Der Großteil alltäglicher Gebrauchsgegenstände wie Smartwatches, Fitnesstracker, Bluetooth-Kopfhörer, digitale Assistenten oder Smart Home Geräte enthält eine digitale Komponente. Hiermit geht ein Sicherheitsrisiko einher, da viele dieser Produkte ein unzureichendes Cybersicherheitsniveau aufweisen und Schwachstellen nicht durch regelmäßige Updates beseitigt werden. Hinzu kommt, dass die Nutzer dieser Produkte vielfach kaum in der Lage sind zu beurteilen, ob die Produkte sicher sind, bzw. wie sie eingerichtet werden können, um die Cybersicherheit zu erhöhen.
Handlungsempfehlungen zur Erhöhung der Cybersicherheit
Der Cyber Resilience Act (CRA) zielt als produktbezogene Cybersicherheitsregulierung daher darauf ab, Verbraucher und Unternehmen durch harmonisierte Vorschriften für die Markteinführung von Produkten mit einer digitalen Komponente zu schützen. Der CRA gilt für nahezu alle Produkte, die direkt oder indirekt mit einem anderen Gerät verbunden sind oder in einer vernetzten Umgebung zum Einsatz kommen.
Neben den Herstellern werden – wenn auch in unterschiedlichem Umfang – ferner Importeuren und Händlern vernetzter Produkte mit digitalen Komponenten verbindliche Cybersicherheitsanforderungen auferlegt.
Welche neuen Pflichten gelten für Hersteller?
- Hersteller von digitalen Produkten müssen künftig strenge Cybersicherheitsanforderungen einhalten: Planung und Entwicklung: Die Cybersicherheitsanforderungen des CRA sind bei der Planung, Gestaltung, Entwicklung und Wartung solcher Produkte und somit auf jeder Stufe der Wertschöpfungskette zu erfüllen.
- Updates und Support: Für die voraussichtliche Nutzungsdauer der Produkte (Lebenszyklus) sind Support und Sicherheitsupdates bereitzustellen.
- Konformitätserklärungen: Eine EU-Konformitätserklärung und CE-Kennzeichnung sind erforderlich, um die Einhaltung der Anforderungen zu belegen. Informationen: Bereitstellung von Informationen zur Cybersicherheit der Produkte gegenüber den Nutzern Meldepflichten: Neben den produktbezogenen Anforderungen gelten Meldepflichten bei Cybersicherheitsvorfällen. So sollen ausgenutzten Schwachstellen und schwerwiegenden Cybersicherheitsvorfällen von Herstellern innerhalb von 24 Stunden nach Kenntniserlangung über eine Meldeplattform abgeben werden.
Der Pflichtenkatalog des CRA erfordert, dass Hersteller interne Prozesse und Strukturen für ein effizientes Schwachstellenmanagement etablieren. So soll die fortlaufende Identifikation und Behebung von Sicherheitslücken über den Produkt-Lebenszyklus hinweg ermöglicht werden.
Welche Pflichten haben Händler und Importeure?
Händler müssen sicherstellen, dass die Produkte, die sie verkaufen, den Anforderungen des CRA entsprechen. Dazu gehört die Überprüfung der CE-Kennzeichnung und der Konformitätserklärung. Händler sollen in ihren Verträgen regeln, dass sie von den Herstellern die erforderlichen Informationen und Dokumentationen erhalten. Zudem kann auch Händler die Pflicht treffen, Risiken gegenüber den zuständigen Behörden und Händlern zu melden, wenn ihnen ein Produkt mit Cybersicherheitsrisiken bekannt wird.
Welche Fristen gelten für die Umsetzung des Cyber Resilience Acts?
Der CRA ist am 11. Dezember 2024 in Kraft getreten. Er löst für Hersteller, aber auch Händler und Importeure Handlungsbedarfe aus. Eine Übergangsfrist von 36 Monaten ist vorgesehen. Das bedeutet, dass erst ab Dezember 2027 jedes Produkt mit digitalen Elementen, das in der EU in Verkehr gebracht wird, die im CRA formulierten Cybersicherheitsanforderungen erfüllen muss. Herstellern ist empfohlen, diese Umsetzungsfrist im Rahmen ihrer Produktentwicklungsprozesse und zur Ausarbeitung technischer Spezifikationen effektiv zu nutzen. Bereits ab September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle im Zusammenhang mit ihren digitalen Produkten den zuständigen Behörden melden. Die Umsetzung des im CRA vorgesehenen umfangreichen Pflichtenkatalogs auf Seiten der Hersteller dürfte zudem einen erheblichen Aufwand auslösen. Parallel beabsichtigt die Europäische Kommission einen Normungsauftrag zu erteilen. Damit soll die europäische Normungsorganisationen technische Normen für viele der Produktkategorien entwickeln, die unter den CRA fallen. Diese Normsetzungsprozesse sollten Hersteller ebenfalls verfolgen, da ihnen dies die die Anwendung der grundlegenden Anforderungen erleichtern könnte.
Fazit: Warum Unternehmen jetzt handeln sollten
Der Cyber Resilience Act markiert einen Meilenstein für die Cybersicherheit in der EU. Mit verbindlichen Vorschriften für Hersteller, Händler und Importeure von digitalen Produkten soll die Sicherheit für Verbraucher und Unternehmen gleichermaßen gestärkt werden. Angesichts der Übergangsfristen ist es essenziell, frühzeitig mit der Umsetzung zu beginnen. So können Unternehmen den umfangreichen Anforderungen gerecht werden und wettbewerbsfähig bleiben.
Möchten Sie mehr darüber erfahren, wie Ihr Unternehmen die Anforderungen des Cyber Resilience Acts umsetzen kann? Kontaktieren Sie uns für eine Beratung oder informieren Sie sich auf unserer Webseite über praxisnahe Lösungen für Cybersicherheit und Compliance!
