Regulatorische Grundlagen
Cybersecurity wird für vernetzte Produkte zur Pflicht: Teil 1
Cybersecurity rückt ins Zentrum europäischer Regulierung. Bis August 2025 müssen Produkte mit Funktechnik und Internetzugang nach der Funkanlagenrichtlinie das Netz sowie personenbezogene Daten schützen und Betrug verhindern. Die Norm EN 18031 soll Hersteller bei der Umsetzung unterstützen.
Statistisch findet alle elf Sekunden auf der Welt ein Ransomware-Angriff statt, so die Europäische Kommission. Allein diese Ransomware-Angriffe sollen im Jahr 2021 weltweit geschätzte Kosten von 20 Mrd. Euro verursacht haben. Statista-Zahlen sagen ein globales Cybercrime-Schadensvolumen von etwa 10 Billionen Dollar für 2025 vorher (Bild 1). Gleichzeitig sollen Cyberkriminelle rund 10 Mio. DDoS-Angriffe (Distributed Denial of Service) gestartet haben.
Die Europäische Kommission will Europa widerstandsfähiger und sicherer gegen Cyberangriffe machen und hat dazu den Cyber Resilience Act (CRA) verabschiedet. Beim CRA handelt es sich um die erste EU-weite Gesetzgebung ihrer Art, die gemeinsame Regeln zur Cybersecurity für Hersteller und Entwickler von Produkten mit »digitalen Elementen« (Hard- und Software) festlegt.
Der CRA [1] soll dafür sorgen, dass
- drahtgebundene und drahtlose Produkte, die mit dem Internet verbunden sind, und Software auf dem EU-Markt sicherer werden.
- Hersteller über den gesamten Lebenszyklus ihrer Produkte für die Cyber-security ihrer Produkte verantwortlich bleiben.
- Verbraucher ordentlich über die Cybersecurity der von ihnen gekauften und verwendeten Produkte informiert werden.
Jobangebote+ passend zum Thema
Cybersecurity-Risiken
Cyberangriffe können sich innerhalb von Minuten über die Grenzen des Binnenmarkts hinweg verbreiten. Die Verordnung befasst sich deshalb mit zwei Problemen:
1) Das niedrige Niveau der Cybersicherheit vieler dieser Produkte und, noch wichtiger, die Tatsache, dass viele Hersteller keine Updates zur Behebung von Sicherheitslücken bereitstellen. Während die Hersteller von Produkten mit digitalen Elementen manchmal einen Imageschaden erleiden, wenn ihre Erzeugnisse nicht sicher sind, werden die Kosten für Sicherheitslücken in erster Linie professionellen Nutzern und Verbrauchern aufgebürdet. Dies schränkt die Anreize für die Hersteller ein, in sicheres Design und Entwicklung zu investieren und Sicherheitsupdates bereitzustellen.
2) Zum anderen verfügen Unternehmen und Verbraucher oft nicht über ausreichende und genaue Informationen, wenn es darum geht, sichere Produkte auszuwählen. Und sie wissen oft nicht, wie sie sicherstellen können, dass die von ihnen gekauften Produkte sicher eingerichtet sind.
Die neuen Vorschriften befassen sich mit diesen beiden Aspekten, indem sie die Frage der Aktualisierungen und die Frage der Bereitstellung aktueller Informationen für die Kunden aufgreifen.
Grundsätze des CRA
Der CRA schreibt vor, dass Produkte mit digitalen Elementen nur dann auf den Markt gebracht werden dürfen, wenn sie bestimmte grundlegende Cybersicherheits-Anforderungen erfüllen. Er verlangt von den Herstellern, die Cybersicherheit bei der Konzeption und Entwicklung von Produkten mit digitalen Elementen zu berücksichtigen.
Was die Informationen und Anweisungen für die Endnutzer betrifft, verlangt der CRA von den Herstellern Transparenz in Bezug auf die Cybersicherheits-Aspekte, die den Kunden mitgeteilt werden müssen.
