haben. Dieser Nachweis wird wahrscheinlich alle 2 Jahre notwendig sein.
Ebenso sind sie verpflichtet, Sicherheitsvorfälle innerhalb bestimmter Fristen zu melden. Dabei wird eine dreiteilige Meldung notwendig sein: nach 24 Std. muss dem BSI ein vorläufiger Bericht vorliegen, nach 72 Std. ein vollständiger Bericht und nach einem Monat dann ein Abschlussbericht.
Um die IT-Sicherheit ganzheitlich zu gewährleisten, müssen betroffene Unternehmen auch ihre Dienstleister, Lieferanten und Partner überprüfen.
Bei Nichteinhaltung der Vorgaben drohen Bußgelder, die je nach Art der Einrichtung bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes betragen können.
Ab wann?
NIS-2 ist eine europäische Richtline, das bedeutet, dass die Vorgaben erst in ein deutsches Umsetzungsgesetz übertragen werden müssen. Das NIS-2 Umsetzungsgesetz muss bis Oktober 2024 das Gesetzgebungsverfahren des Bundes durchlaufen, ab dann würde es auch in Kraft treten.
CRA-Verordnung: Die Produktsicht
Wer muss sich daran halten?
Der Cyber Resilience Act (CRA) zielt darauf ab, die Sicherheit digitaler Produkte zu verbessern und betrifft alle Unternehmen, die Produkte mit digitalen Komponenten herstellen oder mit solchen handeln oder diese importieren (bspw. als White Lable). In Art. 3 Nr. 1 des Cyber Resilience Act wird ausgeführt, dass die Beschreibung „Produkte mit digitalen Elementen“ alle Software- und Hardwareprodukte inklusive deren Datenfernverarbeitungslösungen umfasst, sowie ergänzende Software- und Hardwarekomponenten, die davon getrennt auf dem Markt angeboten werden.
Im Ergebnis bedeutet dies, dass ziemlich alle Software- und Hardwareprodukte betroffen sind, die eine Datenverbindung mit einem Netz oder anderem Gerät eingehen können. Demnach dürften bspw. jegliche Smarte Geräte/IoT-Geräte, Speichermedien, Peripheriegeräte (z.B. Bluetooth-Kopfhörer), lokal genutzte Softwareangebote und Betriebssysteme betroffen sein.
Allerdings sieht der Entwurf des Cyber Resilience Act (CRA) auch einige Ausnahmen vor. Grundsätzlich wären jene Software- und Hardwareprodukte nicht von der Reglung betroffen, deren Anforderungen bzgl. Cybersicherheit bereits anderweitig geregelt sind. Auch Open Source Software fällt gemäß des derzeitigen Entwurfs nur bei kommerzieller Vermarktung bzw. Verwendung in den Anwendungsbereich.
Was müssen Hersteller beachten?
Sicherheit und Risiko
Artikel 10 ff. des Cyber Resilience Act legen Verpflichtungen für Hersteller von Produkten mit digitalen Elementen fest. Bevor solche Produkte auf den Markt kommen, müssen sie gemäß eines vorgegebenen Maßnahmenkatalogs gestaltet, entwickelt und produziert werden. Dieser Security by Design-Katalog umfasst verschiedene Sicherheitsvorkehrungen wie sichere Authentifizierungsmechanismen, Datenverschlüsselung, Schutz vor DoS-Attacken und die Minimierung der Angriffsfläche.
Zusätzlich zur Gestaltung der Produkte müssen Hersteller eine Risikobewertung der IT-Sicherheitsbedrohungen durchführen und die Ergebnisse in den gesamten Lebenszyklus der Produkte integrieren. Ziel ist es, Risiken zu minimieren, Sicherheitsvorfälle zu reduzieren und deren Auswirkungen abzumildern. Diese Risikobewertung muss regelmäßig aktualisiert werden, um neu entdeckte Sicherheitslücken zu berücksichtigen.
Konformitätsbewertung
Hersteller müssen ebenso eine Konformitätsbewertung gemäß den Vorgaben des Cyber Resilience Acts durchführen. Das Hauptziel dieser Bewertung besteht darin sicherzustellen, dass die Cybersicherheitsanforderungen erfüllt sind. Die Produkte werden entsprechend ihrer Kritikalität eingestuft, wobei für kritische und hochkritische Produkte strengere Anforderungen gelten.
