Cyber Resilience Act: Ein wichtiger Schritt für mehr IT-Sicherheit mit möglichen Konsequenzen auch für Finanzinstitute

Mit dem Cyber Resilience Act wird eine weitere Regulierung der EU zum Schutz vor Cyberangriffen implementiert. Im Mittelpunkt stehen hier Anforderungen, die den Einsatz „digitaler Produkte“ sicherer machen sollen. Während die Auswirkungen anderer Initiativen wie DORA auf Finanzinstitute bereits intensiv diskutiert werden, scheint der Cyber Resilience Act hier bislang keine Rolle zu spielen. Wir denken, dass bestimmte Aspekte durchaus Beachtung finden sollten, zumindest aus Sicht der Finanzinstitute als Nutzern von „digitalen Produkten“.

Hard- und Softwareprodukte sind immer professioneller werdenden Cyberangriffen ausgesetzt, die 2021 zu enormen wirtschaftlichen Schäden i.H.v. rund 20 Milliarden Euro führten. Neben industriellen Produkten wie Mikrocontrollern, Endanwendersoftware, Automatisierungs- und Steuerungssystemen sowie eingebetteter Software in Hardwareprodukten sind auch Haushaltsgeräte, die per WLAN oder Mobilfunk mit dem Netzwerk verbunden werden können (u.a. Drucker, Kühlschränke, Notebooks und Babyphones) sehr anfällig für Cyberangriffe geworden. Auch namhafte Unternehmen insgesamt geraten unter immer stärkeren Druck, ihre Sicherheitsstandards zu erhöhen. Erfolgreiche Angriffe wurden beispielsweise im November 2021 auf die Server der MediaMarktSaturn-Holding mit einem Verschlüsselungstrojaner durchgeführt. Die Filialen blieben zwar geöffnet, die Auswirkungen waren dennoch immens. Betroffen waren insbesondere die Kassen- und Warenwirtschaftssysteme in den Filialen. In den Geschäften erfolgte der Verkauf daher nur gegen Bargeld. Auch Warenbestellungen, Rückgaben und Abholungen waren nicht möglich. Ein weiteres und vielleicht weniger bekanntes Beispiel für erfolgreiche Angriffe betraf die Aerzener Maschinenfabrik. Hier war es Cyberkriminellen gelungen, sich Zugang zum IT-Netzwerk zu verschaffen und Unternehmensdaten zu verschlüsseln. Die Produktion musste stillgelegt und die 1.100 Mitarbeiter in Kurzarbeit geschickt werden.

Ein wesentlicher Grund für den Anstieg erfolgreicher Cyberangriffe ist, dass Unternehmen bezüglich ihrer Produkte oft generell ein niedriges Maß an Cybersicherheit aufweisen. Ein enormes Problem besteht aber auch darin, dass EU-weit keine einheitlichen Vorschriften zur Cybersicherheit existieren, an denen sich Unternehmen orientieren können: Die bestehenden Binnenmarktvorschriften in der EU gelten nur für bestimmte Produkte mit digitalen Elementen. Die meisten Hardware- und Softwareprodukte fallen derzeit nicht unter die EU-Rechtsvorschriften, die sich mit der Cybersicherheit befassen. So existieren im aktuellen EU-Rechtsrahmen keine Vorschriften zur Cybersicherheit „nicht eingebetteter Software“, durch die die Ablage beziehungsweise der Transfer sensibler Unternehmensdaten erfolgt. Dazu gehören u.a. Unternehmenssoftware und Cloud-Infrastruktur. Cybersicherheitsangriffe zielen zunehmend auf solche Schwachstellen, wodurch erhebliche wirtschaftliche Kosten verursacht werden.

Rechtsentwurf der EU

Am 15. September 2022 stellte die Präsidentin der EU-Kommission Ursula von der Leyen ein europäisches Gesetz zur Cybersicherheit – den „Cyber Resilience Act“ –vor, das als Ergänzung zum Cybersecurity Act (CSA) dient. Es basiert auf der Grundlage der EU-Cybersicherheitsstrategie 2020 und der Strategie für die EU-Sicherheitsunion 2020.

Mit dem Cyber Resilience Act geht die EU-Kommission die notwendige Aufgabe an, einheitliche Produktstandards zur Cybersicherheit auf europäischer Ebene, insbesondere für Hersteller von materiellen und immateriellen Produkten mit digitalen Elementen (Hard- und Software), einzuführen und das Resilienzniveau in der EU anzuheben. Die Regulierung setzt damit einen Rahmen, um zukünftig nur noch Produkte in Umlauf zu bringen, die bestimmten Mindeststandards entsprechen. Es sollen neben Hardwareprodukten, wie z.B. Sensoren und Kameras, Smartcards, mobilen Geräten oder Netzwerkgeräten wie Router und Switches, insbesondere auch Softwareprodukte und zugehörige Dienste erfasst werden. Bestimmte Produkte, wie Medizinprodukte, die unter sektorspezifische Rechtsvorschriften fallen, sind jedoch von den Vorgaben des CRA ausgenommen.

Der Rechtsentwurf regelt folgende wesentliche Ziele:

Digitale (drahtlose und kabelgebundene) Produkte, die im europäischen Binnenmarkt in Verkehr gebracht werden, müssen bereits vor Markteinführung grundlegende Anforderungen an die Cybersicherheit in Bezug auf Design, Entwicklung und Fertigungsprozesse erfüllen.
Hersteller bleiben während des gesamten Lebenszyklus eines Produkts für die Cybersicherheit verantwortlich. Sie sind gemäß der neuen Regulierung stärker verpflichtet, Sicherheitssupports und kostenlose Software-Updates bereitzustellen, um identifizierte Schwachstellen zu beheben.
Hersteller müssen Vorfälle, die sich negativ auf die Sicherheit der Hardware und/oder Software des Produkts auswirken, an die EU-Cybersicherheitsbehörde ENISA melden.
Sicherheit von Hardware- und Softwareprodukten muss für Verbraucher transparenter gestaltet werden. Den Verbrauchern wird somit ermöglicht, ausreichende Informationen bzgl. der Cybersicherheit zu den von ihnen gekauften und verwendeten Produkten zu erhalten.

