Am 10. Oktober 2024 verabschiedete die Europäische Union den Cyber Resilience Act (CRA), eine wegweisende Verordnung zur Stärkung der Cybersicherheit von Produkten mit digitalen Elementen. Diese neue Regelung wird weitreichende Auswirkungen auf Unternehmen haben, die digitale Produkte herstellen, importieren oder vertreiben.
Ziele und Anwendungsbereich
Der CRA verfolgt mehrere wichtige Ziele:
- Erhöhung der Cybersicherheit durch verbindliche Sicherheitsanforderungen
- Verbesserter Schutz von Verbrauchern und Unternehmen vor Cyberangriffen
- Stärkung des EU-Binnenmarktes durch einheitliche Regelungen
- Förderung von Innovationen im Bereich sicherer Produktentwicklung
Die Verordnung betrifft eine breite Palette von Produkten, darunter vernetzte Maschinen, IoT-Geräte, Apps, Wearables, Software und viele mehr. Praktisch jedes Produkt, das Daten mit anderen Geräten oder Netzwerken austauscht, fällt unter den Geltungsbereich des CRA.
Neue Pflichten für Unternehmen
Hersteller, Importeure und Händler müssen sich auf folgende Anforderungen einstellen:
- Risikobewertung und -beherrschung: Produkte müssen so konzipiert werden, dass sie während ihres gesamten Lebenszyklus ein angemessenes Cybersicherheitsniveau gewährleisten.
- Schwachstellenmanagement: Unternehmen sind verpflichtet, Produkte kontinuierlich zu überwachen und kostenlose Sicherheitsupdates bereitzustellen.
- Meldepflichten: Aktiv ausgenutzte Schwachstellen müssen den Aufsichtsbehörden gemeldet werden.
- Dokumentation: Alle Maßnahmen zur Risikobewertung und -minderung müssen sorgfältig dokumentiert werden.
- Sicherheit in der Lieferkette: Die Cybersicherheit muss auch bei Zulieferern und Dienstleistern gewährleistet sein.
Zeitplan und Umsetzung
Der CRA wird ab 2027 in allen EU-Mitgliedstaaten gelten. Unternehmen haben somit eine Übergangsfrist von 24 Monaten, um die Compliance-Anforderungen zu erfüllen. Angesichts der Komplexität der Anforderungen ist es ratsam, frühzeitig mit den Vorbereitungen zu beginnen.
Konsequenzen bei Verstößen
Bei Nichteinhaltung der CRA-Vorgaben drohen empfindliche Strafen. Marktüberwachungsbehörden können Produktwarnungen aussprechen und Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes verhängen.
Fazit
Der Cyber Resilience Act stellt einen bedeutenden Schritt zur Verbesserung der digitalen Sicherheit in der EU dar. Obwohl er Unternehmen vor erhebliche Herausforderungen stellt, bietet er auch die Chance, das Vertrauen in digitale Produkte zu stärken und die Wettbewerbsfähigkeit auf dem europäischen Markt zu sichern. Unternehmen sollten die verbleibende Zeit nutzen, um ihre Prozesse anzupassen und die notwendigen Maßnahmen zur Einhaltung des CRA zu implementieren.