Übergangsfristen für den Cyber Resilience Act

26. November 2024

Am 20.11.2024 wurde der Cyber Resilience Act (CRA) im Amtsblatt der Europäischen Union veröffentlicht. Damit kann das Gesetz nun in Kraft treten und infolgedessen zur Harmonisierung der Cybersicherheitsanforderungen für digitale Produkte innerhalb der EU beitragen. Mit der Veröffentlichung lassen sich nun auch die genauen Übergangsfristen für den Cyber Resilience Act bestimmen.

Cyber Resilience Act

Der EU-Rat hat den CRA am 10.10.2024 verabschiedet, der auf die wachsende Zahl von Cyberbedrohungen reagiert, die nicht nur Verbraucher, sondern auch Unternehmen und öffentliche Infrastrukturen gefährden können. Ziel des Gesetzes ist es, Sicherheitsrisiken in digitalen Produkten systematisch zu minimieren und die Widerstandsfähigkeit der EU gegen Cyberangriffe zu stärken. Neben allgemeinen Sicherheitsanforderungen enthält der CRA auch spezifische Regelungen für Hochrisiko-KI-Systeme und stellt klare Vorgaben für den Umgang mit Schwachstellen sowie für die Benachrichtigung über Sicherheitsvorfälle auf.

Mitte November hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits einen Leitfaden veröffentlicht, der als Orientierungshilfe für Unternehmen und Hersteller betroffener Produkte die grundlegenden Fragen zum CRA beantworten und Klarheit über den Anwendungsbereich, die Ausnahmen und die Cybersicherheitsanforderungen des Gesetzes schaffen soll.

Übergangsfristen

Der CRA tritt 20 Tage nach der Veröffentlichung im Amtsblatt, also am 10.12.2024 in Kraft. Die meisten Regelungen werden jedoch erst ab dem 11.12.2027 verbindlich. Es gibt aber auch einige Vorgaben, die bereits früher zu beachten sind. Diese Übergangsfristen sollen den Unternehmen ausreichend Zeit geben, sich auf die neuen Anforderungen vorzubereiten. So besteht bereits ab Juni 2026 die Möglichkeit die Einhaltung der Sicherheitsanforderungen durch eine Konformitätsbewertungsstelle kontrollieren zu lassen. Zudem gelten die Meldepflichten für Hersteller bei Schwachstellen und Sicherheitsvorfälle bereits ab dem 11.09.2026.

Konsequenzen bei Verstößen

Die Einhaltung des Cyber Resilience Acts wird von den Überwachungsbehörden der EU-Mitgliedstaaten kontrolliert. Zu den Befugnissen der Aufsichtsbehörden gehören unter anderem die Anordnung von Rückrufen, die Beschränkung oder das Verbot des Verkaufs nicht-konformer Produkte sowie die Verhängung von Geldstrafen, die bis zu 15 Millionen Euro betragen können.

Fazit

Mit der Veröffentlichung im Amtsblatt fangen auch die Übergangsfristen für den Cyber Resilience Act an zu laufen. Unternehmen sollten sich insofern bereits jetzt Gedanken darüber machen, wie sie interne und externe Prozesse so anpassen können, dass sie sämtliche Vorgaben fristgerecht umsetzen können. Dabei helfen wir Ihnen als Externe Compliancebeauftragte gerne weiter.

Kategorien: Cyber Resilience Act · Europäische Union · Europäisches Recht · Gesetzesvorhaben · Online-Datenschutz