EU Cyber Resilience Act (EU-Gesetz über Cyberresilienz)

Von Babymonitoren bis hin zu Smartwatches, Produkte und Software, die eine digitale Komponente enthalten, sind in unserem täglichen Leben allgegenwärtig. Weniger offensichtlich für viele Benutzer ist das Sicherheitsrisiko, das solche Produkte und Software darstellen können. 

Das Cyber Resilience Act (CRA) zielt darauf ab, Verbraucher und Unternehmen zu schützen, die Produkte oder Software mit einer digitalen Komponente kaufen oder verwenden. Nach dem Gesetz würden unzureichende Sicherheitsmerkmale mit der Einführung verbindlicher Cybersicherheitsanforderungen für Hersteller und Einzelhändler solcher Produkte der Vergangenheit angehören, wobei sich dieser Schutz über den gesamten Produktlebenszyklus erstreckt.

Das Problem, das mit der Verordnung behandelt wird, ist zweifach.

Erstens ist das unzureichende Maß an Cybersicherheit, das vielen Produkten innewohnt, oder unzureichende Sicherheitsupdates für solche Produkte und Software.

Zweitens ist die Unfähigkeit von Verbrauchern und Unternehmen, derzeit festzustellen, welche Produkte cybersicher sind, oder sie so einzurichten, dass ihre Cybersicherheit geschützt ist.

Das Cyber Resilience Act garantiert:

• harmonisierte Vorschriften für das Inverkehrbringen von Produkten oder Software mit einer digitalen Komponente;
• einen Rahmen von Cybersicherheitsanforderungen für die Planung, Gestaltung, Entwicklung und Wartung solcher Produkte mit Verpflichtungen, die in jeder Phase der Wertschöpfungskette zu erfüllen sind;
• eine Verpflichtung zur Sorgfaltspflicht für den gesamten Lebenszyklus solcher Produkte.

Mit Inkrafttreten der Verordnung würden Software und Produkte, die mit dem Internet verbunden sind, die CE-Kennzeichnung tragen, um anzuzeigen, dass sie den neuen Normen entsprechen. Von Herstellern und Einzelhändlern, der Cybersicherheit Vorrang einzuräumen, wären Kunden und Unternehmen in der Lage, fundiertere Entscheidungen zu treffen und sich auf die Cybersicherheitsnachweise von CE-gekennzeichneten Produkten zu verlassen.

Die Verordnung wurde in der EU-Cybersicherheitsstrategie 2020 angekündigt und ergänzt andere Rechtsvorschriften in diesem Bereich, insbesondere den NIS2 -Rahmen.

Sie gilt für alle Produkte, die direkt oder indirekt mit einem anderen Gerät oder Netzwerk verbunden sind, mit Ausnahme bestimmter Ausschlüsse wie Open-Source-Software oder Dienste, die bereits unter bestehende Vorschriften fallen, was für Medizinprodukte, Luftfahrt und Autos der Fall ist.

Die Verordnung soll Anfang 2024 in Kraft treten. DieHersteller müssen die Vorschriften 36 Monate nach ihrem Inkrafttreten anwenden. Die Kommission wird das Gesetz dann regelmäßig überprüfen und über dessen Funktionsweise berichten.