Cybersicherheitsanforderungen für Produkte mit digitalen Elementen 

Der Cyber Resilience Act (CRA) - (EU) 2024/2847 - spielt eine wesentliche Rolle für KI-Reallabore, da er horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (Hardware und Software) festlegt. Dieser Rechtsakt ist im Dezember 2024 in Kraft getreten und kommt ab dem 11. Dezember 2027 vollständig zur Anwendung.

Für die Arbeit innerhalb eines KI-Reallabors ergeben sich daraus folgende spezifische Rollen und Anforderungen:

  • Regulatorischer Rahmen für Marktzugang: Für das KI-Reallabor, das der Erprobung innovativer Lösungen dient, stellt der CRA die wesentlichen Sicherheitsanforderungen bereit, die erfüllt sein müssen, bevor diese Produkte auf den Unionsmarkt gebracht werden dürfen.
  • Förderung von Compliance und Innovation: Der europäische Zertifizierungsrahmen (ECCF) ist darauf ausgelegt, neue Technologien wie künstliche Intelligenz zu berücksichtigen und die Einhaltung gesetzlicher Vorgaben zu erleichtern, was eine Kernaufgabe der Reallabore unterstützt.
  • Vermeidung von Redundanzen: Eine vollständige Synergie zwischen dem CRA und dem Zertifizierungsrahmen (ECCF) ist notwendig, damit sich die Anforderungen gegenseitig ergänzen und keine unnötigen Überschneidungen oder Ineffizienzen für Entwickler entstehen.
  • Unterstützung durch ENISA: Die Agentur ENISA spielt eine zentrale Rolle bei der Umsetzung des CRA und unterstützt die Mitgliedstaaten dabei, Cybersicherheitspraktiken und -richtlinien zu harmonisieren, was auch die technische Begleitung in Reallaboren umfasst.
  • Security by Design: Durch die Verknüpfung mit dem CRA wird im Reallabor sichergestellt, dass Innovationen von Grund auf nach dem Prinzip „Security by Design und Default“ entwickelt werden, um Schwachstellen bereits während des Entwicklungszyklus zu minimieren.

Zusammenfassend fungiert der CRA als Sicherheits-Leitplanke innerhalb des KI-Reallabors, indem er sicherstellt, dass die dort entwickelten KI-Systeme nicht nur innovativ sind, sondern auch den künftigen europäischen Standards für digitale Widerstandsfähigkeit entsprechen.

Der CRA gilt nicht pauschal für Hochschulen und Forschungseinrichtungen.

Er gilt nur, wenn diese als Hersteller, Importeure oder Händler von Produkten mit digitalen Elementen auftreten.

Für die meisten Hochschulen betrifft der CRA daher:

  • Technologietransfer,
  • Spin‑offs,
  • Forschungssoftware, die öffentlich bereitgestellt wird,
  • EU‑Projekte, die marktfähige digitale Produkte entwickeln.

Die Verordnung gilt nicht für bestimmte Organisationstypen, sondern für Produkte.

Der CRA richtet sich an Hersteller, Importeure und Händler von „Produkten mit digitalen Elementen“, die auf dem EU‑Markt bereitgestellt werden. Das umfasst laut den Quellen:

  • Hardware und Software, die direkt oder indirekt mit einem Netzwerk verbunden werden können
  • Beispiele: IoT‑Geräte, Apps, Computerprogramme, Smart‑Home‑Geräte, industrielle Systeme, Mikroprozessoren, vernetzte Maschinen, Wearables

Ausgenommen sind Produkte, die bereits unter andere EU‑Sicherheitsregime fallen (z. B. Medizinprodukte, Luftfahrt) .

Einordnung

  1. Hochschulen/Forschungseinrichtungen als Nutzer

Wenn eine Hochschule oder Forschungseinrichtung lediglich:

  • Software nutzt,
  • Geräte betreibt,
  • Forschungssysteme intern verwendet,
  • Prototypen entwickelt, die nicht auf dem Markt bereitgestellt werden,

dann unterliegen sie nicht dem CRA.

Der CRA richtet sich nicht an Betreiber oder Nutzer, sondern an Wirtschaftsakteure, die Produkte in Verkehr bringen.

  1. Hochschulen/Forschungseinrichtungen als Hersteller

Wenn eine Hochschule oder Forschungseinrichtung:

  • Software entwickelt und öffentlich bereitstellt,
  • Hardware oder Software kommerziell vertreibt,
  • Open‑Source‑Software mit kommerziellem Zweck veröffentlicht,
  • digitale Produkte Dritten zur Verfügung stellt, die als „Bereitstellung auf dem Markt“ gilt,

dann gilt der CRA vollumfänglich.

Das betrifft z. B.:

  • universitäre Spin‑offs,
  • Forschungsprojekte, die Softwareprodukte veröffentlichen,
  • Tools, die als Download angeboten werden,
  • Software, die an Kommunen, Unternehmen oder Bürger ausgegeben wird.
  1. Ausnahme: Nicht-kommerzielle Open‑Source‑Software

Der CRA enthält eine wichtige Ausnahme:

Nicht-kommerzielle Open‑Source‑Software ist ausgenommen. Dies wird ausdrücklich bestätigt: „Nicht-kommerzielle Open-Source-Softwareprodukte sind vom CRA ausgenommen“ .

Das bedeutet:

  • Forschungssoftware, die frei und ohne kommerziellen Zweck veröffentlicht wird, fällt nicht unter den CRA.
  • Sobald jedoch Dienstleistungen, Support, Hosting oder kommerzielle Nutzung hinzukommen, kann die Ausnahme entfallen.
  1. Praktische Konsequenzen für Hochschulen und Forschungseinrichtungen

CRA gilt NICHT für:

  • interne Forschungssoftware
  • Laborprototypen
  • nicht-kommerzielle Open‑Source‑Projekte
  • reine Nutzung von Produkten anderer Hersteller

CRA gilt DOCH für:

  • universitäre Softwareprodukte, die öffentlich bereitgestellt werden
  • Forschungsprojekte, die digitale Produkte an Dritte liefern
  • Spin‑offs, Start‑ups und Transfergesellschaften
  • Software, die gegen Entgelt oder im Rahmen von Dienstleistungen bereitgestellt wird
  • Hardwareentwicklungen, die in Verkehr gebracht werden