November 2024 Blog

Cyber Resilience Act – Mehr Cybersicherheit für digitale Produkte

Der am 20. November 2024 offiziell im Amtsblatt der EU veröffentlichte Cyber Resilience Act (CRA) ist die erste EU-Verordnung, die ein Mindestmaß an Cybersicherheit für digitale Produkte in der EU vorschreibt. Die Verordnung gilt unmittelbar ab dem 11. Dezember 2027. Handlungsbedarf besteht für die Betroffenen schon jetzt. Ein Überblick.

Wer ist von der Verordnung betroffen?

Der CRA gilt für alle Hersteller, die Produkte mit digitalen Elementen auf dem Markt der EU in Verkehr bringen, unabhängig davon, ob sie ihren Geschäftssitz innerhalb oder außerhalb der EU haben. Darüber hinaus müssen auch Händler und Importeure von verbundenen Produkten die Einhaltung der Vorschriften sicherstellen.

Laut dem Bundesamt für Sicherheit und Informationstechnik (BSI) sollen insbesondere kleine und mittlere Unternehmen, Kleinstunternehmen und Start-Ups durch Leitlinien Hilfestellungen bei der Umsetzung des CRA erhalten. 

Welche Produkte fallen in den Anwendungsbereich?

Der CRA bezieht sich auf sog. Produkte mit „digitalen Elementen“. Erfasst wird eine denkbar weite Bandbreite an unterschiedlichen Hard- und Softwareprodukten: 

Die Einordnung eines Produkts als Produkt mit digitalen Elementen ist davon abhängig, ob es eine sog. Datenfernverarbeitungslösung enthält. Im CRA werden Produkte mit digitalen Elementen als Produkte definiert, die mit einem Gerät oder einem Netzwerk verbunden werden können. Sie umfassen sowohl Hardwareprodukte mit vernetzten Funktionen (z.B. Smartphones, Laptops, Smarthomeprodukte, Firewalls) als auch reine Softwareprodukte (z.B. Apps, Computerspiele). Die Datenfernverarbeitung muss einen wesentlichen Bestandteil des Produkts darstellen und für die Funktionsweisen des Produkts maßgeblich sein. Damit wird im Ergebnis so gut wie jedes Produkt des Internet of Things (IoT) von den Regelungen betroffen sein. 

Der Anwendungsbereich ist unabhängig davon eröffnet, ob es sich um Produkte handelt, die für Verbraucher (B2C) oder Unternehmen (B2B) zur Verfügung gestellt werden. 

Produktkonformität sicherstellen

Produkte mit digitalen Elementen müssen künftig einer Konformitätsprüfung im Hinblick auf die Vorgaben des CRA unterzogen werden, bevor sie in der EU verkauft werden dürfen. In Abhängigkeit des Cyber-Risikos kann die Prüfung vom Hersteller durchgeführt werden. Sind mit dem Produkt erhöhte Cyber-Risiken verbunden, kommen erweiterte Konformitätsbewertungskriterien hinzu. Die Konformitätsprüfung wird dann von einer durch die EU-Kommission notifizierten Stelle übernommen.

„Kritische Produkte“ wie Smartcards oder intelligente Zähler müssen eine erweiterte Cybersicherheitszertifizierung erhalten. Spezifische Konformitätsanforderungen gelten auch für Hochrisiko-KI-Systeme. 

Im Anschluss an eine erfolgreiche Konformitätsprüfung erhält das Produkt eine CE-Kennzeichnung, die die Konformität mit dem CRA nachweist. 

Zu beachtende (Melde-)Fristen

Die Veröffentlichung des CRA hat unterschiedliche Fristen ausgelöst, die es für Unternehmen zu beachten gilt:

  • Ab Juni 2026: Die notifizierten Stellen sind ermächtigt, die Konformität von Produkten mit den Anforderungen des CRA zu bewerten.
  • Ab September 2026: Die Hersteller von Produkten mit digitalen Elementen müssen Schwachstellen und schwerwiegende Sicherheitsvorfälle, die sich auf die Sicherheit eines Produkts auswirken, innerhalb von 72 Stunden den Behörden melden. Eine Frühwarnung muss innerhalb von 24 Stunden erfolgen.
  • Dezember 2027: Alle CRA-Anforderungen gelten umittelbar.

Was ist zu tun?

Herstellern von digitalen Produkten ist vor dem Hintergrund der bereits laufenden Fristen zu empfehlen, frühzeitig eine Bewertung der ggf. bestehenden Cyber-Risiken durchzuführen. 

Das bedeutet auch, dass bereits während der Produktentwicklung die Anforderungen des CRA berücksichtigt werden müssen („secure by design“) und sichergestellt ist, dass eine Konformität mit dem CRA über den gesamten Lebenszyklus eines Produkts besteht. 

Nur so kann – auch mit Blick auf nachgelagerte Prüfpflichten von Einführern und Händlern – gewährleistet werden, dass künftig eine reibungslose Bereitstellung des Produkts auf dem EU-Markt möglich ist. Es empfiehlt sich darüber hinaus, rechtzeitig Verfahren zu etablieren, um insbesondere den kurzen Meldefristen bei Sicherheitsvorfällen Rechnung zu tragen. 

Ausblick

Der CRA kann dazu beitragen, mittelfristig die Resilienz und das Vertrauen der Anwender in digitale Produkte weiter zu stärken. Angesichts der für Hersteller umfangreichen Pflichten und dem erhöhten Compliance-Aufwand bleibt unternehmensseitig abzuwarten, inwieweit der CRA einen Mehrwert für die Betroffenen mit sich bringt. 

 

Anmeldung zum GvW Newsletter

Melden Sie sich hier zu unserem GvW Newsletter an - und wir halten Sie über die aktuellen Rechtsentwicklungen informiert!