Die Digitalisierung schreitet rasant voran. Vom Smart-TV im Wohnzimmer über cloudbasierte Apps bis hin zu vernetzten Industrieanlagen – immer mehr Produkte enthalten digitale Elemente und sind Teil komplexer Netzwerke. Doch diese vernetzte Welt bringt auch gravierende Sicherheitsrisiken mit sich. Genau hier setzt der Cyber Resilience Act (CRA) der Europäischen Union an.
Der Cyber Resilience Act ist eine EU-Verordnung, die verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt. Hiermit will die EU ein gemeinsames Mindestniveau an Sicherheit im gesamten Binnenmarkt schaffen und Verbraucher wie Unternehmen besser vor Cyberbedrohungen schützen.
Anwendungsbereich
Der CRA gilt für „Produkte mit digitalen Elementen“. Darunter wird jede Hardware oder Software mitsamt ihren „Remote Data Processing Lösungen“ verstanden, deren beabsichtigte oder vorhersehbare Verwendung eine direkte oder indirekte Datenverbindung zu einem Gerät oder Netzwerk umfasst. Dazu zählen typischerweise:
- Physische Geräte: IoT-Geräte, Router, industrielle Steuerungshardware, smarte Haushaltsgeräte, vernetzte Fahrzeuge, medizinische Geräte etc.
- Softwareprodukte: Betriebssysteme, Desktop und MobileApps, Sicherheitssoftware, Entwicklungswerkzeuge.
- Digitale Komponenten: APIs, Softwarebibliotheken, Firmware, separat vertriebene Softwaremodule.
Cloud-Dienste wie klassische SaaS, PaaS oder IaaS-Angebote fallen „nicht regelmäßig“ unter den CRA (Erwägungsgrund 12), können aber erfasst sein, wenn sie für das Funktionieren eines Produkts mit digitalen Elementen erforderlich und vom Hersteller selbst entwickelt oder unter seiner Verantwortung gestaltet werden.
Zeitplan
Die Verordnung wurde am 20. November 2024 im Amtsblatt der EU veröffentlicht und trat am 10. Dezember 2024 in Kraft. Sie enthält jedoch längere Übergangsregelungen:
- Ab 11. Juni 2026: Benennung und Zulassung von Konformitätsbewertungsstellen, die Produkte gegen die CRA-Anforderungen zertifizieren.
- Ab 11. September 2026: Verpflichtung der Hersteller zur Meldung von Schwachstellen und Sicherheitsvorfällen (vulnerability & incident reporting).
- Ab 11. Dezember 2027: Vollständige Anwendbarkeit des CRA auf alle neuen Produkte, die ab diesem Zeitpunkt erstmals auf dem EU-Markt bereitgestellt werden. „Neues Produkt“ meint jede Einheit, die nach diesem Stichtag erstmals in Verkehr gebracht wird, auch wenn das Modell älter ist oder es sich um eine neue Charge/Version handelt.
Warum ist der CRA wichtig?
Bisher gab es keine einheitlichen Regeln, die sicherstellen, dass digitale Produkte sicher entwickelt, betrieben und über ihren gesamten Lebenszyklus gepflegt werden. Das wollte die EU ändern:
- Einheitliche EU-Standards: Der CRA sorgt für klare Regeln in allen Mitgliedstaaten.
- Stärkung der digitalen Sicherheit: Hersteller müssen Schwachstellen erkennen, Updates liefern und Sicherheitsprobleme melden.
- Mehr Transparenz für Verbraucher: Produkte mit höherer Cybersicherheit sollen für Käufer leichter erkennbar sein.
Fazit
Der Cyber Resilience Act ist ein grundlegender Schritt, um die digitale Sicherheit in Europa zu stärken. Er schafft somit klare, EU-weite Standards für vernetzte Produkte und verschiebt die Verantwortung für Sicherheit deutlich in Richtung Hersteller. Für Unternehmen bedeutet das mehr Aufwand, aber auch eine Chance, Vertrauen und Qualität in digitalen Produkten zu erhöhen.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
