News

Nachbericht: Der Cyber Resilience Act der EU in der Elektro- und Elektronikindustrie

Die Europäische Union finalisiert derzeit den Cyber Resilience Act (CRA), der die Cybersicherheit für Hard- und Softwareprodukte verbessern soll. Der FEEI hat dazu ein Webinar veranstaltet, die wichtigsten Punkte daraus sind hier zusammengefasst

Patrik Fritz, MA

Digitalisierung

fritz@feei.at
+43/1/588 39-39

Am 18. Oktober organisierte der FEEI ein Webinar zum „Cyber Resilience Act (CRA) – Herausforderungen und Lösungen für EEI-Unternehmen“. Der CRA legt horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen fest und zielt darauf ab, gemeinsame Cybersicherheitsstandards für vernetzte Geräte festzulegen. Die Experten Tommaso Bernabò und Filipe Jones Mourão, beide Policy Officers bei der DG CONNECT der Europäischen Kommission, stellten in der Veranstaltung die Schlüsselelemente des CRA vor und skizzierten die Standardisierungsaktivitäten, die zur Vorbereitung auf den CRA entwickelt werden.

Die Experten erläuterten zunächst die Hauptaspekte des CRA: die Festlegung von Cybersicherheitsregeln für das Inverkehrbringen von Hard- und Softwareprodukten; die damit verbundenen Verpflichtungen für Hersteller, Händler und Importeure; die grundlegenden Cybersicherheitsanforderungen, die für den gesamten Lebenszyklus von Produkten gelten; die Entwicklung harmonisierter Normen; die risikobasierte Differenzierung der Konformitätsbewertung für Produkte; die Art und Weise, wie im CRA Meldepflichten vorgeschrieben werden; und die Einrichtung einer Marktüberwachung und Durchsetzung. Weiters erklärten die zwei Vortragenden, dass in der Regel jeder, der ein Endprodukt oder eine Komponente in Verkehr bringt, die grundlegenden Anforderungen erfüllen, eine Konformitätsbewertung durchführen und die CE-Kennzeichnung anbringen muss. Zu den Pflichten der Hersteller gehören, die grundlegenden Anforderungen an die Cybersicherheit und die Behandlung von Schwachstellen des Produkts zu erfüllen.

Aktuell schreitet die Standardisierungsarbeit zur Vorbereitung auf den CRA bei CEN-CENELEC voran. Die Normen bauen auf den bestehenden internationalen Normen und der Arbeit für die „Radio Equipment Directive Delegierte Verordnung“ auf. Diese Normen sollen im Herbst 2026, ein Jahr vor der verpflichtenden Umsetzung des CRA, veröffentlicht werden. Der Großteil der Vorbereitungsarbeiten muss in den nächsten 10 Monaten erfolgen.

Nach den Präsentationen folgte eine Fragerunde, in der die Teilnehmer:innen ihre Fragen direkt an die Kommissionsvertreter richten konnten. Dabei ging es einerseits um sehr spezifische Fragen zu den Geschäftsmodellen der Unternehmen im Zusammenhang mit dem CRA, und andererseits um allgemeinere Fragen, die sich auf den Unterstützungszeitraum, die Kategorie der kritischen Produkte und den Zeitplan für die Anwendung der CRA bezogen.

Der CRA wurde im Oktober 2024 von allen europäischen Institutionen genehmigt, der finale Text wird in den kommenden Wochen im Amtsblatt der EU veröffentlicht. Die Verordnung wird 36 Monate nach der Veröffentlichung in Kraft treten. Allerdings gelten bestimmte Regelungen bereits früher: So tritt Artikel 14 (Meldepflichten der Hersteller) bereits nach 21 Monaten in Kraft und Kapitel IV (Notifizierung von Konformitätsbewertungsstellen) gilt bereits nach 18 Monaten.

Weitere Artikel

Digitalisierung

NIS2 Webinar – Nachbericht

Digitalisierung

Cyber Resilience Act wurde im Amtsblatt veröffentlicht

Digitalisierung

NIS2-Durchführungsverordnung im Amtsblatt der EU veröffentlicht

Digitalisierung

Der Cyber Resilience Act der EU in der Elektro- und Elektronikindustrie

Digitalisierung

AI Act (KI-Verordnung) im EU-Amtsblatt veröffentlicht

Digitalisierung

Webinar: Die Zukunft der KI-Regulierung: Der AI Act im Fokus

Digitalisierung

Neue FEEI-Bedingungen ab sofort verfügbar

Digitalisierung

Sicherheit im Digitalen Zeitalter: NIS 2 und Cyber Resilience Act (CRA)

Digitalisierung

Standardisierung und Normung