Sicherheitsstandards im Cyberspace für alle
In einer Zeit, in der die Digitalisierung in allen Lebensbereichen voranschreitet, ist Cybersicherheit nicht nur eine technische Notwendigkeit, sondern auch eine grundlegende Voraussetzung für das Vertrauen in digitale Technologien. Der Cyber Resilience Act (CRA) ist eine Verordnung der Europäischen Union, welche darauf abzielt, die Sicherheit von Produkten mit digitalen Elementen zu erhöhen. Durch die Festlegung von einheitlichen Standards, Anforderungen an das Produktdesign sowie einem Meldesystem bei Schwachstellen schafft die Verordnung eine solide Basis für den Schutz vor Cyberangriffen und Datenlecks, die sowohl Unternehmen als auch Verbraucher betreffen können.
Anwendungsbereich
Das Gesetz wird auf alle auf dem Markt bereitgestellte Produkte angewendet, deren (vorhersehbare) Verwendung eine Datenverbindung zu einem Gerät oder einem Netzwerk umfasst. Darunter fallen Endgeräte wie Handys oder Laptops, elektronische Bauteile wie Mikrocontroller und Softwareprodukte, wie Betriebssysteme. Vom Anwendungsbereich des CRA sind bestimmte Bereiche wie Medizinprodukte oder Kraftfahrzeuge ausgenommen, da diese bereits über eigene (höhere) Standards verfügen.
Risikobasierte Klassifizierung
Die gesetzlichen Vorgaben fließen in die CE-Kennzeichnung der Produkte ein, weshalb sie sich sowohl an Hersteller in der EU als auch Importeure gleichermaßen richten. Der CRA klassifiziert in risikobasierte Kategorien und unterscheidet zwischen Produkten der Standardkategorie, wichtigen Produkten (Klasse I und Klasse II), und kritischen Produkten. Alle Produkte müssen die grundlegenden Cybersicherheitsanforderungen erfüllen.
Unterstützungszeitraum & Meldepflichten
Hersteller und Importeure sind dazu verpflichtet, ihre Produkte für die Dauer der voraussichtlichen Nutzung zu unterstützen. Diese sogenannte Supportperiode muss mindestens fünf Jahre betragen, kann jedoch an die tatsächliche Nutzungsdauer des Produkts angepasst werden. Während des Unterstützungszeitraums muss eine Bewertung des Cybersicherheitsrisikos dokumentiert und das Produkt gegebenenfalls aktualisiert werden. Schwachstellen eines Produkts müssen im Einklang mit den grundlegenden Anforderungen behandelt werden. Sollten diese Schwachstellen ausgenutzt worden sein oder es zu anderen relevanten Cybersicherheitsvorfällen in Zusammenhang mit dem Produkt kommt, muss dies sowohl dem „Computer Security Incident Response Team“ (CSIRT) als auch der ENISA gemeldet werden.
Rolle des FEEI
Der Fachverband für Elektro- und Elektronikindustrie informierte in der Vergangenheit im Zuge eines Webinars über die Grundlagen des Cyber Resilience Acts und hält seine Mitglieder über den Gesetzgebungsprozess auf dem Laufenden. Das EU-Parlament stimmte am 12.03.2024 für die Verordnung, und spätestens bis Ende-Herbst 2024 wird eine Abstimmung im Rat erwartet. Fällt diese positiv aus, tritt der CRA 20 Tage nach der Veröffentlichung im Amtsblatt der EU in Kraft. Betroffene haben 21 Monate Zeit, Artikel 14 (Meldepflichten der Hersteller) umzusetzen, und Kapitel IV (Notifizierung von Konformitätsbewertungsstellen – Artikeln 35-51) des CRA wird ab dem 18 Monat gelten. Für die restlichen Aspekte der Verordnung gilt eine Übergangsphase von 36 Monaten. Es ist zu erwarten, dass der CRA ab Herbst 2027 völlig in Kraft treten wird.
Der FEEI wird am 18 Oktober 2024, 10:00-12:00, ein Webinar zum CRA organisieren, bei dem Vertreter:innen der Europäischen Kommission für persönlichen Fragen zur Verfügung stehen können. Eine gesonderte Einladung mit näheren Details finden Sie hier .
Wenn Sie weitere Einzelheiten erfahren möchten, finden Sie hier den Link zu einer CRA-Präsentation.
Darüber hinaus, finden Sie hier den Link zum CRA-Text.
