News

Der Cyber Resilience Act der EU in der Elektro- und Elektronikindustrie

Die Europäische Union arbeitet aktuell an der Finalisierung des Cyber Resilience Act (CRA), der darauf abzielt, die Cybersicherheit für Hard- und Softwareprodukte zu stärken.

Patrik Fritz, MA

Digitalisierung

fritz@feei.at
+43/1/588 39-39

Sicherheitsstandards im Cyberspace für alle

In einer Zeit, in der die Digitalisierung in allen Lebensbereichen voranschreitet, ist Cybersicherheit nicht nur eine technische Notwendigkeit, sondern auch eine grundlegende Voraussetzung für das Vertrauen in digitale Technologien. Der Cyber Resilience Act (CRA) ist eine Verordnung der Europäischen Union, welche darauf abzielt, die Sicherheit von Produkten mit digitalen Elementen zu erhöhen. Durch die Festlegung von einheitlichen Standards, Anforderungen an das Produktdesign sowie einem Meldesystem bei Schwachstellen schafft die Verordnung eine solide Basis für den Schutz vor Cyberangriffen und Datenlecks, die sowohl Unternehmen als auch Verbraucher betreffen können.

Anwendungsbereich

Das Gesetz wird auf alle auf dem Markt bereitgestellte Produkte angewendet, deren (vorhersehbare) Verwendung eine Datenverbindung zu einem Gerät oder einem Netzwerk umfasst. Darunter fallen Endgeräte wie Handys oder Laptops, elektronische Bauteile wie Mikrocontroller und Softwareprodukte, wie Betriebssysteme. Vom Anwendungsbereich des CRA sind bestimmte Bereiche wie Medizinprodukte oder Kraftfahrzeuge ausgenommen, da diese bereits über eigene (höhere) Standards verfügen.

Risikobasierte Klassifizierung

Die gesetzlichen Vorgaben fließen in die CE-Kennzeichnung der Produkte ein, weshalb sie sich sowohl an Hersteller in der EU als auch Importeure gleichermaßen richten. Der CRA klassifiziert in risikobasierte Kategorien und unterscheidet zwischen Produkten der Standardkategorie, wichtigen Produkten (Klasse I und Klasse II), und kritischen Produkten. Alle Produkte müssen die grundlegenden Cybersicherheitsanforderungen erfüllen.

Unterstützungszeitraum & Meldepflichten

Hersteller und Importeure sind dazu verpflichtet, ihre Produkte für die Dauer der voraussichtlichen Nutzung zu unterstützen. Diese sogenannte Supportperiode muss mindestens fünf Jahre betragen, kann jedoch an die tatsächliche Nutzungsdauer des Produkts angepasst werden. Während des Unterstützungszeitraums muss eine Bewertung des Cybersicherheitsrisikos dokumentiert und das Produkt gegebenenfalls aktualisiert werden. Schwachstellen eines Produkts müssen im Einklang mit den grundlegenden Anforderungen behandelt werden. Sollten diese Schwachstellen ausgenutzt worden sein oder es zu anderen relevanten Cybersicherheitsvorfällen in Zusammenhang mit dem Produkt kommt, muss dies sowohl dem „Computer Security Incident Response Team“ (CSIRT) als auch der ENISA gemeldet werden.

Rolle des FEEI

Der Fachverband für Elektro- und Elektronikindustrie informierte in der Vergangenheit im Zuge eines Webinars über die Grundlagen des Cyber Resilience Acts und hält seine Mitglieder über den Gesetzgebungsprozess auf dem Laufenden. Das EU-Parlament stimmte am 12.03.2024 für die Verordnung, und spätestens bis Ende-Herbst 2024 wird eine Abstimmung im Rat erwartet. Fällt diese positiv aus, tritt der CRA 20 Tage nach der Veröffentlichung im Amtsblatt der EU in Kraft. Betroffene haben 21 Monate Zeit, Artikel 14 (Meldepflichten der Hersteller) umzusetzen, und Kapitel IV (Notifizierung von Konformitätsbewertungsstellen – Artikeln 35-51) des CRA wird ab dem 18 Monat gelten. Für die restlichen Aspekte der Verordnung gilt eine Übergangsphase von 36 Monaten. Es ist zu erwarten, dass der CRA ab Herbst 2027 völlig in Kraft treten wird.

Der FEEI wird am 18 Oktober 2024, 10:00-12:00, ein Webinar zum CRA organisieren, bei dem Vertreter:innen der Europäischen Kommission für persönlichen Fragen zur Verfügung stehen können. Eine gesonderte Einladung mit näheren Details finden Sie hier .

Wenn Sie weitere Einzelheiten erfahren möchten, finden Sie hier den Link zu einer CRA-Präsentation.

Darüber hinaus, finden Sie hier den Link zum CRA-Text.

Weitere Artikel

Digitalisierung

NIS2 Webinar – Nachbericht

Digitalisierung

Cyber Resilience Act wurde im Amtsblatt veröffentlicht

Digitalisierung

NIS2-Durchführungsverordnung im Amtsblatt der EU veröffentlicht

Digitalisierung

Nachbericht: Der Cyber Resilience Act der EU in der Elektro- und Elektronikindustrie

Digitalisierung

AI Act (KI-Verordnung) im EU-Amtsblatt veröffentlicht

Digitalisierung

Webinar: Die Zukunft der KI-Regulierung: Der AI Act im Fokus

Digitalisierung

Neue FEEI-Bedingungen ab sofort verfügbar

Digitalisierung

Sicherheit im Digitalen Zeitalter: NIS 2 und Cyber Resilience Act (CRA)

Digitalisierung

Standardisierung und Normung