Die Klassifizierung kritischer Produkte erfolgt gemäß dem CRA in zwei Klassen, basierend auf ihrer Funktionalität und Verwendungsabsicht. Klasse 1 der kritischen Produkte sind bspw. Browser oder Passwortmanager. Unter die Klasse 2 der kritischen Produkte fallen wiederum z.B. Betriebssysteme, Chipkarten, Router oder Firewalls für den industriellen Einsatz.
Hersteller können die Konformitätsbewertung für Klasse-1-Produkte selbst durchführen, wobei sie harmonisierte Normen, gemeinsame Spezifikationen oder europäische Cybersicherheitszertifizierungssysteme gemäß der Verordnung (EU) 2019/881 anwenden können, sofern verfügbar. Für Klasse-2-Produkte ist eine Bewertung durch eine unabhängige dritte Partei erforderlich. Nach Abschluss der Konformitätsbewertung muss der Hersteller eine EU-Konformitätserklärung ausstellen, die angibt, welche Anforderungen erfüllt wurden. Zudem muss das Produkt mit einer CE-Kennzeichnung versehen sein, die deutlich und dauerhaft am Produkt oder an der Verpackung angebracht sein muss, ebenso wie in der EU-Konformitätserklärung.
Weitere Vorgaben
Hersteller müssen auch sicherstellen, dass Komponenten von Drittanbietern die Cybersicherheit ihrer Produkte nicht beeinträchtigen. Schwachstellen müssen während des gesamten Lebenszyklus der Produkte überwacht und durch automatische und kostenlose Updates behoben werden.
Im Falle einer Schwachstelle oder eines Sicherheitsvorfalls müssen Hersteller diesen innerhalb von 24 Stunden der Europäischen Agentur für Cybersicherheit (ENISA) melden und die Nutzer unverzüglich informieren. Wenn möglich, sollten Maßnahmen zur Minderung der Auswirkungen des Vorfalls bereitgestellt werden.
Vor dem Markteintritt muss eine Konformitätsbewertung gemäß den Anforderungen des Cyber Resilience Act durchgeführt werden. Eine positive Bewertung führt zur Ausstellung einer Konformitätserklärung, die 10 Jahre lang aufbewahrt werden muss. Hersteller müssen sicherstellen, dass die Konformität bei Produkten, die Teil einer Serie sind, kontinuierlich gewährleistet wird. Wenn die Konformität eines Produkts nicht mehr gegeben ist, müssen Maßnahmen ergriffen werden, um sie wiederherzustellen oder das Produkt vom Markt zu nehmen.
Was müssen Händler und Importeure beachten?
Der Cyber Resilience Act legt nicht nur für Hersteller, sondern auch für Importeure und Händler Verpflichtungen fest.
Importeure sind dazu verpflichtet, sicherzustellen, dass die von ihnen in Verkehr gebrachten Produkte den Anforderungen des Gesetzes entsprechen. Sie müssen sicherstellen, dass der Hersteller eine Konformitätsbewertung durchgeführt hat und dass die Produkte mit einer CE-Kennzeichnung versehen sind. Darüber hinaus müssen sie sicherstellen, dass die technische Dokumentation und alle erforderlichen Informationen und Anweisungen zum Produkt vorliegen. Die Importeure müssen auch ihre eigenen Angaben, einschließlich ihres Namens und ihrer Kontaktdaten, auf dem Produkt oder alternativ auf der Verpackung anbringen.
Händler sind wiederum verpflichtet, vor dem Inverkehrbringen der Produkte sicherzustellen, dass die CE-Kennzeichnung und alle anderen erforderlichen Informationen sowohl vom Hersteller als auch vom Importeur vorliegen.
Ab wann? Und mögliche Strafen
Bei Nichteinhaltung der CRA-Verordnung können Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes verhängt werden.
Die Umsetzung der CRA-Verordnung muss innerhalb von 36 Monaten nach Inkrafttreten erfolgen, das voraussichtlich Anfang 2024 sein wird.
Ausblick
Insgesamt tragen die NIS-2 und der CRA dazu bei, die Cybersecurity in der EU zu stärken und die Sicherheit von Netzwerken, Informationssystemen und digitalen Produkten zu verbessern. Unternehmen sollten daher rechtzeitig Maßnahmen ergreifen, um den Anforderungen dieser Richtlinien gerecht zu werden und potenzielle Bußgelder zu vermeiden.
Bei Fragen dazu steht Ihnen Maurice Oettel zur Verfügung
Maurice Oettel
zertifizierter Datenschutzbeauftragter
zertifizierter Informationssicherheitsbeauftragter