Cyberresilienzgesetz: Updatepflicht für Saugroboter, Smart-Home, Apps

Mit dem sogenannten Cyber Resilience Act (CRA) will die Europäische Union ab November 2027 die Cybersicherheit von Smart-Home-Geräte, vernetzten IoT-Produkten und zgehörigen Softwarelösungen deutlich verbessern.

Produkte mit digitalen Elementen, wie Saugroboter oder Smart-TVs, müssen dann strengere Sicherheitsanforderungen erfüllen, um in der EU verkauft werden zu dürfen. Erklärtes Ziel des neuen Gesetzes ist es, sowohl den Schutz der Verbraucher als auch die Qualität der Produkte zu erhöhen.

Fünf Jahre Updatepflicht

Die Zahl der vernetzten Produkte in Haushalten steigt kontinuierlich. Angefangen beim Saugroboter, über smarte Beleuchtung, Türschlösser und Küchenutensilien bis hin zu Apps auf mobilen Geräten – Technologien, die einen neuen Komfort, aber auch neue Risiken mit sich bringen. Angreifer können vorhandene Schwachstellen ausnutzen, um Schaden anzurichten. Der CRA soll genau dies verhindern, indem er einheitliche Sicherheitsstandards für alle digitalen Produkte vorschreibt.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht den CRA als wichtigen Schritt, um diese Risiken zu minimieren. Hersteller müssen zukünftig die Verantwortung für die Cybersicherheit ihrer Produkte während des gesamten Lebenszyklus übernehmen.

Über den gesamten Lebenszyklus eines Produkts hinweg müssen für den Endnutzer Sicherheitsupdates bereitgestellt und mögliche Schwachstellen kontinuierlich verwaltet werden. In der Regel beträgt die Dauer dieses Supports fünf Jahre – ifun.de berichtete.

Diese Produkte fallen unter den CRA
Alle Produkte, die in der EU verkauft werden und „digitale Elemente“ enthalten, müssen den Anforderungen des CRA entsprechen. Das umfasst neben preisgünstigen Verbraucherprodukten auch B2B-Software sowie komplexe High-End-Industriesysteme. „Produkte mit digitalen Elementen“ werden im CRA als Produkte definiert, die mit einem Gerät oder einem Netzwerk verbunden werden können, und umfassen sowohl Hardwareprodukte mit vernetzten Funktionen (z.B. Smartphones, Laptops, Smarthomeprodukte, Smartwatches, vernetztes Spielzeug, aber auch Mikroprozessoren, Firewalls und intelligente Zähler) als auch reine Softwareprodukte (z.B. Buchhaltungssoftware, Computerspiele, mobile Apps). Nicht-kommerzielle Open-Source-Softwareprodukte sind vom CRA ausgenommen und müssen daher die Anforderungen des CRA nicht erfüllen.

Meldepflicht bei Schwachstellen

Das Cyberresilienzgesetz verpflichtet Hersteller, Händler und Importeure zu mehr Transparenz und klaren Handlungsanweisungen im Falle von Sicherheitslücken. Zudem wird der Supportzeitraum eines digitalen Produkts an dessen Lebensdauer gekoppelt, sodass die Sicherheit über längere Zeiträume gewährleistet bleibt.

Das BSI bereitet sich auf die Umsetzung des Gesetzes in Deutschland vor und hat bereits das IT-Sicherheitskennzeichen eingeführt. Dieses ermöglicht es Herstellern, ihre Produkte schon jetzt auf die künftigen Anforderungen vorzubereiten und Sicherheitsstandards klar zu kommunizieren.

Wie schnell müssen schwerwiegende Sicherheitsvorfälle gemeldet werden?
Alle aktiv ausgenutzten Schwachstellen und schwerwiegende Sicherheitsvorfälle, die sich auf die Sicherheit von Produkten mit digitalen Elementen auswirken, müssen den Behörden innerhalb von 72 Stunden gemeldet werden. Eine Frühwarnung muss innerhalb von 24 Stunden erfolgen. Diese Verpflichtungen gelten bereits 21 Monate nach Inkrafttreten der Verordnung.