CRA, CE und NIS-2

Was bedeutet digitale Resilienz und Cybersecurity über die gesamte Liefer- und Wertschöpfungskette hinweg?

Der neue Cyber Resilience Act (CRA) der EU, zusammen mit der CE-Konformität und der NIS2-Richtlinie, verspricht – und fordert – eine umfassende Stärkung der digitalen Resilienz über die gesamte Liefer- und Wertschöpfungskette hinweg. Im Folgenden geben wir wieder einige Hinweise, wie diese Regelwerke zusammenwirken, um eine sichere digitale Zukunft zu gestalten.

Dazu gehören:

  • Der Zusammenhang zwischen dem CRA (Cyber Resilience Act der EU), der CE-Konformität und NIS-2 (Netzwerk- und Informationssicherheitsrichtlinie der EU)
  • Pflichten, die sich für Hersteller von Produkten mit digitalen Elementen durch CRA ergeben und die Transparenzvorteile daraus für KRITIS-Betreiber und NIS-2-betroffene Einrichtungen

Horizontale und vertikale Regulierung: CRA, CE-Konformität und NIS-2
Der CRA, der voraussichtlich in der zweiten Hälfte des Jahres 2024 final in Kraft tretende Cyber Resilience Act der EU, verpflichtet Hersteller von Produkten mit digitalen Elementen zu Cybersicherheitsmaßnahmen auf Produktebene. Diese horizontale Regulierung ergänzt die vertikale Regulierung der NIS-2, die sich auf die betriebsbezogene Cybersicherheit „besonders wichtige und wichtige Einrichtungen“ konzentriert.

Hersteller in der Pflicht – Sicherheitstransparenz für KRITIS-Betreiber
Hersteller müssen durch den CRA ihre Produkte nicht nur auf Sicherheit, sondern auch auf Cybersicherheit überprüfen und zertifizieren. KRITIS-Betreiber und NIS-2-betroffene Einrichtungen profitieren von dieser Sicherheitstransparenz, indem sie die Sicherheit der Lieferkette leichter gewährleisten können.

Vorteile für Betreiber: Der CRA vereinfacht den Nachweis der Sicherheit in der Lieferkette
Mit nach CRA zertifizierten Vorprodukten wird dies deutlich einfacher. Der CRA löst das sogenannte „Kuckucksei-Problem“, bei dem unsichere Vorprodukte die gesamte Sicherheitskette gefährden könnten. Eine NIS2-betroffene Einrichtung muss z. B. als eine von mehreren Risikomanagement- / Resilienzmaßnahmen die „Sicherheit in der Lieferkette“ sicherstellen. Mit Hersteller-Vorprodukten, die nach CRA ihre CE-Konformität nicht nur bezüglich Safety, sondern auch bezüglich Security nachweisen können, kann die NIS-2-betroffene Einrichtung dies leichter bewerkstelligen.

Vorbereitungen und Compliance bei Dallmeier: ISO 27001 und mehr
Der CRA wird künftig auch uns Dallmeier als Hersteller betreffen. Wir sind vorbereitet und werden den CRA auf Produktebene erfüllen, u.a. durch technische Cybersicherheitsfunktionen und durch präventives und reaktives Schwachstellenmanagement per #SBOM (Software Bill of Materials). Ein zertifiziertes, internes ISMS nach ISO 27001 unterstützt diese Maßnahmen.

CE-Konformitätsschema um Security erweitert, vier Risikoklassen im CRA
Bislang umfasste die CE-Konformität vor allem Safety, Gesundheitsschutz und Umweltschutz. Der CRA fügt „Security“ als neues Kriterium hinzu und komplettiert damit die Anforderungen. Der Cyber Resilience Act teilt Produkte mit digitalen Elementen in vier Risikoklassen ein, basierend auf Funktion, Verwendungszweck und potenziellen Auswirkungen.

Das zentrale Instrument zur Einhaltung des Cyber Resilience Act wird die bereits erwähnte Konformitätsbewertung. Dabei wird überprüft, ob ein Produkt die Anforderungen an Sicherheit und Schwachstellenmanagement erfüllt. Bei unkritischen Produkten reicht eine Selbstbewertung des Herstellers aus. Für kritische Produkte gilt ein strengeres Nachweisverfahren: in Klasse I mindestens nach einer standardisierten Konformitätsbewertung oder durch eine unabhängige Prüfung durch Dritte. Dieses Sicherheitsaudit durch zertifizierte Dritte ist für kritische Produkte der Klasse II grundsätzlich vorgeschrieben. Konforme Produkte erhalten die CE-Kennzeichnung und erfüllen damit die Konformitätsanforderungen.

Durch diese Maßnahmen werden die Sicherheit und Resilienz digitaler Produkte erheblich gesteigert, was nicht nur den Herstellern, sondern der gesamten Gesellschaft zugutekommt.

Weitere Informationen zum Dallmeier Ansatz zu Cybersecurity in KRITIS