Cyber Resilience Act: Der Überblick
Der Cyber Resiliance Act, kurz CRA ist eine Verordnung, welche bereits am 10.12.2024 in Kraft getreten ist. Sie gilt für Produkte mit digitalen Elementen und soll deren Cybersicherheit auf ein einheitliches Niveau heben. Dabei richtet sich die Verordnung an diverse Wirtschaftsakteure und verpflichtet diese zu verschiedenen Pflichten die Sicherheit der Produkte betreffend, welche den gesamten Produktlebenszyklus betreffen können.
Von Hersteller über Händler bis hin zum Endverbraucher, ob vor oder nach dem Inverkehrbringen: Der CRA hat weitreichende Folgen, Klicken Sie hier, um Informiert zu bleiben.
Hintergrund
Hintergrund der Verordnung ist das ansteigende Risiko sowie die ansteigenden Kosten, welche durch Schwachstellen in Produkten mit digitalen Elementen entstehen können. Für die IT-Sicherheit der Produkte weist der EU-Rechtsrahmen bislang eine Lücke auf. Da solche Produkte oft per Fernzugriff vergleichsweise einfach zu manipulieren sind, soll für sie nun ein einheitliches Level an IT-Sicherheit gewährleistet werden. Verbraucher sollen sich dadurch nicht nur auf die IT-Sicherheit verlassen können, sondern in Kombination mit verbindlichen Herstellerangaben diese selbst einschätzen, überprüfen und/oder einrichten. Sollte der Hersteller bspw. eine aktive ausgenutzte Schwachstelle entdecken, ist der Nutzer nicht nur zu informieren, sondern ihm sind auch Korrekturmaßnahmen, die er ergreifen kann, um die Auswirkungen des Vorfalls zu mindern, bereitzustellen. Durch diese Maßnahmen sollen negative Auswirkungen von Schwachstellen verringert werden. Für Kleinstunternehmen, sowie KMU und Start-Ups sollen spezifische Unterstützungsmaßnahmen eingeleitet werden, welche bspw. die Kommunikation mit lokalen Behören, die Prüf- und Konformitätsbewertungstätigkeiten, sowie Sensibilisierungs- und Schulungsmaßnahmen betreffen.
Inhalt
Der Cyber Resilience Act soll einheitliche Rahmenbedingungen für Cybersicherheit schaffen und so ein gleiches Niveau in allen Mitgliedstaaten etablieren. Dabei fokussiert sich die Verordnung auf sog. „Produkte mit digitalen Elementen“. Dazu gehören bspw. Smart-Geräte, Saugroboter oder Sicherheitskameras, also solche Produkte, welche über Hard- oder Software und über eine Datenfernverarbeitungslösung verfügt. Ein getrenntes in Verkehr bringen sorgt nicht für ein Ausklammern der Verordnung. Die Verordnung beinhaltet dabei gestaffelte Pflichten je nach Produktart. Die Produktarten werden dabei in drei Kategorien bzw. Kritikalität eigeteilt:
Zeitlicher Rahmen
In Kraft getreten ist der CRA bereits am 10.12.2024. Als Verordnung bedarf der CRA keiner weiteren nationalen Umsetzung und gilt unmittelbar innerhalb der EU. Allerdings gilt für die Verordnung in den meisten Bereichen eine 3-jährige Umsetzungsfrist, sodass sie vollständig erst ab dem 11. Dezember 2027 gilt. Ausgenommen davon ist Artikel 14, welcher ab dem 11. September 2026 (Meldepflichten der Hersteller) gilt, sowie Kapitel IV (Notifizierung von Konformitätsbewertungsstellen), welches ab 11. Juni 2026 gilt. Ersteres beinhaltet dabei die Pflicht der Hersteller zum Melden von Schwachstellen und Sicherheitsvorfällen sowie damit zusammenhängende oder darauffolgende Pflichten. Kapitel IV richtet sich an die Mitgliedstaaten. Weitere Übergangsbestimmungen betreffen bspw. die EU-Baumusterprüfbescheinigungen.
