Skip to main content
Gestaltung der digitalen Zukunft Europas

Cyberresilienzgesetz (Cyber Resilience Act)

Das Cyberresilienzgesetz verbessert die Cybersicherheitsstandards von Produkten, die eine digitale Komponente enthalten, und verpflichtet Hersteller und Einzelhändler, die Cybersicherheit während des gesamten Lebenszyklus ihrer Produkte sicherzustellen.

Von Babymonitoren bis hin zu Smartwatches sind Produkte und Software, die eine digitale Komponente enthalten, in unserem täglichen Leben allgegenwärtig. Weniger offensichtlich für viele Benutzer ist das Sicherheitsrisiko, das solche Produkte und Software darstellen können.

Das Cyber Resilience Act (CRA) zielt darauf ab, Verbraucher und Unternehmen, die Software- oder Hardwareprodukte mit einer digitalen Komponente kaufen, zu schützen. Das Cyber Resilience Act  befasst sich mit dem unzureichenden Cybersicherheitsniveau in vielen Produkten und dem Mangel an rechtzeitigen Sicherheitsupdates für Produkte und Software. Sie befasst sich auch mit den Herausforderungen, mit denen Verbraucher und Unternehmen derzeit konfrontiert sind, wenn sie versuchen, festzustellen, welche Produkte cybersicher sind, und sie sicher einzurichten. Die neuen Anforderungen erleichtern die Berücksichtigung der Cybersicherheit bei der Auswahl und Verwendung von Produkten, die digitale Elemente enthalten. Es wird einfacher sein, Hardware- und Softwareprodukte mit den richtigen Cybersicherheitsfunktionen zu identifizieren.

Mit dem Cyberresilienzgesetz werden verbindliche Cybersicherheitsanforderungen für Hersteller und Einzelhändler eingeführt, die die Planung, das Design, die Entwicklung und die Wartung solcher Produkte regeln. Diese Verpflichtungen müssen auf jeder Stufe der Wertschöpfungskette erfüllt werden. Das Gesetz verlangt auch von den Herstellern, während des Lebenszyklus ihrer Produkte Pflege zu leisten. Einige kritische Produkte, die für die Cybersicherheit von besonderer Bedeutung sind, müssen vor ihrem Verkauf auf dem EU-Markt auch von einer zugelassenen Stelle einer Bewertung durch Dritte unterzogen werden.

Die Verordnung gilt für alle Produkte, die direkt oder indirekt mit einem anderen Gerät oder Netzwerk verbunden sind, mit Ausnahme bestimmter Ausnahmen wie bestimmte quelloffene Software- oder Dienstleistungsprodukte, die bereits unter bestehende Vorschriften fallen, was für Medizinprodukte, Luftfahrt und Autos der Fall ist. Produkte tragen die CE-Kennzeichnung, um anzuzeigen, dass sie die CRA-Anforderungen erfüllen. Die neuen Vorschriften werden die Verantwortung gegenüber den Herstellern neu ausbalancieren, die sicherstellen müssen, dass ihre Produkte mit digitalen Elementen den Cybersicherheitsstandards für den EU-Markt entsprechen. Dies wird es Käufern ermöglichen, fundiertere Entscheidungen zu treffen und der Cybersicherheit von Produkten mit CE-Kennzeichnung zu vertrauen.

Das Gesetz über Cyberresilienz ist am 10. Dezember 2024 in Kraft getreten. Die wichtigsten mit dem Gesetz eingeführten Verpflichtungen gelten ab dem 11. Dezember 2027. 

Darüber hinaus wird die Expertengruppe zum Cyberresilienzgesetz (CRA-Expertengruppe) eingerichtet. Die Expertengruppe wird die Kommission in Fragen unterstützen und beraten, die für die Umsetzung des Cyberresilienzgesetzes (CRA) relevant sind.

Das Gesetz über die Cyberresilienz baut auf derEU-Cybersicherheitsstrategievon 2020 und der EU-Strategie für eine Sicherheitsunionauf. Sie ergänzt andere Rechtsvorschriften in diesem Bereich, insbesondere die NIS2-Richtlinie.

Zugehöriger Inhalt

Gesamtbild

Die Europäische Union arbeitet an verschiedenen Fronten, um die Cyberresilienz zu fördern, unsere Kommunikation und Daten zu schützen und die Sicherheit der Online-Gesellschaft und -Wirtschaft zu gewährleisten.