Cyber Resilience Act

Die Cyberresilienz-Verordnung (EU) 2024/2847, auch bekannt als Cyber Resilience Act (CRA), stellt einen bedeutenden Meilenstein der Europäischen Union dar, um die Cybersicherheit von Produkten mit digitalen Elementen systematisch und einheitlich zu regeln. Ziel ist es, ein hohes Schutzniveau in der gesamten Union sicherzustellen, Schwachstellen zu reduzieren, Risiken zu minimieren und die Transparenz für Verbraucher zu erhöhen. Im Folgenden findest du eine umfassende Zusammenfassung dieser Verordnung in über 550 Worten.

Hintergrund und Zielsetzung

Die EU erkennt Cybersicherheit als zentrale Herausforderung für Wirtschaft, Gesellschaft und öffentliche Sicherheit an. Angesichts der wachsenden Zahl digital vernetzter Geräte und der Zunahme von Cyberangriffen soll die CRA horizontale, verbindliche Anforderungen an alle digitalen Produkte einführen – unabhängig davon, ob sie Hardware, Software oder vernetzte Dienste darstellen.

Ziel ist es, zwei Hauptprobleme zu beheben:

  1. Das niedrige Cybersicherheitsniveau vieler Produkte mit digitalen Elementen.
  2. Die mangelnde Transparenz, die Nutzer daran hindert, sichere Produkte auszuwählen oder sicher zu verwenden.

Anwendungsbereich und Struktur

Die CRA gilt für alle Produkte mit digitalen Elementen, die im Rahmen einer wirtschaftlichen Tätigkeit auf dem Binnenmarkt bereitgestellt werden. Dies umfasst auch Produkte mit Fernverarbeitungsfunktionen (Clouds, APIs), sofern sie eine essenzielle Funktion des Produkts erfüllen. Ausgenommen sind hingegen Produkte, die ausschließlich für militärische, sicherheitspolitische oder medizinische Zwecke entwickelt wurden und bereits durch spezielle EU-Vorschriften geregelt sind.

Auch freie und quelloffene Software ist grundsätzlich vom CRA ausgenommen – sofern sie nicht im Rahmen einer wirtschaftlichen Tätigkeit auf dem Markt bereitgestellt wird. Ist dies jedoch der Fall, greifen auch hier die Sicherheitsanforderungen der Verordnung, wobei eine vereinfachte Regulierung für sogenannte „Verwalter quelloffener Software“ vorgesehen ist.

Zentrale Anforderungen

Die CRA schreibt grundlegende Cybersicherheitsanforderungen vor, die Hersteller erfüllen müssen, bevor sie ein Produkt auf den Markt bringen:

  • Produkte müssen sicher entworfen und entwickelt werden – mit einem Fokus auf Security by Design.
  • Während des gesamten Lebenszyklus ist ein Verantwortungsbewusstsein für Sicherheitsupdates erforderlich.
  • Hersteller sind verpflichtet, Schwachstellenmanagement zu betreiben und bekannte Schwachstellen zu beheben.
  • Eine CE-Kennzeichnung ist erforderlich, um Konformität mit der Verordnung zu bestätigen.
  • Für wichtige und kritische Produkte gelten strengere Konformitätsbewertungsverfahren.

Darüber hinaus sind Unterscheidungen in Produktkategorien vorgesehen:

  • Klasse I und II für wichtige Produkte, je nach Risikopotenzial.
  • Kritische Produkte (z. B. Firewalls, Intrusion Detection Systeme) unterliegen ggf. einer obligatorischen Cybersicherheitszertifizierung.

Wirtschaftliche Akteure und Pflichten

Neben Herstellern richtet sich die CRA auch an Importeure und Händler. Alle Akteure in der Lieferkette müssen sicherstellen, dass die Produkte den Anforderungen entsprechen. Besonders hervorgehoben wird die Rolle der KMU (kleine und mittlere Unternehmen), für die Leitlinien und Unterstützungsmaßnahmen vorgesehen sind, um eine Umsetzung zu erleichtern.

Die Mitgliedstaaten müssen dafür sorgen, dass Marktüberwachungsbehörden über ausreichend Personal und Kompetenzen verfügen. Zudem sollen sie sicherstellen, dass nationale Vorschriften nicht über die Verordnung hinausgehen und den freien Warenverkehr nicht behindern.

Updates und Softwareänderungen

Software-Updates, insbesondere Sicherheitsaktualisierungen, dürfen nicht zu einer unzulässigen Veränderung des Produkts führen, es sei denn, sie stellen keine „wesentliche Änderung“ dar. Wird jedoch eine wesentliche Funktion hinzugefügt, die neue Risiken birgt, muss eine neue Konformitätsbewertung erfolgen.

Hersteller dürfen während des Support-Zeitraums Updates nur für die jeweils neueste Version bereitstellen, sofern Nutzer kostenfrei auf diese zugreifen können und keine neue Hardware benötigen.

Cyber Resilience Act

Datenschutz und andere Rechtsvorschriften

Die CRA steht im Einklang mit der Datenschutz-Grundverordnung (DSGVO) und fördert durch Sicherheitsanforderungen auch den Schutz personenbezogener Daten. Es wird ausdrücklich betont, dass Synergien zwischen Datenschutz und Cybersicherheit geschaffen werden sollen – etwa durch gemeinsame Normen oder Zertifizierungsprozesse.

Fazit Die Cyberresilienz-Verordnung schafft einen einheitlichen europäischen Rechtsrahmen, der erstmals umfassende, horizontale Cybersicherheitsanforderungen für digitale Produkte festlegt. Sie stärkt nicht nur die Rechte und die Sicherheit von Verbrauchern, sondern unterstützt auch Unternehmen dabei, sicheren digitalen Handel zu betreiben und Innovationen vertrauenswürdig umzusetzen. Durch verpflichtende Sicherheitsupdates, Risikobewertungen und CE-Kennzeichnung soll die CRA die EU zu einem Vorreiter in Sachen Cybersicherheit machen und gleichzeitig ein hohes Maß an Cyber-Resilienz im Binnenmarkt sicherstellen.
Skip to content