Besondere Anforderungen für „kritische Produkte“

Hersteller von „critical products“ und „highly critical products“ müssen darüber hinaus ein besonderes Konformitätsverfahren durchlaufen. Hierbei werden Produkte in drei Klassen eingeteilt:

Klasse 1 (critical products): u.a. Identitätsmanagementsysteme, Browser, Passwortmanager, Antiviren-Programme, Firewalls, virtuelle private Netzwerke (VPNs), umfassende IT-Systeme, physische Netzwerkschnittstellen sowie Router und Chips, die in essenziellen Einrichtungen im Sinne der Richtlinie zur Netz- und Informationssicherheit 2 (“NIS-2-Richtlinie”) verwendet werden
Klasse 2 (highly critical products): u.a. Desktop- und Mobilgeräte, virtualisierte Betriebssysteme, Aussteller digitaler Zertifikate, Allzweck-Mikroprozessoren, Kartenlesegeräte, Robotersensoren, intelligente Zähler und alle IoT-Geräte sowie Router und Firewalls für den industriellen Einsatz
Nicht klassifizierte Produkte bzw. Standard-Produkte

Für Produkte der Klasse 2 soll nach dem Vorschlag der EU-Kommission zudem eine Bewertung durch Dritte erforderlich sein.

Marktüberwachungsstellen und Sanktionen

Mitgliedstaaten werden zur Einrichtung von Marktüberwachungsstellen verpflichtet, die die Einhaltung der Vorgaben des CRA überprüfen müssen. Diese sollen auch EU-weit koordinierte Kontrollmaßnahmen durchführen können. Im Falle eines Verstoßes drohen unter anderem der Rückruf der entsprechenden Produkte sowie Bußgelder in Höhe von bis zu 15 Mio. Euro bzw. 2,5 Prozent des Jahresumsatzes, je nachdem welcher Wert höher ist.

Voraussichtlicher Zeitplan

Der Europäische Rat sowie das Europäische Parlament werden sich nun mit dem Gesetzesvorhaben befassen. Der Vorschlag der Kommission sieht eine Geltung der neuen Vorgaben 24 Monate nach Inkrafttreten der Verordnung vor, wobei jedoch einzelne Elemente, wie z.B. die Meldepflicht bei Sicherheitsvorfällen, bereits nach 12 Monaten gelten sollen. Ein Kritikpunkt in der aktuellen Diskussion bezieht sich auf die „zu kurze Übergangsfrist“. Die vorgesehene Übergangsfrist von 24 Monaten (bzw. 12 Monaten bei der Meldepflicht von Sicherheitsvorfällen) zur Umsetzung solcher Maßnahmen wird als deutlich zu kurz eingeschätzt.

Konsequenzen für Finanzinstitute

Durch den Cyber Resilience Act (CRA) wird ein wesentlicher Schritt im europäischen Binnenmarkt gesetzt, um durch die eingeführten horizontalen Cybersicherheitsregeln den Marktbedürfnissen gerecht zu werden und digitale Produkte sicherer zu gestalten.

Mit Blick auf Finanzinstitute ist der Cyber Resilience Act in erster Linie aus Kundensicht zu betrachten. Sie stellt unserer Einschätzung nach eine Konkretisierung und teilweise Erweiterung der MaRisk mit praktischen Auswirkungen auf Organisation und Prozesse dar. Mit Blick auf die Erhöhung der IT-Sicherheit sowie zukünftige Audits in diesem Bereich lassen sich hier einige Handlungsempfehlungen ableiten:

Eine detailliert dokumentierte Kategorisierung eingesetzter Produkte gemäß CRA sollte erfolgen, um eine Basis für nachgelagerte Tätigkeiten zu schaffen.
Einkaufsprozesse müssen ggf. um die Prüfung der CRA-Konformität ergänzt werden.
Maßnahmen zur Planung und Umsetzung des Austauschs von nicht CRA-konformen Produkten müssen geplant und umgesetzt werden.
Die Überwachung der Produkte sowie deren CRA – Konformität während des Lebenszyklus der Produkte muss erfolgen. Dies sollte eigentlich bereits selbstverständlich sein, wird aber unserer Einschätzung und Erfahrung nach immer noch nicht umfassend und konsequent umgesetzt.
Ergänzungen im Risikomanagement der IT-Assets sind erforderlich, von der Definition und Dokumentation entsprechender Kriterien in der Risikoanalyse und Bewertung bis hin zur Definition von Maßnahmen und der Überwachung der akzeptierten Risiken.
Interne Audits sollten um entsprechende Prüfkriterien erweitert werden.

Eine abschließende Aufzählung möglicher Implikationen ist im Rahmen dieser kurzen Ausarbeitung selbstverständlich nicht möglich, wir raten aber dringend dazu, die Konsequenzen des Cyber Resilience Act in der eigenen Organisation mindestens aus Kundensicht zu analysieren und erforderliche Maßnahmen zu planen und umzusetzen.

Über den Autor

Mesut Arslan ist für Be – Shaping The Future als Senior Consultant tätig. Er ist Experte für IT- und Cybersicherheit im Umfeld der Kredit- und Finanzdienstleistungen. Er stützt sich auf mehrjährige Erfahrung in der Prüfung und Beratung von international tätigen Unternehmen im Banken- und Versicherungssektor.