Hintergrund
Hintergrund der Verordnung ist das ansteigende Risiko sowie die ansteigenden Kosten, welche durch Schwachstellen in Produkten mit digitalen Elementen entstehen können. Für die IT-Sicherheit der Produkte weist der EU-Rechtsrahmen bislang eine Lücke auf. Da solche Produkte oft per Fernzugriff vergleichsweise einfach zu manipulieren sind, soll für sie nun ein einheitliches Level an IT-Sicherheit gewährleistet werden. Verbraucher sollen sich dadurch nicht nur auf die IT-Sicherheit verlassen können, sondern in Kombination mit verbindlichen Herstellerangaben diese selbst einschätzen, überprüfen und/oder einrichten. Sollte der Hersteller bspw. eine aktive ausgenutzte Schwachstelle entdecken, ist der Nutzer nicht nur zu informieren, sondern ihm sind auch Korrekturmaßnahmen, die er ergreifen kann, um die Auswirkungen des Vorfalls zu mindern, bereitzustellen. Durch diese Maßnahmen sollen negative Auswirkungen von Schwachstellen verringert werden. Für Kleinstunternehmen, sowie KMU und Start-Ups sollen spezifische Unterstützungsmaßnahmen eingeleitet werden, welche bspw. die Kommunikation mit lokalen Behören, die Prüf- und Konformitätsbewertungstätigkeiten, sowie Sensibilisierungs- und Schulungsmaßnahmen betreffen.
Inhalt
Der Cyber Resilience Act soll einheitliche Rahmenbedingungen für Cybersicherheit schaffen und so ein gleiches Niveau in allen Mitgliedstaaten etablieren. Dabei fokussiert sich die Verordnung auf sog. „Produkte mit digitalen Elementen“. Dazu gehören bspw. Smart-Geräte, Saugroboter oder Sicherheitskameras, also solche Produkte, welche über Hard- oder Software und über eine Datenfernverarbeitungslösung verfügt. Ein getrenntes in Verkehr bringen sorgt nicht für ein Ausklammern der Verordnung. Die Verordnung beinhaltet dabei gestaffelte Pflichten je nach Produktart. Die Produktarten werden dabei in drei Kategorien bzw. Kritikalität eigeteilt:
- Produkte mit Digitalen Elementen
- Wichtige Produkte mit Digitalen Elementen
- Kritische Produkte mit Digitalen Elementen
Zeitlicher Rahmen
In Kraft getreten ist der CRA bereits am 10.12.2024. Als Verordnung bedarf der CRA keiner weiteren nationalen Umsetzung und gilt unmittelbar innerhalb der EU. Allerdings gilt für die Verordnung in den meisten Bereichen eine 3-jährige Umsetzungsfrist, sodass sie vollständig erst ab dem 11. Dezember 2027 gilt. Ausgenommen davon ist Artikel 14, welcher ab dem 11. September 2026 (Meldepflichten der Hersteller) gilt, sowie Kapitel IV (Notifizierung von Konformitätsbewertungsstellen), welches ab 11. Juni 2026 gilt. Ersteres beinhaltet dabei die Pflicht der Hersteller zum Melden von Schwachstellen und Sicherheitsvorfällen sowie damit zusammenhängende oder darauffolgende Pflichten. Kapitel IV richtet sich an die Mitgliedstaaten. Weitere Übergangsbestimmungen betreffen bspw. die EU-Baumusterprüfbescheinigungen.
Sie haben Fragen ...?
- Für wen ist der CRA relevant und was sind Produkte mit digitalen Elementen?
- Auf was ist der CRA unter anderem nicht anwendbar?
- Gibt es Bestimmungen zu unfertiger Software?
- Welche Pflichten sind mit dem CRA verbunden?
- Welche Sanktionen können ergriffen werden?
- Welche Fristen gibt es?
- Wo finde ich Orientierungshilfen?
