European Cyber Security Organistaion
Cyber Resilience Act 2024
Die ECSO-Studie „Cyber Resilience Act (CRA) 2024“ untersucht die Herausforderungen, denen sich die Industrie bei der Implementierung des Cyber Resilience Act (CRA) der Europäischen Union gegenübersieht. Dieser Bericht basiert auf einer Umfrage unter Mitgliedern der European Cyber Security Organisation (ECSO) und beleuchtet zentrale Hindernisse und Empfehlungen zur Umsetzung dieser wichtigen Regulierung, die darauf abzielt, das Cybersicherheitsniveau für alle in der EU verkauften digitalen Produkte zu erhöhen.
Hintergrund des Cyber Resilience Act (CRA)
Der Cyber Resilience Act (CRA) wurde von der Europäischen Kommission am 21. September 2022 vorgeschlagen. Er soll ein Mindestmaß an Cybersicherheit für alle digitalen Geräte (Hardware und Software) gewährleisten, die auf dem Binnenmarkt der EU verkauft werden. Ziel ist es, sicherzustellen, dass Hersteller über den gesamten Lebenszyklus ihrer Produkte Sicherheitsupdates bereitstellen und bekannte Schwachstellen beheben. Besonders betroffen sind Produkte des Internets der Dinge (IoT) und Netzwerkinfrastrukturen, die häufig Schwachstellen aufweisen, aber auch Open-Source-Software und andere digitale Produkte, die auf dem EU-Markt angeboten werden.
Herausforderungen bei der Implementierung des CRA
Die Umfrage unter den ECSO-Mitgliedern identifizierte mehrere Herausforderungen bei der Umsetzung des CRA. Eine der zentralen Hürden ist die Unklarheit über die Produktklassifikation. Viele Unternehmen kämpfen mit der Frage, in welche Kategorie ihre Produkte fallen. Die Unsicherheit darüber, welche digitalen Produkte als „kritisch“ eingestuft werden, erschwert es den Herstellern, die notwendigen Maßnahmen zu ergreifen, um die Anforderungen des CRA zu erfüllen. Ein weiterer wichtiger Punkt ist die mangelnde Klarheit über die genauen Standards, die für die verschiedenen Produktkategorien gelten sollen.
Zeitleiste und Konformitätsbewertung
Eine weitere Herausforderung ist der straffe Zeitplan, den die Europäische Kommission für die Umsetzung des CRA vorschlägt. Viele Unternehmen befürchten, dass die verfügbaren Ressourcen – insbesondere im Hinblick auf qualifizierte Fachkräfte und Zertifizierungsstellen – nicht ausreichen werden, um die Anforderungen innerhalb der vorgeschriebenen Fristen zu erfüllen. Besonders für komplexe Produkte der Kategorie „Class 2“ werden Anpassungen in der Produktions- und Lieferkette erwartet, die erhebliche Zeit und Kosten in Anspruch nehmen.
Ein zentrales Anliegen der Befragten war die Frage, wie Risiko- und Konformitätsbewertungen durchgeführt werden sollen. Die Teilnehmer der Umfrage wiesen darauf hin, dass es derzeit keine einheitliche Methode gibt, um eine solche Bewertung durchzuführen. Dies führt zu Verwirrung und könnte den Wettbewerb auf dem Markt beeinträchtigen, da Unternehmen unterschiedliche Ansätze verfolgen.
Kosten der Regulierung
Die Umsetzung des CRA wird für viele Unternehmen auch mit erheblichen Kosten verbunden sein. Die Umfrage ergab, dass einige Teilnehmer einen Preisanstieg von durchschnittlich 18 % für ihre Produkte erwarten, um die Anforderungen des CRA zu erfüllen. Insbesondere kleine und mittelständische Unternehmen (KMU) sehen sich mit Herausforderungen konfrontiert, da sie weniger Ressourcen haben, um die notwendige Konformität zu erreichen.
Für viele Unternehmen ist es nicht nur eine Frage der finanziellen Kosten, sondern auch des Zeitaufwands. Etwa 55 % der Befragten gaben an, dass sie zwischen einem und sechs Monaten benötigen, um die Anforderungen des CRA zu erfüllen. Bei größeren Unternehmen könnte diese Zeit jedoch deutlich länger ausfallen, da der gesamte Produktbestand auf Konformität überprüft werden muss.
Fehlende Richtlinien und Unterstützung
Die Befragten der Studie fordern dringend klare Richtlinien und Vorlagen, um die Implementierung des CRA zu erleichtern. Insbesondere für die Bewertung von Risiken und die Durchführung von Konformitätsprüfungen werden detaillierte Anleitungen und Tools benötigt. Unternehmen wünschen sich automatisierte Tools zur Bewertung von Schwachstellen und Risiken, die den Prozess der Berichterstattung und die Kommunikation mit den zuständigen Behörden erleichtern. Es besteht auch der Wunsch nach einem harmonisierten Ansatz zur Umsetzung des CRA in allen EU-Mitgliedstaaten, um sicherzustellen, dass Wettbewerbsnachteile vermieden werden.
Empfehlungen der ECSO
Die ECSO-Studie gibt mehrere Empfehlungen, um den Übergang zur CRA-Konformität zu erleichtern:
- Klarere Produktkategorisierungen und Definitionen: Unternehmen benötigen mehr Klarheit darüber, welche Produkte als kritisch eingestuft werden und welche Standards gelten.
- Vereinheitlichung der Risiko- und Konformitätsbewertungen: Einheitliche Methoden zur Bewertung von Risiken und zur Einhaltung von Standards sind entscheidend, um Wettbewerbsnachteile zu vermeiden.
- Schulung und Ressourcen: Unternehmen, insbesondere KMU, benötigen Schulungen und Zugang zu Fachwissen, um die Anforderungen des CRA zu verstehen und umzusetzen.
- Automatisierte Tools: Die Verfügbarkeit von automatisierten Tools zur Bewertung von Schwachstellen und Risiken würde die Implementierung erheblich erleichtern.
- Frühzeitige Einbindung und Lernen von „Early Adopters“: Die Europäische Kommission sollte die Möglichkeit bieten, von Unternehmen zu lernen, die den CRA frühzeitig umsetzen.
Fazit
Die ECSO-Studie zum Cyber Resilience Act zeigt, dass die Umsetzung des CRA eine große Herausforderung für europäische Unternehmen darstellt, insbesondere im Hinblick auf Produktklassifikation, Konformitätsbewertungen und Kosten. Gleichzeitig bietet der CRA eine große Chance, die Cybersicherheitsstandards in Europa zu verbessern. Um den Übergang zu erleichtern, sind klare Richtlinien, Schulungen und automatisierte Tools unerlässlich.