Ein Schlüsselelement des CRA ist die Abdeckung des gesamten Lebenszyklus der Produkte, und zwar besonders die Verpflichtung der Hersteller und Entwickler, einen Unterstützungszeitraum festzulegen, der der voraussichtlichen Nutzungsdauer des Produkts entspricht, und in diesem Zeitraum Sicherheitsaktualisierungen bereitzustellen. Diese Verpflichtungen gelten für die Wirtschaftsakteure, angefangen bei den Herstellern bis hin zu Händlern und Importeuren, im Zusammenhang mit dem Inverkehrbringen von Produkten mit digitalen Elementen.
Auf der Grundlage des neuen Rechtsrahmens für die Produktgesetzgebung in der EU werden die Hersteller einem Konformitätsbewertungsverfahren unterzogen, um nachzuweisen, dass die festgelegten Anforderungen für ein Produkt erfüllt sind. Dies könnte über eine Selbstbewertung oder eine Konformitätsbewertung durch einen Dritten erfolgen, je nachdem, welches Risiko mit dem fraglichen Produkt verbunden ist.
Wenn die Übereinstimmung des Produkts mit den geltenden Anforderungen nachgewiesen wurde, stellen Hersteller und Entwickler eine EU-Konformitätserklärung aus und können die CE-Kennzeichnung anbringen. Die CE-Kennzeichnung zeigt die Konformität von Produkten mit digitalen Elementen mit dem CRA, sodass sie im Binnenmarkt frei vertrieben werden dürfen.
Der CRA wurde im November 2024 im Official Journal der EU veröffentlicht und wird voraussichtlich ab Dezember 2027 verpflichtend sein. Bis dahin soll eine Erweiterung der Funkanlagenrichtlinie RED um Cybersicherheits-Aspekte für eine Verbesserung der Cybersicherheit zumindest in Funkanlagen sorgen. Dazu später mehr.
Vorteile des CRA
Der CRA wird den verschiedenen Beteiligten erhebliche Vorteile bringen. Die Unternehmen werden bald nur noch ein einziges Paket von Cybersicherheits-Vorschriften in der gesamten EU einhalten müssen.
Der Rechtsakt wird die Zahl der Cybersicherheits-Vorfälle und damit auch die Kosten für die Bearbeitung von Vorfällen und die Rufschädigung von Unternehmen senken. Dadurch würde das Vertrauen von Verbrauchern und Geschäftskunden in Unternehmen und Produkte gestärkt und somit die Nachfrage nach Produkten mit digitalen Elementen sowohl innerhalb als auch außerhalb der EU erhöht.
Zugleich werden die Verbraucher und Nutzer bei der Auswahl eines Produkts mit digitalen Elementen von mehr Informationen und von klareren Anweisungen zu ihrer Verwendung profitieren. Infolge geringerer Sicherheitsrisiken und Vorfälle wird Verbrauchern und Bürgern ein besserer Schutz der Grundrechte wie Datenschutz und Schutz der Privatsphäre zugutekommen.
Der CRA hat das Potenzial, über den EU-Binnenmarkt hinaus ein internationaler Bezugspunkt zu werden. Die EU-Normen, die auf dem CRA beruhen, werden seine Umsetzung erleichtern und in den globalen Märkten ein Vorteil für EU-Hersteller sein.
Nicht-konforme Produkte
Die Mitgliedstaaten müssen Marktaufsichtsbehörden ernennen, die für die Durchsetzung der Verpflichtungen aus dem Gesetz über die Widerstandsfähigkeit gegen Cyberangriffe zuständig sein werden. Im Falle der Nichteinhaltung können die Marktüberwachungsbehörden die Betreiber auffordern, die Nichteinhaltung zu beenden und das Risiko zu beseitigen. Sie können die Bereitstellung eines Produkts auf dem Markt verbieten oder einschränken oder anordnen, dass das Produkt zurückgenommen oder zurückgerufen wird. Jede dieser Behörden wird in der Lage sein, Geldstrafen gegen Unternehmen zu verhängen, die sich nicht an die Vorschriften halten. Der CRA legt Höchstgrenzen für Bußgelder fest, die in nationalen Gesetzen für den Fall der Nichteinhaltung vorgesehen werden.
