Cyber Resilience Act: jetzt vorbereiten
Das Wichtigste in Kürze
- EU Cyber Resilience Act seit Herbst 2024 in Kraft, Übergangsfrist bis Ende 2027: Hersteller, Importeure und Händler müssen durchgängige Cybersicherheit über den gesamten Produktlebenszyklus gewährleisten
- Pflichten umfassen Security by Design, Dokumentation und Schwachstellenmeldung innerhalb 24 Stunden. Schweizer Unternehmen sind über die Lieferkette betroffen, CE-Selbstdeklaration reicht meist aus
Cybersecurity ist ein Dauerbrenner, der nicht nur die IT-Abteilungen betrifft, sondern fast jedes KMU, das smarte Produkte mit Netzwerk- bzw. Internetanbindung entwickelt oder verkauft. Die Palette ist gross, enthält etwa Smartwatches, Kameras, Thermostate, Sensoren und vieles mehr.
Das Problem: Viele Geräte waren bisher nur ungenügend auf Angriffsversuche vorbereitet. Die offensichtlichste Schwäche bisher war etwa das Setzen von Standardpasswörtern wie 1234 bei Auslieferung ab Fabrik. User haben längst bessere Möglichkeiten, etwa Passkeys. Umso stossender und gefährlicher sind schwache Standardpasswörter auf Hardwareebene, die nicht geändert werden. Damit soll jetzt Schluss sein. Dafür sorgt der Cyber Resilience Act der EU. Seit Herbst 2024 ist er in Kraft und enthält eine Übergangsfrist bis Ende 2027.
Die EU will es Hackern schwerer machen
Der CRA ist ein neuer Rechtsrahmen, der für alle Länder der EU gilt und die Cybersicherheit von allen Geräten mit digitalen Elementen anheben soll. Neu schreibt der CRA vor, dass Hersteller, Importeure und Händler über den gesamten Lebenszyklus eines Produkts umfassende Cybersicherheit gewährleisten müssen, dies mit «Security by Design», Informations-, Transparenz- und Aufklärungspflichten sowie einer Meldepflicht von IT-Schwachstellen und Cyberangriffen innerhalb von 24 Stunden. Die Strafen bei Verstössen sind je nach Schwere und Land empfindlich.
Sichere Produkte werden in der EU ab 2027 mit dem bereits bekannten CE-Kennzeichen ausgewiesen, nur diese dürfen noch verkauft werden.
Eine Anfrage beim Bundesamt für Cybersicherheit BACS zeigt, dass auch hierzulande der CRA begrüsst wird. Im Vordergrund steht für Schweizer Unternehmen vor allem eine verstärkte Dokumentationspflicht. Die Einteilung eines Produkts in eine bestimmte Kategorie oder Klasse sei entscheidend dafür, welche Nachweise konkret erbracht werden müssen. Erleichternd: Eine CE-Selbstdeklaration reicht für die meisten Produkte aus.
Auch die IT-Abteilungen sind in der Pflicht und müssen ihre Anforderungen an die eingesetzten Geräte überprüfen und auf den CRA abstimmen.
Schon heute mit den Vorbereitungen beginnen
Vom CRA sind die meisten Schweizer Unternehmen betroffen, da er die ganze Liefer- und Vertriebskette ins Visier nimmt. Darum gilt es jetzt, die nötigen Massnahmen abzuklären und umzusetzen. In einer zunehmend digitalisierten Wirtschaft kann nämlich Cybersecurity über Erfolg und Misserfolg entscheiden.
Quellen und weiterführende Links
