Die Unternehmensberatung für Datenschutz, Audit und BCM
DSGVO konform und sicher

Cyber Resilience Act (CRA) – Mehr Cybersicherheit für digitale Produkte

 

Der Cyber Resilience Act (CRA) ist ein neues EU-Gesetz, das die Sicherheit von vernetzten und digitalen Produkten in der gesamten EU verbessern soll. Die Verordnung zielt darauf ab, Schwachstellen zu reduzieren, Sicherheitslücken schneller zu schließen und Hersteller in die Verantwortung zu nehmen. Der CRA wurde am 15. September 2022 von der EU-Kommission vorgestellt und soll ab 2025 verbindlich gelten. Hersteller haben eine Übergangsfrist, um ihre Produkte und Prozesse anzupassen.

In den letzten Jahren gab es immer mehr Cyberangriffe auf IoT-Geräte, Software und digitale Systeme. Unsichere Produkte können von Hackern missbraucht werden, um Netzwerke anzugreifen oder personenbezogene Daten zu stehlen.
Mit dem Cyber Resilience Act soll sichergestellt werden, dass digitale Produkte bereits bei der Entwicklung sicher gestaltet werden und auch nach dem Verkauf regelmäßige Sicherheitsupdates erhalten.

Der Cyber Resilience Act gilt für eine Vielzahl von Hard- und Software-Produkten, die in der EU verkauft werden. Dazu gehören:

  • IoT-Geräte (Smart-Home-Produkte, Überwachungskameras, vernetzte Haushaltsgeräte)
  • Betriebssysteme & Software (Browser, Messaging-Apps, Office-Programme)
  • Netzwerk- und Sicherheitslösungen (Firewalls, VPNs, Antivirensoftware)
  • Industrielle IT-Systeme (vernetzte Maschinen, Steuerungssysteme)


Der CRA richtet sich in erster Linie an Hersteller, Importeure und Händler von digitalen Produkten. Sie sind verpflichtet, die Sicherheit ihrer Produkte über den gesamten Lebenszyklus hinweg zu gewährleisten. Unternehmen müssen sicherstellen, dass ihre Produkte:

  • Keine bekannten Sicherheitslücken aufweisen
  • Regelmäßige Sicherheitsupdates erhalten
  • Transparente Informationen über Risiken bieten
  • Meldungen zu Schwachstellen innerhalb von 24 Stunden an die Behörden erfolgen


Welche Anforderungen stellt der Cyber Resilience Act?
Der CRA legt klare Regeln für den gesamten Lebenszyklus eines Produkts fest:
1. Sicherheitsanforderungen für Hersteller

  • "Security by Design": Produkte müssen bereits bei der Entwicklung sicher sein
  • Hersteller müssen Sicherheitsrisiken regelmäßig bewerten und beheben
  • Verpflichtung zur Bereitstellung von mindestens fünf Jahren Sicherheitsupdates

2. Meldepflicht für Sicherheitslücken

  • Hersteller müssen innerhalb von 24 Stunden Sicherheitslücken an die EU-Agentur für Cybersicherheit (ENISA) melden
  • Betroffene Produkte müssen schnellstmöglich mit Updates versorgt werden

3. Sanktionen bei Verstößen

  • Hohe Geldstrafen bei Nichteinhaltung: bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes
  • Produkte, die nicht den CRA-Anforderungen entsprechen, können vom Markt genommen werden


Was bedeutet der CRA für Verbraucher?
Für Verbraucher bedeutet der Cyber Resilience Act mehr Sicherheit beim Kauf von digitalen Produkten:

  • Mehr Schutz vor Cyberangriffen: Produkte sind sicherer und schwerer zu hacken
  • Transparente Sicherheitsinformationen: Hersteller müssen offenlegen, wie lange ein Produkt Sicherheitsupdates erhält
  • Regelmäßige Updates: Schutz vor neuen Bedrohungen auch nach dem Kauf



 


 



 
E-Mail
Anruf