Am 18. Oktober organisierte der FEEI ein Webinar zum „Cyber Resilience Act (CRA) – Herausforderungen und Lösungen für EEI-Unternehmen“. Der CRA legt horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen fest und zielt darauf ab, gemeinsame Cybersicherheitsstandards für vernetzte Geräte festzulegen. Die Experten Tommaso Bernabò und Filipe Jones Mourão, beide Policy Officers bei der DG CONNECT der Europäischen Kommission, stellten in der Veranstaltung die Schlüsselelemente des CRA vor und skizzierten die Standardisierungsaktivitäten, die zur Vorbereitung auf den CRA entwickelt werden.
Die Experten erläuterten zunächst die Hauptaspekte des CRA: die Festlegung von Cybersicherheitsregeln für das Inverkehrbringen von Hard- und Softwareprodukten; die damit verbundenen Verpflichtungen für Hersteller, Händler und Importeure; die grundlegenden Cybersicherheitsanforderungen, die für den gesamten Lebenszyklus von Produkten gelten; die Entwicklung harmonisierter Normen; die risikobasierte Differenzierung der Konformitätsbewertung für Produkte; die Art und Weise, wie im CRA Meldepflichten vorgeschrieben werden; und die Einrichtung einer Marktüberwachung und Durchsetzung. Weiters erklärten die zwei Vortragenden, dass in der Regel jeder, der ein Endprodukt oder eine Komponente in Verkehr bringt, die grundlegenden Anforderungen erfüllen, eine Konformitätsbewertung durchführen und die CE-Kennzeichnung anbringen muss. Zu den Pflichten der Hersteller gehören, die grundlegenden Anforderungen an die Cybersicherheit und die Behandlung von Schwachstellen des Produkts zu erfüllen.
Aktuell schreitet die Standardisierungsarbeit zur Vorbereitung auf den CRA bei CEN-CENELEC voran. Die Normen bauen auf den bestehenden internationalen Normen und der Arbeit für die „Radio Equipment Directive Delegierte Verordnung“ auf. Diese Normen sollen im Herbst 2026, ein Jahr vor der verpflichtenden Umsetzung des CRA, veröffentlicht werden. Der Großteil der Vorbereitungsarbeiten muss in den nächsten 10 Monaten erfolgen.
Nach den Präsentationen folgte eine Fragerunde, in der die Teilnehmer:innen ihre Fragen direkt an die Kommissionsvertreter richten konnten. Dabei ging es einerseits um sehr spezifische Fragen zu den Geschäftsmodellen der Unternehmen im Zusammenhang mit dem CRA, und andererseits um allgemeinere Fragen, die sich auf den Unterstützungszeitraum, die Kategorie der kritischen Produkte und den Zeitplan für die Anwendung der CRA bezogen.
Der CRA wurde im Oktober 2024 von allen europäischen Institutionen genehmigt, der finale Text wird in den kommenden Wochen im Amtsblatt der EU veröffentlicht. Die Verordnung wird 36 Monate nach der Veröffentlichung in Kraft treten. Allerdings gelten bestimmte Regelungen bereits früher: So tritt Artikel 14 (Meldepflichten der Hersteller) bereits nach 21 Monaten in Kraft und Kapitel IV (Notifizierung von Konformitätsbewertungsstellen) gilt bereits nach 18 Monaten.