Zusammenspiel mit anderen Regeln
Der CRA soll die EU-Regulierungslandschaft harmonisieren, indem er Cybersicherheits-Anforderungen für Produkte mit digitalen Elementen einführt und sich überschneidende Anforderungen vermeidet, die aus verschiedenen Rechtsvorschriften stammen. Dies schafft mehr Rechtssicherheit für Betreiber und Nutzer in der gesamten Union sowie eine bessere Harmonisierung des europäischen Binnenmarktes und damit bessere Bedingungen für Betreiber, die in den EU-Markt eintreten wollen.
Der CRA wird vor allem die NIS-2-Richtlinie ergänzen, die vor Kurzem vom Europäischen Parlament und vom Rat verabschiedet wurde. Mit der NIS-2-Richtlinie werden Anforderungen an die Cybersicherheit eingeführt, einschließlich Sicherheitsmaßnahmen in der Lieferkette und Meldepflichten für wesentliche und wichtige Einrichtungen, um die Widerstandsfähigkeit der von ihnen erbrachten Dienste zu erhöhen.
Ein höheres Maß an Cybersicherheit für Produkte mit digitalen Elementen würde es für die unter die NIS-2-Richtlinie fallenden Einrichtungen erleichtern, die Vorschriften einzuhalten, und die Sicherheit der gesamten Lieferkette erhöhen.
Der CRA gilt auch für Funkanlagen, die in den Anwendungsbereich der Delegierten Verordnung gemäß der Funkanlagenrichtlinie 2014/53/EU (Radio Equipment Directive, RED) fallen. Er ist auf die Anforderungen der Delegierten Verordnung der RED abgestimmt, einschließlich der spezifischen geforderten Standards.
Funkanlagenrichtlinie 2014/53/EU (RED)
Intelligente Geräte und Kameras, intelligentes Spielzeug und eine Reihe anderer vernetzter Wireless-Geräte wie Mobiltelefone, Laptops, Dongles, Alarmanlagen und Hausautomatisierungssysteme sind Beispiele für Geräte, bei denen die Gefahr besteht, dass sie gehackt werden und die Privatsphäre verletzt wird, wenn sie mit dem Internet verbunden sind. Darüber hinaus können tragbare Funkgeräte (wie Ringe, Armbänder, Taschenclips, Headsets, Fitness-Tracker) eine Reihe sensibler Daten des Nutzers über einen längeren Zeitraum überwachen und aufzeichnen (zum Beispiel Position, Temperatur, Blutdruck, Herzfrequenz) und diese nicht nur über das Internet, sondern auch über unsichere Kurzstrecken-Kommunikationstechniken übertragen. Die Funkanlagenrichtlinie 2014/53/EU5 (RED) definiert einen Rechtsrahmen für das Inverkehrbringen von Funkanlagen im Binnenmarkt (Bild 2). Sie betrifft verbindliche Marktzugangsbedingungen für Funkanlagen [2], und für die CE-Kennzeichnung ist die Konformität eines Produkts mit der RED erforderlich. Die RED gilt für elektrische und elektronische Geräte, die das Frequenzspektrum für Kommunikations- und/oder Funkbestimmungszwecke nutzen können. Die Mitgliedstaaten (MS) ergreifen über ihre nationalen Marktaufsichtsbehörden Korrekturmaßnahmen für nicht konforme Funkanlagen.
