Cyber Resilience Act tritt in Kraft: Digitale Produkte auf dem Prüfstand
Der Cyber Resilience Act (CRA, EU-Verordnung 2024/2847) wurde nun offiziell im Amtsblatt der Europäischen Union veröffentlicht, womit der Countdown für die Umsetzung der Cybersicherheitsvorschriften begonnen hat. Der Cyber Resilience Act legt horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen in der EU fest, um weit verbreitete Sicherheitslücken und inkonsistente Sicherheitsupdates anzugehen.
Dazu sagt Prof. Dr. Norbert Pohlmann, Vorstand für IT-Sicherheit im eco Verband: „Mit dem Cyber Resilience Act (CRA) geht die EU einen wichtigen Schritt für die Verbesserung der Cybersicherheit in einer zunehmend vernetzen digitalen Welt. Denn der CRA hat das Potenzial, Europa als Vorreiter in der Cybersicherheit zu positionieren und langfristig globale Standards für vernetzte Geräte zu setzen – insbesondere in Bezug auf IoT-Anwendungen. Dies ist nicht nur ein Gewinn für die Sicherheit von Endgeräten, sondern auch für die Stabilität unserer digitalen Infrastrukturen insgesamt.“
Cyber Resilience Act : Hersteller in der Pflicht
Damit ist der Cyber Resilience Act die erste europäische Verordnung, die ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte festlegt, die auf dem EU-Markt in den Verkehr gebracht werden. Begrüßenswert sei laut Pohlmann zunächst, dass der CRA die Verantwortlichkeiten klar zuweise: „Hersteller werden stärker in die Pflicht genommen, Cybersicherheitsanforderungen nicht nur bei der Entwicklung, sondern über den gesamten Lebenszyklus ihrer Produkte zu erfüllen. Dieser Ansatz ist ein entscheidender Schritt, um die Resilienz und das Vertrauen in digitale Produkte nachhaltig zu stärken.“
„Auch die gefundene Lösung für Open-Source-Technologien stellt einen Kompromiss dar, der Sicherheitsanforderungen und Innovationsförderung zusammenbringt. Dennoch müssen wir die Umsetzung weiterhin kritisch und konstruktiv begleiten, um sicherzustellen, dass Open-Source-Projekte nicht durch übermäßige Anforderungen beeinträchtigt werden“, betont Pohlmann.
Herausforderung für kleine Unternehmen
Gleichzeitig sei die feingliedrige Systematik des CRA, insbesondere die Unterscheidung in vier Risikokategorien, mit gemischten Gefühlen zu sehen: „Während diese Differenzierung für mehr Klarheit sorgt, könnte sie für kleinere Unternehmen und andere Akteure im Markt zu komplex sein. Hier wird es darauf ankommen, die Handhabbarkeit der Regelungen in der Praxis sicherzustellen und unnötige Bürokratie zu vermeiden“, gibt der IT-Experte zu Bedenken.
„Insgesamt ist der CRA ein wichtiger Meilenstein für die Stärkung der Cybersicherheit in Europa. Der eco Verband wird sich aktiv dafür einsetzen, dass die Verordnung ihre Ziele erreicht und dabei praktikable Lösungen für alle Marktteilnehmer entwickelt werden“, stellt Pohlmann abschließend fest.