EU-Rat: Cyber Resilience Act verabschiedet

17. Oktober 2024

In einer zunehmend digitalisierten Welt, in der vernetzte Produkte in fast allen Lebensbereichen Einzug halten, ist die Sicherheit dieser Produkte ein zentrales Thema. Deshalb hat der EU-Rat am 10.10.2024 den Cyber Resilience Act (CRA) verabschiedet. Ziel des neuen Rechtsakts ist es, verbindliche Anforderungen an die Cyber-Sicherheit vernetzter Geräte zu schaffen und so sowohl Verbraucher als auch Unternehmen besser vor Cyberangriffen zu schützen.

Die Notwendigkeit eines Cyber Resilience Act

Im Zuge der Digitalisierung sind immer mehr Geräte und Produkte miteinander vernetzt, von Smart-Home-Anwendungen über Luftfahrtechnik bis hin zu medizinischen Geräten. Diese zunehmende Vernetzung führt allerdings auch zu einer erhöhten Anfälligkeit gegenüber Cyberangriffen. Schwachstellen in vernetzten Produkten können gravierende Folgen haben – von Datenverlusten bis hin zu schwerwiegenden Sicherheitslücken, die die Privatsphäre und sogar die körperliche Unversehrtheit gefährden können. Betroffen können etwa Haushaltsgeräte, Software, Cloud-Programme oder Unterhaltungstechnik sein.

Bislang gab es in der EU keine einheitliche und verbindliche Regulierung, die sicherstellt, dass vernetzte Produkte über einen ausreichenden Schutz vor Cyberbedrohungen verfügen. Deshalb forderte beispielsweise auch der deutsche Bundesrat parallel hierzu erst Anfang dieses Jahres, dass schon die in den Verkehr gebrachten Produkte datenschutzkonform sein sollen. Der CRA, dessen Entwurf zuerst Ende 2022 veröffentlicht wurde, soll diese Lücke nun europaweit schließen.

Wer ist adressiert?

Der CRA richtet sich an Wirtschaftsakteure. Nach Art. 3 Nr. 12 der neuen Verordnung sind das insbesondere Hersteller, Einführer, Händler oder jede andere natürliche oder juristische Person, die Verpflichtungen im Zusammenhang mit der Herstellung oder Bereitstellung von Produkten mit digitalen Elementen (Digitalprodukt) im Sinne des CRA unterliegt.

Hersteller sind Person, die Digitalprodukte entwickeln, herstellen oder konzipieren oder dies von einem anderen durchführen lassen und sie unter ihrem Namen vermarkten.

Einführer oder Importeur ist eine in der EU ansässige oder niedergelassene Person, die ein Digitalprodukt unter dem Namen oder der Marke einer außerhalb der EU ansässigen oder niedergelassenen Person in der EU in den Verkehr bringt.

Händler ist eine Person in der Lieferkette, die ein Digitalprodukt ohne Änderung seiner Eigenschaften auf dem EU-Markt bereitstellt und kein Hersteller oder Einführer ist.

Hauptinhalte des Cyber Resilience Act

Der CRA führt neue Anforderungen ein, die alle vernetzten Produkte betreffen, die in der EU in Verkehr gebracht werden. Zentrales Element ist die Verpflichtung, dass alle diese Produkte gegen Cyberbedrohungen abgesichert sein müssen. Ganz nach dem Grundsatz „Security by Design“ sollen Hersteller bereits im Erstellungsprozess geeignete Maßnahmen ergreifen, um Cyberangriffe abzuwehren. Dies beinhaltet zunächst die technische Absicherung der Geräte bei Einführung in den Markt. Daneben sind die Hersteller aber auch verpflichtet über den vollständigen Lebenszyklus ihrer Produkte, etwa durch regelmäßige Aktualisierung der Software, Cybersicherheit zu gewährleisten. Das CE-Zeichen soll dann zukünftig auch die Einhaltung dieser Anforderungen signalisieren.

Auswirkungen auf Unternehmen und Verbraucher

Für Unternehmen bedeutet der CRA einen erheblichen Mehraufwand, insbesondere in Bezug auf die Produktentwicklung und -wartung. Susanne Dehmel, Mitglied der Bitkom-Geschäftsführung, fordert in einer Presseinformation, „dass die Politik die Unternehmen bei der Umsetzung aktiv unterstützt“. Insbesondere müssten „die Unternehmen […] Klarheit darüber haben, welche Kriterien sie erfüllen müssen”.

Auf der anderen Seite profitieren Verbraucher erheblich von den neuen Vorschriften, denn vernetzte Produkte bieten dann einen besseren Schutz. Wie BSI-Chefin Claudia Plattner in einer Pressemitteilung erklärt, profitieren neben den Nutzern aber langfristig auch die Hersteller, „denn ihre Produkte werden qualitativ hochwertiger und sicherer”.

Wie geht es weiter?

Das Gesetz haben nun letzten Donnerstag die Innen- und Justizminister der EU-Staaten final beschlossen. Nun fehlt nur noch die formale Unterzeichnung der Präsidenten des Rats und des Parlaments. Nachdem der CRA dann in den kommenden Wochen im Amtsblatt der EU veröffentlicht wird, kann das neue Gesetz laut der Pressemitteilung des EU-Rats 20 Tage später in Kraft treten. Da es sich beim CRA um eine Verordnung handelt findet das Gesetz unmittelbar Anwendung und ist nicht erst in nationales Recht umzusetzen. Ab Inkrafttreten gewährt der CRA eine Übergangsfrist von 3 Jahren, sodass voraussichtlich ab November 2027 sämtliche Vorgaben umzusetzen sind. Für einige Regeln, wie etwa die Meldepflicht bei Sicherheitsvorfällen, gilt eine verkürzte Frist von 21 Monaten.

Fazit

Der CRA stellt einen bedeutenden Schritt in Richtung einer sichereren digitalen Zukunft dar. Durch die Einführung verbindlicher Sicherheitsanforderungen an vernetzte Produkte wird das Risiko von Cyberangriffen erheblich reduziert. Verbraucher und Unternehmen profitieren gleichermaßen von den neuen Regelungen, auch wenn die Umsetzung des CRA gerade für kleinere Unternehmen zunächst eine Herausforderung darstellen könnte. Letztlich schafft der CRA jedoch die Grundlage für ein hohes Schutzniveau in der vernetzten Welt.