Digitalisierung
Cyber Resiliance Act
Ein Gesetzesentwurf der EU verpflichtet eine Vielzahl von Unternehmen zu mehr Maßnahmen der IT-Sicherheit bei digitalen Produkten.
Die Europäische Kommission hat im September 2022 den Entwurf eines Cyber Resilience Act (CRA) vorgelegt, mit dem sie die Cybersicherheit von Produkten, die miteinander oder mit dem Internet verbunden werden können, verbessern will.
Digitale Produkte werden auch in Unternehmen für die Produktion eingesetzt sowie als Vorprodukte bezogen und weiter verbaut, beziehungsweise veredelt und sind damit Bestandteil von Lieferketten.
Dies sind auch Hardwareprodukte und -komponenten, die separat auf den Markt gebracht werden (z. B. Smart Home Produkte, Laptops, Mobilfunkgeräte, Netzwerkausrüstung, CPUs) oder Softwareprodukte und -komponenten, die gesondert in Verkehr (auch im Rahmen einer Dienstleistung) gebracht werden (z. B. Betriebssysteme, Textverarbeitung, Spiele und Apps). Ausnahmen gibt es für Open Source oder Software-as-a-Service-Dienstleistungen.
Die neuen Regelungen betreffen alle Unternehmen, die Produkte mit digitalen Elementen herstellen, einführen oder damit handeln (Hersteller, Einführer, Händler). Darunter fallen auch Unternehmen, die Hardware/Software für eine Dienstleistung oder ein neues Produkt nutzen. Größenbezogene Ausnahmen gibt es nicht.
Als Pflichten sind unter anderem benannt (Auszug):
Hersteller
- Durchführung eines Konformitätsbewertungsverfahrens
- Erstellung der technischen Dokumentation
- Überwachungs- und Abhilfepflichten
- Korrektur- und Rückrufpflichten
- Meldepflicht bei Schwachstellen gegenüber der Agentur der Europäischen Union für Cybersicherheit (ENISA) innerhalb von 24 Stunden und Nutzern (unverzüglich)
Einführer
- Ein Konformitätsbewertungsverfahren vom Hersteller
- CE-Kennzeichnung sowie Informationen und Gebrauchsanweisung
- Verpflichtung zum Ergreifen von Abhilfemaßnahmen bei Kenntnis oder begründeter Annahme der Nonkonformität
Händler
- Sicherstellung, dass der Hersteller bzw. Einführer Abhilfemaßnahmen durchführt
- Meldepflicht bei Schwachstellen gegenüber dem Hersteller bzw. den nationalen Marktüberwachungsbehörden
In einer Stellungnahme des DIHK werden vor allem die fehlenden klaren Definitionen, der weite Anwendungsbereich und die kurzen Umsetzungszeiträume kritisiert. KMU und Start-ups, für die es keine Ausnahmen im Cyber Resilience Act (CRA) gibt, dürfen zudem nicht überproportional belastet werden. Hier sollte spätestens in der Umsetzung durch entsprechende staatliche Unterstützungs- und Beratungsangebote nachgesteuert werden, damit auch kleinere Unternehmen den Konformitätsanforderungen in geeigneter Zeit und Weise entsprechen können. Weitere Anmerkungen finden Sie in der vollständigen Stellungnahme des DIHK (nicht barrierefrei, PDF-Datei · 190 KB).
Auf der Seite des DIHK finden Sie Beispiele zum Anwendungsbereich und stetige Aktualisierungen zum Gesetzesverfahren: Cyber Resilience Act (CRA)