Von Babymonitoren bis hin zu Smartwatches, Produkte und Software, die eine digitale Komponente enthalten, sind in unserem täglichen Leben allgegenwärtig. Weniger offensichtlich für viele Benutzer ist das Sicherheitsrisiko, das solche Produkte und Software darstellen können.
Das Cyber Resilience Act (CRA) zielt darauf ab, Verbraucher und Unternehmen zu schützen, die Produkte oder Software mit einer digitalen Komponente kaufen oder verwenden. Nach dem Gesetz würden unzureichende Sicherheitsmerkmale mit der Einführung verbindlicher Cybersicherheitsanforderungen für Hersteller und Einzelhändler solcher Produkte der Vergangenheit angehören, wobei sich dieser Schutz über den gesamten Produktlebenszyklus erstreckt.
Das Problem, das mit der Verordnung behandelt wird, ist zweifach.
Erstens ist das unzureichende Maß an Cybersicherheit, das vielen Produkten innewohnt, oder unzureichende Sicherheitsupdates für solche Produkte und Software.
Zweitens ist die Unfähigkeit von Verbrauchern und Unternehmen, derzeit festzustellen, welche Produkte cybersicher sind, oder sie so einzurichten, dass ihre Cybersicherheit geschützt ist.
Das Cyber Resilience Act garantiert:
- harmonisierte Vorschriften für das Inverkehrbringen von Produkten oder Software mit einer digitalen Komponente;
- einen Rahmen von Cybersicherheitsanforderungen für die Planung, Gestaltung, Entwicklung und Wartung solcher Produkte mit Verpflichtungen, die in jeder Phase der Wertschöpfungskette zu erfüllen sind;
- eine Verpflichtung zur Sorgfaltspflicht für den gesamten Lebenszyklus solcher Produkte.
Mit Inkrafttreten der Verordnung würden Software und Produkte, die mit dem Internet verbunden sind, die CE-Kennzeichnung tragen, um anzuzeigen, dass sie den neuen Normen entsprechen. Von Herstellern und Einzelhändlern, der Cybersicherheit Vorrang einzuräumen, wären Kunden und Unternehmen in der Lage, fundiertere Entscheidungen zu treffen und sich auf die Cybersicherheitsnachweise von CE-gekennzeichneten Produkten zu verlassen.
Die Verordnung wurde in der EU-Cybersicherheitsstrategie 2020 angekündigt und ergänzt andere Rechtsvorschriften in diesem Bereich, insbesondere den NIS2 -Rahmen.
Sie gilt für alle Produkte, die direkt oder indirekt mit einem anderen Gerät oder Netzwerk verbunden sind, mit Ausnahme bestimmter Ausschlüsse wie Open-Source-Software oder Dienste, die bereits unter bestehende Vorschriften fallen, was für Medizinprodukte, Luftfahrt und Autos der Fall ist.
Die Verordnung soll Anfang 2024 in Kraft treten. DieHersteller müssen die Vorschriften 36 Monate nach ihrem Inkrafttreten anwenden. Die Kommission wird das Gesetz dann regelmäßig überprüfen und über dessen Funktionsweise berichten.
Zugehöriger Inhalt
Gesamtbild
Die Europäische Union arbeitet an verschiedenen Fronten, um Cyberresilienz zu fördern, unsere Kommunikation und Daten zu schützen und die Online-Gesellschaft und die Wirtschaft sicher zu halten.
Siehe auch
Das EU-Cyber-Solidaritätsgesetz wird die Vorsorge, Aufdeckung und Reaktion auf Cybersicherheitsvorfälle in der gesamten EU verbessern.
Betreiber wesentlicher Dienste (OES), nationale Cybersicherheitszertifizierungsbehörden (NCCAs) und nationale zuständige Behörden (NCA) für Cybersicherheit gehören zu den ausgewählten Antragstellern, die im Rahmen der Aufforderung zur Cybersicherheit der Fazilität „Connecting...
Das Europäische Cybersicherheitsnetz und das Kompetenzzentrum für Cybersicherheit helfen der EU, technologische und industrielle Kapazitäten im Bereich der Cybersicherheit zu erhalten und auszubauen.
Die Stakeholder-Cybersicherheitszertifizierungsgruppe wurde gegründet, um Beratung zu strategischen Fragen im Zusammenhang mit der Cybersicherheitszertifizierung zu leisten.
Mit dem Cybersicherheitsgesetz wird die EU-Agentur für Cybersicherheit (ENISA) gestärkt und ein Rahmen für die Cybersicherheitszertifizierung für Produkte und Dienstleistungen geschaffen.
Der EU-Rahmen für die Cybersicherheitszertifizierung von IKT-Produkten ermöglicht die Schaffung maßgeschneiderter und risikobasierter EU-Zertifizierungssysteme.
Die NIS2-Richtlinie ist die EU-weite Gesetzgebung zur Cybersicherheit. Sie enthält rechtliche Maßnahmen zur Steigerung des Gesamtniveaus der Cybersicherheit in der EU.