Digitalisierung

Cyber Resilience Act (CRA): Digitale Dienste und Produkte müssen gesichert werden

Der Cyber Resilience Act (kurz CRA) ist eine EU-weite Vorgabe für mehr IT-Sicherheit in digitalen Produkten.
Mit dem CRA sollen in den Phasen Design, Entwicklung und Produktion sowie während des Inverkehrbringens und während der Nutzung risikoangemessene Cybersecurity-Maßnahmen etabliert werden.
Die Umsetzungszeit für Maßnahmen des CRA beträgt 36 Monate nach dem Inkrafttreten (voraussichtlich 2027). Meldepflichten nach dem CRA gelten 21 Monate nach dem Inkrafttreten (voraussichtlich 2026).

Wer ist betroffen?

Die neuen Regelungen betreffen alle Unternehmen, die Produkte mit digitalen Elementen herstellen oder anbieten (z. B. Hersteller, Importeure, Händler). „Hersteller“ ist dabei, wer Software entwickelt oder auch für sich entwickeln lässt und sie unter eigenem Namen anbietet. Darüber hinaus gibt es Verpflichtungen für Händler und Einführer. Größenbezogene Ausnahmen gibt es nicht.

Was sind digitale Produkte?

Dies sind Hardware- und Softwareprodukte aus dem Consumer- und industriellen Bereich, die miteinander oder dem Internet verbunden werden können. Dabei gelten die Regeln für in der EU-produzierten sowie importierten Produkte.

Bei den digitalen Produkten unterscheidet der CRA je nach Kritikalität:

Standard-Kategorie = nicht kritische Produkte mit digitalen Elementen

Dies umfasst typische Consumer Produkte wie zum Beispiel smarte Fernseher, Spielekonsolen, Hausautomatisierung, Fotobearbeitungssoftware

Kritische Produkte mit digitalen Elementen Klasse I

Dies sind digitale Produkte in der industriellen Automatisierung oder Gebäudeautomatisierungen. Beispiele sind Router, VPN-Produkte, Firewalls, Passwort-Manager, Identitätsmanagement

Kritische Produkte mit digitalen Elementen Klasse II

Dies sind digitale Produkte, die in einer kritischen Infrastruktur Verwendung finden. Beispielhaft sind dies IIoT-Produkte, Betriebssysteme, ACS)

Hochkritische Produkte

Für diese Klasse werden derzeit noch Kriterien und Beispiele definiert.

Was müssen Unternehmen tun?

Die genauen Maßnahmen und Pflichten hängen von den spezifischen Anforderungen und Rollen des Cyber Resilience Act ab.
Daher sollten Unternehmen, die digitale Produkte herstellen oder anbieten, die Vorgaben sorgfältig prüfen und Ihre Handlungsfelder bestimmen.

Beispiele aus der Praxis:

Hersteller müssen risikoangemessene Cybersecurity-Maßnahmen für einen kompletten Lebenszyklus des Produktes anbieten (z. B. Security-per-Default, Sicherheits-Updates, Schwachstellenbehebung, Schwachstellen-Infos für Nutzer, Softwarestücklisten, Komponenten-Prüfung).
Importeure und Händler müssen z. B. prüfen, ob gesetzliche Vorgaben und Kennzeichnungspflichten erfüllt sind (z. B. CE-Kennzeichnung, technische Dokumentation etc.).
Insgesamt gelten diverse Meldepflichten beim Auftreten von Schwachstellen bei der europäischen Behörde ENISA (z. B. 24h bei identifizieren Schwachstellen, 72h bei Vorlage von Korrektur- oder Risikominderungsmaßnahmen).

Was passiert bei Verstößen?

Bei Verstößen gegen grundlegende Anforderungen oder Meldepflichten können Bußgelder bis zur Höhe von 2,5 Prozent des weltweiten Jahresumsatzes verhängt werden. Zudem kann die Marktüberwachungsbehörde den Vertrieb des digitalen Produktes untersagen. Auch Abmahnungen auf Basis des UWG sind möglich.