In Artikel 3 der RED sind die grundlegenden Anforderungen festgelegt, die Funkanlagen, die innerhalb der EU in Verkehr gebracht werden, erfüllen müssen. Artikel 3 Absatz 1 Buchstabe a) enthält die grundlegenden Anforderungen in Bezug auf Gesundheit und Sicherheit, Artikel 3 Absatz 1 Buchstabe b) die grundlegenden Anforderungen in Bezug auf die elektromagnetische Verträglichkeit und Artikel 3 Absatz 2 die grundlegenden Anforderungen in Bezug auf die effektive und effiziente Nutzung des Frequenzspektrums. Darüber hinaus sieht Artikel 3 Absatz 3 zusätzliche grundlegende Anforderungen vor, die für diejenigen Kategorien oder Klassen von Funkanlagen gelten, die in entsprechenden delegierten Rechtsakten der Kommission festgelegt sind.
Neue Cybersecurity-Regeln ab August 2025 Pflicht
In Artikel 3 Absatz 3 der RED sind nun die neuen Anforderungen an die Cybersecurity von Funkgeräten definiert. Dabei geht es um die folgenden drei Punkte des zweiten Unterabsatzes von Artikel 3 Absatz 3 (Bild 3):
- 3(3)(d) Der Schutz des Netzes ist zu gewährleisten.
- 3(3)(e) Die Gewährleistung von Garantien für den Schutz personenbezogener Daten und der Privatsphäre.
- 3(3)(f) Der Schutz vor Betrug ist zu gewährleisten.
Hilfestellung bei der Umsetzung der Cybersecurity-Anforderungen der Funkanlagenrichtlinie (RED) bietet die neue Normenreihe EN 18031 zur Cybersecurity in Funkanlagen.
EN 18031 – Cybersecurity in Funkanlagen
Mit der Einführung neuer Anforderungen durch die Delegierte Verordnung 2022/30 zur Funkanlagenrichtlinie 2014/53/EU steht die Branche vor großen Herausforderungen. Die neue Normenreihe EN 18031, bestehend aus EN 18031-1, EN 18031-2 und EN 18031-3, soll Herstellern helfen, die Konformität ihrer Produkte mit den verschärften Anforderungen nachzuweisen. Ab dem 1. August 2025 müssen betroffene Geräte diese Vorgaben verbindlich erfüllen (Bild 4).
Die EN 18031 konkretisiert die Anforderungen der Funkanlagenrichtlinie im Hinblick auf die Cybersicherheit und umfasst drei Teile:
- Die EN 18031-1 richtet sich auf Funkanlagen mit Internetverbindung. Teil 1 dieser Norm legt Prüfverfahren und Bedingungen fest, um die Übereinstimmung internetfähiger Funkanlagen mit Artikel 3 Absatz 3 Buchstabe d) der RED zu prüfen. Sie fordert, dass Funkanlagen keine schädlichen Auswirkungen auf Netzwerke oder deren Betrieb haben dürfen.
- In EN 18031-2 geht es um Funkgeräte, die Daten verarbeiten. Gemäß Teil 2 der Norm erfolgt eine Prüfung der datenverarbeitenden Funkgeräte in Bezug auf Artikel 3 Absatz 3 Buchstabe e) der RED zum Schutz personenbezogener Daten.
- Die EN 18031-3 befasst sich mit Funkgeräten, die finanzielle Werte verarbeiten. Dort sind die Prüfverfahren für Artikel 3 Absatz 3 Buchstabe f) der RED definiert, mit denen die Funktionen zum Schutz vor Betrug getestet werden.
Die Normenreihe EN 18031 wurde von der mit der Normung beauftragten Cenelec im Oktober 2024 der EU-Kommission zur Prüfung und Harmonisierung vorgelegt.
Grundsätze der EN 18031
Die Norm EN 18031 bietet einen umfassenden und flexiblen Rahmen für die Sicherheit von Funkanlagen. Sie berücksichtigt die Komplexität und Vielfalt moderner Geräte und liefert Herstellern klare Richtlinien für die Umsetzung robuster Sicherheitsmaßnahmen. Einen kompakten Überblick gibt das Portal Cyber Regulierung [3]. Die Norm EN 18031 wurde von der Cenelec im Auftrag der EU erstellt und im Oktober 2024 an die EU-Kommission zur Prüfung eingereicht. Ende Januar wurde die Norm nun von der EU-Kommission harmonisiert, so dass Produkte nicht mehr von akkreditierten Prüfdienstleistern zertifiziert werden müssen, sondern eine Selbsterklärung genügt, dass der Standard EN 18031 eingehalten wird.
