Am 20. November 2024 wurde der Cyber Resilience Act (CRA) im Amtsblatt der EU veröffentlicht. Der CRA legt umfassende Cybersicherheitsanforderungen für Produkte mit digitalen Elementen fest und zielt darauf ab, einheitliche Cybersicherheitsstandards für vernetzte Geräte zu etablieren.
Die Verordnung tritt am 11. Dezember 2027 in Kraft, jedoch gelten einige Bestimmungen bereits früher:
- Artikel 14, der die Meldepflichten der Hersteller betrifft, wird ab dem 11. September 2026 wirksam.
- Kapitel IV (Artikel 35 bis 51) gilt bereits ab dem 11. Juni 2026.
Um die Sicherheit von Produkten mit digitalen Elementen zu gewährleisten, verpflichtet die Verordnung Hersteller, ihre Produkte während der erwarteten Lebensdauer zu unterstützen. Dies umfasst insbesondere die Beseitigung von Schwachstellen in der Produktsicherheit. Die unterstützte Lebensdauer beträgt dabei mindestens fünf Jahre pro Produkt. Innerhalb dieses Zeitraums müssen Hersteller Sicherheitslücken beheben und sind verpflichtet, aktiv ausgenutzte Schwachstellen – also Angriffe auf das Produkt – an das CSIRT und die ENISA zu melden.
Weitere Informationen finden Sie in unserem ausführlichen Artikel zum CRA.
