Das EU-Parlament hat den Cyber Resilience Act (CRA) verabschiedet, ein wegweisendes Gesetz, das umfassende Sicherheitsanforderungen für Produkte mit digitalen Elementen festlegt. Diese bedeutende Entwicklung folgt auf die Einführung von NIS-2 und unterstreicht das Bestreben der EU, die Cybersicherheit zu stärken und den digitalen Binnenmarkt zu schützen.
Die Bedeutung des Cyber Resilience Act
Der Cyber Resilience Act (CRA) ist ein Meilenstein in der europäischen Cybersicherheitsgesetzgebung und zielt darauf ab, die Sicherheitsstandards für eine breite Palette von Produkten mit digitalen Komponenten zu erhöhen. Er ergänzt die Bestimmungen von NIS-2, das hauptsächlich auf die Betriebssicherheit abzielt, und stellt sicher, dass Cybersicherheit von Produkten nun eine zentrale Anforderung für Unternehmen ist, die im EU-Binnenmarkt tätig sind.
Anwendungsbereich und Zuständigkeiten
Der CRA gilt unmittelbar in allen EU-Mitgliedstaaten, ohne dass nationale Umsetzungsmaßnahmen erforderlich sind. Diese Verordnung betrifft eine Vielzahl von Produkten, darunter Software, Hardware und Cloud-Lösungen, die eine Verbindung zu einem Netzwerk herstellen können. Es wird diskutiert, welche Behörde in Deutschland für die Überwachung der CRA-Vorschriften zuständig sein wird, wobei das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Bundesnetzagentur (BNetzA) als potenzielle Kandidaten betrachtet werden.
Security by Design und kontinuierliche Compliance
Eine bedeutende Neuerung des CRA ist die Einführung des Prinzips „Security by Design“ im europäischen Recht für technische Produkte. Dies bedeutet, dass Unternehmen nicht nur bei der Markteinführung, sondern während des gesamten Produktlebenszyklus eine fortlaufende Risikobewertung durchführen müssen. Der CRA schafft auch Verbindungen zu anderen EU-Rechtsvorschriften wie dem künftigen AI Act, insbesondere im Hinblick auf Hochrisiko-KI-Systeme.
Verbesserungen für Open Source und Pflichten der Unternehmen
Nach erheblicher Kritik aus der Open-Source-Community wurden umfassende Änderungen vorgenommen, um das Open-Source-Ökosystem zu schützen. Dennoch müssen Entwickler die Bestimmungen für „Open-Source Software Stewards“ und das Schwachstellenmanagement für Open-Source-Komponenten beachten. Der CRA legt Verpflichtungen für Hersteller, Importeure und Händler fest und betont die Bedeutung der digitalen Lieferkette als Schutzinstrument für den EU-Binnenmarkt. Unternehmen müssen Risikobewertungen durchführen und Cybersicherheitsrisiken sowie Sicherheitslücken melden und entsprechende Patches bereitstellen.
Bußgelder und Umsetzungszeitraum
Verstöße gegen den CRA können zu empfindlichen Bußgeldern führen, die bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes des betreffenden Unternehmens betragen können. Die Umsetzungsfrist für betroffene Akteure beträgt in der Regel 36 Monate nach Inkrafttreten des CRA.
Fazit
Der Cyber Resilience Act markiert einen bedeutenden Schritt der EU im Bereich der Cybersicherheit und unterstreicht die Notwendigkeit eines umfassenden Schutzes digitaler Produkte im Binnenmarkt. Durch die Einführung strengerer Sicherheitsstandards und die Betonung von „Security by Design“ setzt die EU ein starkes Signal für die Zukunft der digitalen Sicherheit. Es liegt nun an den Unternehmen, sich auf die neuen Anforderungen einzustellen und ihre Produkte entsprechend anzupassen, um ein Höchstmaß an Cyberresilienz zu gewährleisten.