… „ besser „UIMCommunic@tion: praxisnah gut informiert“

Cyber Resilience Act in Kraft

Cyber Resilience Act

CE-Kennzeichen sorgt für mehr Transparenz in der Sicherheit

Mit dem Inkrafttreten des Cyber Resilience Act (CRA) am 18. November 2024 hat die Europäische Union einen bedeutenden Schritt zur Verbesserung der Cybersicherheit von „Produkten mit digitalen Elementen“ unternommen. Die Verordnung legt erstmals einheitliche Mindeststandards für vernetzte Geräte und Software fest, die auf dem EU-Markt erhältlich sind. Der Cyber Resilience Act setzt neue Maßstäbe für die Sicherheit digitaler Produkte in Europa. Unternehmen stehen nun vor der Herausforderung, diese Standards zeitnah und effizient zu erfüllen, um weiterhin auf dem EU-Markt agieren zu können. Was bedeutet der CRA konkret für Unternehmen? Welche Produkte fallen unter die neue EU-Verordnung?

Was ist der Cyber Resilience Act?

Der CRA verpflichtet Hersteller, Produkte so zu konzipieren, dass sie ein angemessenes Niveau an Cybersicherheit gewährleisten. Alle Produkte mit digitalen Elementen müssen ein Mindestmaß an Cybersicherheit erfüllen. Dies umfasst unter anderem den Schutz vor unbefugtem Zugriff, die Wahrung der Vertraulichkeit und Integrität von Daten, sowie die Bereitstellung automatischer, kostenloser Sicherheitsupdates. Sämtliche Produkte, die „digitale Elemente“ enthalten, werden von der Verordnung berührt. Dies sind beispielsweise Smartphones, Laptops, Smart Home Produkte, Smartwatches, vernetztes Spielzeug, aber auch Mikroprozessoren, Firewalls und intelligente Energie- und Wasserzähler.

Da es sich um eine Verordnung handelt, muss diese (anders als bei der NIS2-Richtlinie) wie die Datenschutz-Grundverordnung nicht in nationales Recht umgesetzt werden und gilt unmittelbar.

Welche konkreten Auswirkungen hat die neue gesetzliche Regelung auf Hersteller?

Für Unternehmen bedeutet der Cyber Resilience Act eine tiefgreifende Anpassung bestehender Entwicklungs- und Produktionsprozesse. Hersteller von IT-Produkten und Software müssen ihre Systeme künftig regelmäßigen Sicherheitsprüfungen unterziehen, eine umfassende Dokumentation zur Cybersicherheit bereitstellen und langfristige Sicherheitsupdates garantieren. Besonders mittelständische Unternehmen stehen vor der Herausforderung, die teils komplexen Anforderungen in bestehende Workflows zu integrieren, ohne ihre Agilität zu verlieren. Gleichzeitig betrifft die neue Verordnung nicht nur Hersteller, sondern auch Importeure und Händler, die sicherstellen müssen, dass ihre Produkte den neuen Vorschriften entsprechen.

Die Einhaltung des Cyber Resilience Act ist nicht nur eine regulatorische Pflicht, sondern bietet auch die Chance, das Vertrauen der Kunden in digitale Produkte zu stärken. Durch proaktive Maßnahmen können Unternehmen ihre Marktposition festigen und sich als Vorreiter in Sachen Cybersicherheit positionieren.

Was bedeutet der Cyber Resilience Act für Anwender?

Unternehmen können künftig (wie natürlich auch private Anwender) anhand des CE-Zeichen erkennen, ob das Produkt die Anforderungen an ein sicheres Produkt erfüllt. Dies gilt sowohl bei Hard- als auch Software und bietet damit Orientierung bei der Auswahl von sicherer Produkte. Es sollte in Zukunft kein Produkt mehr beschafft werden, welches kein CE-Zeichen hat.

Wann tritt der Cyber Resilience Act in Kraft?

Grundsätzlich gibt es eine Übergangsfrist in verschiedenen Etappen:

  • Mai 2026: Die Konformitätsbewertungsstellen sind ermächtigt, die Konformität von Produkten mit den Anforderungen des CRA zu bewerten.
  • August 2026: Die Hersteller von vernetzten Produkten unterliegen der Meldepflicht für Schwachstellen und Vorfälle.
  • November 2027: Alle CRA-Anforderungen gelten, einschließlich der Einhaltung der grundlegenden Cybersicherheitsanforderungen vor dem Inverkehrbringen eines Produkts, der Behandlung von Schwachstellen während des gesamten Lebenszyklus des Produkts und der Transparenz gegenüber den Nutzern.

Es dauert demnach noch ein wenig, bis digitale Produkte nur noch mit einem CE-Kennzeichen auf den Markt kommen dürfen. Dennoch tun Unternehmen gut daran, bei der Beschaffung von Hard- und Software schon heute sehr gewissenhaft die Sicherheit zu prüfen und nicht auf das CE-Zeichen zu warten.

Mehr beiträge

Ihr Ansprechpartner

Dr. Jörn Vossbein

Dr. Jörn Voßbein

Telefon: 0202 / 9467726-200

Newsletter:

Der Informationsservice der UIMC-Gruppe

Hierin werden wir über aktuelle und interessante Themen berichten und Ihnen Tipps geben, wie Sie bestimmten Risiken entgegenwirken können. Ferner werden wir Sie über interessante Veranstaltungen, nicht nur UIMC-eigene, und sonstige Termine informieren.
Wenn Sie diesen Service auch nutzen möchten, um regelmäßig aktuelle Informationen proaktiv zu erhalten, dann können Sie den UIMCommunication-Info-Brief auch abonnieren.

Tipps und Infos, die zu Ihnen kommen

Tipps und Infos, die zu Ihnen kommen

Info-Brief:

Der Informationsservice der UIMC-Gruppe

Hierin werden wir über aktuelle und interessante Themen berichten und Ihnen Tipps geben, wie Sie bestimmten Risiken entgegenwirken können. Ferner werden wir Sie über interessante Veranstaltungen, nicht nur UIMC-eigene, und sonstige Termine informieren.
Wenn Sie diesen Service auch nutzen möchten, um regelmäßig aktuelle Informationen proaktiv zu erhalten, dann können Sie den UIMCommunication-Info-Brief auch abonnieren.