Cyber Resilience Act: Neue Standards für digitale Sicherheit in Europa

Am 10. Oktober nahm der Cyber Resilience Act (CRA) die entscheidende Hürde im Europäischen Rat – und setzt in Zukunft ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte auf dem europäischen Markt fest. Unter anderem regelt der CRA, dass Produkte ab der Entwicklungsphase und über den gesamten Lebenszyklus hinaus strenge Cybersicherheitsstandards erfüllen müssen. Nicht-konforme Unternehmen müssen mit Bußgeldern rechnen.

Die Digitalisierung und Globalisierung schreiten in rasantem Tempo voran, was auch die Bedrohungen im Bereich der Cybersicherheit verstärkt. Unternehmen und öffentliche Einrichtungen sind zunehmend Ziel von Cyberangriffen, während die Anzahl entdeckter Schwachstellen in Software stetig wächst. Allein im letzten Jahr wurden durchschnittlich über 2.000 neue Sicherheitslücken pro Monat gemeldet – ein Anstieg von 25 % im Vergleich zum Vorjahr, so das Bundesamt für Sicherheit in der Informationstechnik. Oftmals versäumen es Anbieter digitaler Produkte, diese Schwachstellen zeitnah zu beheben, oder sie lassen ihre Produkte von Anfang an ungeschützt.

Angesichts dieser Entwicklungen ist ein klarer, verbindlicher rechtlicher Rahmen unerlässlich. Der CRA setzt genau hier an: Er legt neue, verpflichtende Sicherheitsstandards für Produkte mit digitalen Elementen in Europa fest, um den Herausforderungen der digitalen Welt effektiv zu begegnen.

Von Mikrochips bis hin zur smarten Kaffeemaschine

Der CRA betrifft vom europäischen Hersteller, Importeur und Händler von Produkten mit digitalen Elementen eine ganze Bandbreite von Akteuren. Auch kleinere Unternehmen und öffentliche Einrichtungen sind nicht von den Anforderungen des CRAs ausgenommen, da keine Größenbeschränkungen gelten.

Ob Software oder Hardware: Mit dem Cyber Resilience Act gibt es erstmals verbindliche Sicherheitsanforderungen für alle vernetzten Geräte – das betrifft auch die hauseigene smarte Kaffeemaschine.

Security by Design

Der CRA verpflichtet Hersteller, Importeure und Händler, sicherzustellen, dass ihre Produkte die festgelegten Cybersecurity-Anforderungen erfüllen. Zu den Kernanforderungen gehören:

• Sicherheitsstandards: Produkte müssen bereits in der Entwicklungsphase unter dem Aspekt der Cybersicherheit konzipiert werden, um Sicherheitsrisiken zu minimieren.


• Regelmäßige Updates: Hersteller sind verpflichtet, Sicherheitsupdates über den gesamten Lebenszyklus des Produkts bereitzustellen und bekannte Schwachstellen zu beheben.


• Kennzeichnung: Produkte müssen mit dem CE-Kennzeichen versehen werden, das bestätigt, dass sie den Sicherheitsanforderungen entsprechen.


• Berichtspflichten: Unternehmen müssen ihre Berichterstattung gegenüber der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) verstärken und Sicherheitsvorfälle melden.

Zeitplan

Der CRA tritt 20 Tage nach Veröffentlichung im Amtsblatt der EU in Kraft. Innerhalb von drei Jahren müssen dann alle Produkte die CRA-Anforderungen erfüllen, um im europäischen Raum vertrieben werden zu können. Die voraussichtliche Zeitplanung sieht wie folgt aus:

• Mai 2026: Konformitätsbewertungsstellen (KBS) können Produkte nach CRA prüfen.


• August 2026: Meldepflichten für Schwachstellen und Sicherheitsvorfälle.


• November 2027: Alle CRA-Anforderungen sind verbindlich.

Zukunftssichere Cybersicherheit

n einer Zeit, in der unsere Daten zu den wertvollsten Gütern zählen, ist es unerlässlich, diese vor unbefugtem Zugriff zu schützen. Daher ist der CRA ein wichtiger und notwendiger Schritt zur Verbesserung der Cybersicherheit in Europa.

Die Einhaltung der neuen Sicherheitsstandards nicht nur eine rechtliche Verpflichtung, sondern auch eine strategische Chance, denn Investitionen in Cybersicherheit sind mehr als nur Compliance.

Darüber hinaus wird die Förderung von Cybersicherheit eine souveräne digitale Landschaft in Europa schaffen. Ein einheitliches Sicherheitsniveau fördert nicht nur den Wettbewerb unter den Unternehmen, sondern auch Innovation.