EU Cyber Resilience Act: Importeure und Händler haften für vernetzte Geräte

Hersteller, die smarte Geräte in der EU verkaufen, müssen für IT-Sicherheit über den gesamten Lebenszyklus eines Produkts sorgen. In der Haftung stehen auch Importeure und Online-Händler. Verstöße gegen den EU Cyber Resilience Act (CRA) stehen drastische Strafen vor.

Auch Vierbeiner wollen sicher vernetzt sein: Solches digitale Hunde-Geschirr wie der auf der Consumer Electronic Show in Las Vegas vorgestellte SATELLAI Tracker (CRN berichtete) müssen in der EU IT-Sicherheitsauflagen erfüllen

Der vergangenes Jahr von der EU verabschiedete Cyber Resilience Act (CRA) sieht vor, dass Hersteller ihre mit dem Internet verbundenen Produkte über den gesamten Lebenszyklus gegen Cyberbedrohungen schützen müssen. Findet keine regelmäßige Prüfung der Cyberresilienz statt, die etwa durch Updates der Firmware stattfindet, drohen empfindliche Strafen: Bis zu 15 Mio. Euro oder 2,5 Prozent des weltweiten Jahresumsatzes – es gilt jeweils der höhere Betrag.

Bis zum Inkrafttreten des CRA 2027 sind es zwar noch 2 Jahre. Doch die Zeit ist vor allem für Importeure knapp, die darauf achten müssen, dass Hersteller entsprechende technische Vorkehrungen treffen. Denn sie stehen mit in der Haftung, wenn sie die Ware in der EU in Verkehr bringen und diese gegen den CRA verstoßen oder etwa mit einem CE-Prüfsiegel gelabelt, aber kein entsprechendes Zertifikat durch dafür autorisierte Prüfer dahintersteht.

"Vernetzte Produkte, die den CRA-Anforderungen nicht genügen, dürften kein CE-Prüfsiegel tragen, wie es für den Verkauf in der Europäischen Union zwingend vorgeschrieben ist", sagt Jan Wendenburg, CEO von Onekey.

Sein Unternehmen ist Dienstleister für Hersteller und Importeure. Onekey führt bei den Produktklassen der Operational Technology (OT) wie auch des Internet of Things (IoT) entsprechende Prüfungen an, ob Produkte gesetzlichen Anforderungen genügen.

Großer und wachsender Markt in Europa

Die EU-Gemeinschaft umfasst 27 Länder in Europa mit rund 448 Millionen Einwohnern. Schätzungen zufolge sind in der EU knapp 20 Milliarden vernetzte Geräte im Einsatz. Dazu gehören beispielsweise smarte Haushaltsgeräte, vernetzte Fahrzeuge, industrielle Sensoren und medizinische Gerätschaften. Prognosen zufolge sollen im Jahr 2030 rund 30 Milliarden digitale Produkte mit Vernetzung in der EU in Betrieb sein, was einem Marktvolumen von 250 bis 300 Mrd. Euro entspricht. "Kein internationaler Hersteller von Elektronikprodukten wird sich den europäischen Markt entgehen lassen wollen", sagt Wendenburg.

Onekey setzt bei der Produktüberprüfung eigenen Aussagen zufolge auf eine Plattform, die den Prozess hoch automatisiert. Kritische Sicherheitslücken und Compliance-Verstöße in der Geräte-Firmware würden durch KI-basierte Technologie "innerhalb von Minuten vollautomatisch im Binärcode identifiziert - ohne Quellcode, Geräte- oder Netzwerkzugriff". Durch die integrierte Erstellung von "Software Bill of Materials (SBOM)" könnten Software-Lieferketten proaktiv überprüft werden. "Digital Cyber Twins" ermöglichten die automatisierte 24/7 Überwachung der Cybersicherheit auch nach dem Release über den gesamten Produktlebenszyklus, so das Unternehmen.

EU Artificial Intelligence Act

Und noch eine weitere regulatorische Besonderheit in der Europäischen Union weist der Sicherheitsexperte hin: Wenn in smarten Geräten direkt oder über eine Cloud-Anbindung Künstliche Intelligenz (KI) zum Einsatz kommt, ist neben dem CRA auch der EU Artificial Intelligence Act (EU AI Act) zu beachten.

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden