Cyber Resilience Act: Überblick
Der CRA ist eine Verordnung, welche noch 2024 in Kraft treten soll. Als Verordnung bedarf der CRA keiner weiteren nationalen Umsetzung. Er gilt unmittelbar innerhalb der EU. Die Verordnung ist auf „Produkte mit digitalen Elementen“ (bspw. Smart-Geräte, Saugroboter oder Sicherheitskameras) ausgelegt.
Für diese die IT-Sicherheit dieser Produkte weist der EU-Rechtsrahmen bislang eine Lücke auf. Da solche Produkte oft per Fernzugriff vergleichsweise einfach zu manipulieren sind, soll für sie nun ein einheitliches Level an IT-Sicherheit gewährleistet werden. Verbraucher sollen sich dadurch nicht nur auf die IT-Sicherheit verlassen können, sondern in Kombination mit verbindlichen Herstellerangaben diese selbst einschätzen, überprüfen und/oder einrichten. Sollte der Hersteller bspw. eine aktive ausgenutzte Schwachstelle entdecken, ist der Nutzer nicht nur zu informieren, sondern ihm sind auch Korrekturmaßnahmen, die er ergreifen kann, um die Auswirkungen des Vorfalls zu mindern, bereitzustellen.
Zum jetzigen Zeitpunkt scheint sich die Verabschiedung des CRA zu verzögern. Zwar hat das EU-Parlament den Entwurf bereits Anfang des Jahres gebilligt, der EU-Rat bislang jedoch nicht. Dennoch soll er noch in diesem Jahr in Kraft treten. Ob bis dato Änderungen vorgenommen werden, bspw. was den früheren Kritikpunkt „Open Source Software“ oder das Field of Application angeht, bleibt abzuwarten. Klicken Sie hier im Informiert zu bleiben.
Sie haben Fragen ...?
- Für wen ist der CRA relevant und was sind Produkte mit digitalen Elementen?
- Auf was ist der CRA unter anderem nicht anwendbar?
- Gibt es Bestimmungen zu unfertiger Software?
- Welche Pflichten sind mit dem CRA verbunden?
- Welche Sanktionen können ergriffen werden?
- Welche Fristen gibt es?
- Wo finde ich Orientierungshilfen?
Marktplatz IT-Sicherheit: weitere Angebote
Beiträge IT-Sicherheit
ITS-Couch
Ratgeber IT-Sicherheit
IT-Sicherheitstools
Interaktive Listen
Zertifikate IT-Sicherheit
