Mit dem Cyber Resilience Act (CRA) (deutsch: Cyberresilienz-Verordnung) hat sich der europäische Gesetzgeber wieder einmal eine neue und darüber hinaus ziemlich komplexe Verordnung einfallen lassen, die wir als Unternehmen zwingend einhalten und bis Ende 2027 in die Praxis umsetzen müssen.
Hierzu liefert die Google-KI folgende Zusammenfassung der wichtigsten Fakten im Überblick:
Cyber Resilience Act ist eine EU-Verordnung, die erstmals verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt.
- Ziel: Erhöhung der Sicherheit vernetzter Produkte über deren gesamten Lebenszyklus hinweg sowie mehr Transparenz für Verbraucher.
- Anwendungsbereich: Erfasst nahezu alle Produkte mit digitalen Funktionen, die direkt oder indirekt mit einem Netzwerk verbunden sind (z. B. Smart-Home-Geräte, Smartphones, Betriebssysteme, industrielle Steuerungen).
- Secure by Design & Default: Hersteller müssen Sicherheit bereits bei der Entwicklung mitdenken und Produkte (Hard- und Software) mit sicheren Standardeinstellungen ausliefern.
- Support & Updates: Hersteller sind verpflichtet, über einen Zeitraum von in der Regel fünf Jahren (oder der voraussichtlichen Lebensdauer) Sicherheitsupdates bereitzustellen.
- Konformität: Nur CRA-konforme Produkte erhalten ein CE-Kennzeichen.
- Zeitplan und Umsetzung: Per 11. Dezember 2027 vollständige Geltung aller Anforderungen. Ab diesem Datum dürfen nur noch CRA-konforme Produkte neu in den Verkehr gebracht werden.
- Situation in Deutschland: In Deutschland fungiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) als zuständige Marktüberwachungsbehörde. Bei Verstößen drohen Bußgelder von bis zu 15 Mio. Euro oder 2,5 % des weltweiten Jahresumsatzes.
Einen schönen Tag wünscht
das Team der Engineering Group