Die relevanten Grundsätze laut Cyber-Regulierung sind:
- Security-by-Design: Security-Aspekte sind schon im Entwicklungsprozess zu berücksichtigen.
- Strukturierte Bedrohungsanalyse: EN 18031 empfiehlt die Verwendung des STRIDE-Modells. Es hilft Herstellern, systematisch mögliche Bedrohungen abzuschätzen, indem es sechs Hauptkategorien von Bedrohungen betrachtet: Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service und Elevation of Privilege.
- Kategorisierung von Sicherheitsmaßnahmen: Die Norm teilt Sicherheitsanforderungen in fünf Hauptkategorien ein:
- Identifizieren: Erkennen von Sicherheitsrisiken
- Schützen: Verhindern oder Begrenzen von Sicherheitsvorfällen
- Erkennen: Aufspüren von Sicherheitsvorfällen
- Reagieren: angemessenes Handeln nach erkannten Vorfällen
- Wiederherstellen: Wiederherstellung nach einem Sicherheitsvorfall
- Assets: Die Norm führt den Begriff »Assets« ein, um die Hauptziele von Sicherheitsmaßnahmen zu definieren. Diese umfassen Netzwerk-Assets, Sicherheits-Assets, Datenschutz-Assets und finanzielle Assets. Dieser Ansatz hilft Herstellern, gezielt Schutzmaßnahmen für die wichtigsten Teile ihres Produkts zu entwickeln.
- Mechanismen: Die Norm verwendet »Mechanismen«, um spezifische Sicherheitsanforderungen zu adressieren. Dieser Ansatz erlaubt es, die Anforderungen flexibel auf verschiedene Gerätetypen und Einsatzszenarien anzuwenden.
- praktische Bewertungsmethoden: Die Norm bietet konkrete Werkzeuge zur Beurteilung der Konformität:
- Entscheidungsbäume helfen zu bestimmen, ob bestimmte Anforderungen anwendbar sind.
- Vorgaben für die technische Dokumentation zeigen, welche Informationen Hersteller bereitstellen müssen.
- Richtlinien für Sicherheitstests geben an, wie die Umsetzung der Anforderungen überprüft werden kann.
Insgesamt soll die EN 18031 einen ausgewogenen und praktikablen Ansatz zur Verbesserung der Sicherheit von Funkgeräten bieten. Die Norm erkennt an, dass es keine einheitliche Lösung für alle Geräte gibt, und bietet stattdessen einen Rahmen, innerhalb dessen Hersteller geeignete Sicherheitsmaßnahmen für ihre spezifischen Produkte entwickeln können. Weitere Details zu den Anforderungen und Mechanismen sowie der Prüfung sind in [3] dargestellt.
Würth Elektronik auf der embedded world: Halle 2, Stand 110
Lesetipp
Im zweiten Teil des Artikels, der in der nächsten Ausgabe der Elektronik erscheint, geht es um die konkrete Umsetzung der neuen Cybersecurity-Aspekte der Funkanlagenrichtlinie (RED) am Beispiel des WiFi-Moduls Cordelia-I von Würth Elektronik.
Literatur
[1] European Commission: Cyber Resilience Act – Questions and Answers. https://ec.europa.eu/commission/presscorner/detail/en/QANDA_22_5375
[2] European Commission: Radio Equipment Directive (RED): https://single-market-economy.ec.europa.eu/sectors/electrical-and-electronic-engineering-industries-eei/radio-equipment-directive-red_en
[3] EN 18031 – Cybersecurity in Funkanlagen: https://www.cyber-regulierung.de/normen-standards/en-18031/ (Aufruf 28.10.2024, 15:14)
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
