Nach Art. 1 lit. c) CRA-E soll der geplante Cyber Resilience Act (CRA-E) auch Bestimmungen für die von Herstellern festgelegten Verfahren zur Behandlung von Schwachstellen vorsehen.

Mit diesen Verfahren wird die Sicherstellung der Cybersicherheit von Produkten mit digitalen Elementen über ihren gesamten Lebenszyklus bezweckt.

Eine genaue Definition für die Verfahren zur Behandlung von Schwachstellen legt der CRA-E zwar nicht fest. In Art. 5 Nr. 2 CRA-E wird vielmehr eine Verpflichtung des Herstellers zur Vornahme entsprechender Verfahren vor Bereitstellung eines Produkts auf dem Markt normiert und hinsichtlich der Anforderungen auf Anhang I Abschnitt 2 verwiesen.

Diese Pflicht wird in Art. 10 Abs. 6 CRA-E noch einmal aufgegriffen. Demnach sind Schwachstellen wirksam und in Einklang mit den Anforderungen in Annex 1 Abschnitt 2 CRA-E für eine Dauer von maximal 5 Jahren zu behandeln. Die in Abschnitt 2 genannten Maßnahmen lassen darauf schließen, dass unter dem Begriff „Behandlung von Schwachstellen“ die Ermittlung, Dokumentation, das Beheben bzw. Eindämmen sowie die Information von Behörden und Produktnutzern darunter zu verstehen ist.

In Anhang I Abschnitt 2 CRA-E werden die Vorgaben an die Behandlung von Schwachstellen genannt. Die dort genannten Bestimmungen sind als eine Art Mindestanforderung zu verstehen. Denn der Wortlaut ist insofern eindeutig, als er die Hersteller mit dem Wort "müssen" direkt zur Umsetzung verpflichtet.

Zu den genannten Anforderungen gehört zunächst die Ermittlung und Dokumentation von Schwachstellen und Komponenten des Produkts. Die Verordnung schlägt hierfür die Erstellung einer Software-Stückliste in einem maschinenlesbaren Format vor. Kürzlich hat auch das BSI diese Empfehlung aufgegriffen und unter Verweis auf den CRA eine technische Richtlinie für die Anfertigung entworfen.

Weiterhin schreibt der CRA-E in Anhang I Abschnitt 2 vor, bekannte Schwachstellen unverzüglich, z.B. durch die Bereitstellung von Sicherheitsaktualisierungen, zu beheben. Diese Aktualisierung muss Nutzern unverzüglich und kostenlos zur Verfügung gestellt werden. In diesem Zusammenhang sind Informationen über beseitigte Schwachstellen nebst Informationen zu deren Auswirkungen und Schwere zu veröffentlichen. Darüber hinaus haben Hersteller Mechanismen für die sichere Verbreitung von Aktualisierungen bereitzustellen, damit ausnutzbare Schwachstellen zügig behoben werden können.

Zudem wird der Hersteller zur Durchführung von Testmaßnahmen und Überprüfung des Produkts mit digitalen Elementen verpflichtet. Hierzu könnten beispielsweise Penetrationstests oder Fuzz-Testing-Verfahren zur Entdeckung von Programmierfehlern und Sicherheitslücken durchgeführt werden.

Weiterhin fordert der CRA vom Hersteller eine Strategie für die koordinierte Offenlegung von Schwachstellen. Damit dürfte z.B. die Implementierung eines dokumentierten Unternehmensprozesses gemeint sein, mit dem der Hersteller sicherstellen kann, dass die Produktnutzer informiert werden.

Als weitere Vorgabe sieht Anhang I Abschnitt 1 Maßnahmen zum Informationsaustausch vor (insbesondere mit Dritten, deren Komponenten in das betreffende Produkt eingebaut wurde), beispielsweise durch die Angabe einer Kontaktadresse für die Meldung von entdeckten Schwachstellen.

Die genannten Anforderungen dürften unabhängig von der Art des Produkts mit digitalen Elementen und damit generell für die Verfahren von Herstellern zur Behandlung von Schwachstellen gelten.

Nach Art. 10 Abs. 7 CRA-E ist die Konformität der Verfahren zur Behandlung von Schwachstellen ebenfalls mit einem Konformitätsbewertungsverfahren sicherzustellen.

Sollten die Verfahren des Herstellers ab dem Zeitpunkt des Inverkehrbringens des Produkts mit digitalen Elementen aufgrund eines Umstands nicht mehr den Anforderungen des Anhangs I CRA-E entsprechen, so sind Korrekturmaßnahmen zu ergreifen. Diese Verpflichtung gilt für einen Zeitraum von maximal 5 Jahren ab dem Inverkehrbringen des Produkts.

Empfehlung für die Praxis:

Auch wenn sich der CRA-E noch mitten im Gesetzgebungsverfahren befindet und umfassende Änderungen der Verordnung deshalb nicht ausgeschlossen sind, sollten sich Hersteller von Produkten mit digitalen Elementen bereits jetzt mit den genannten Anforderungen an die Verfahren zur Behandlung von Schwachstellen befassen und wenn möglich erste Prozesse implementieren. Ferner regen wir an, die Umsetzung zum Nachweis lückenlos zu dokumentieren. Denn die Umsetzung stellt eine der Kernpflichten des CRA-E dar und ist für eine erfolgreiche Durchführung des Konformitätsverfahrens unabdingbar.

Da auch der Einführer sicherstellen muss, dass die Anforderungen in Anhang I Abschnitt 2 erfüllt sind und selbst ein Händler bei entsprechenden Zweifeln an der Konformität ein solches Produkt nicht auf dem Markt bereitstellen darf, empfehlen wir diesen Wirtschaftsakteuren ebenfalls, sich mit den Vorgaben in Anhang I des CRA-E vertraut zu machen, um eine entsprechende Überprüfung jener Produkte vornehmen zu können.

In unserer CRA-Update-Reihe präsentieren wir Ihnen regelmäßig Informationen zu dem geplanten Cyber Resilience Act der Europäischen Union und halten Sie über Änderungen im laufenden Gesetzgebungsverfahren informiert. In jedem unserer Beiträge geben wir Ihnen einen kurzen Überblick über einen konkreten Themenbereich und stellen Ihnen dabei die wichtigsten Aspekte sowie praktische Auswirkungen vor.