CRA
Cyber Resilience Act
Das Europaparlament hat am Dienstag, 12. März 2024 den Cyber Resiliance Act verabschiedet. Als letzter Schritt verbleibt nun lediglich die förmliche Annahme durch den Rat, bevor der CRA in Kraft tritt. Der CRA wird als europäische Verordnung unmittelbar anzuwendendes Recht, vergleichbar mit der Datenschutz-Grundverordnung.
Was ist der CRA?
Die Verordnung soll sicherstellen, dass Produkte mit digitalen Funktionen sicher in der Anwendung und widerstandsfähig gegen Cyber-Bedrohungen sind und ausreichende Informationen über ihre Sicherheitseigenschaften bieten.
Wer ist durch den CRA betroffen?
Der CRA führt EU-weite Sicherheitsanforderungen für die Gestaltung, Entwicklung, Herstellung und den Vertrieb von vernetzten Produkten ein. Überwachungskameras oder Smartspeaker – alle in der EU verkauften Produkte mit digitalen Elementen müssen künftig strengen Sicherheitsvorschriften entlang der gesamten Lieferkette und ihres Lebenszyklus entsprechen. Betroffen sind daher alle Unternehmen, die Produkte mit digitalen Elementen herstellen. Wichtig: KEINE Ausnahme für Klein- und Kleinstunternehmen!
Was bedeutet das für betroffene Unternehmen?
- Meldepflichten für Sicherheitslücken
- Risk Assessments bereits bei Planung von Produkten
- Hersteller müssen Konformitätsbescheinigungen für Produkte vorhalten
- Umfassender von der Kritikalität des Produkts abhängiger Pflichtenkatalog
- Bei Nichteinhaltung Bußgelder von bis zu 15 Mio. Euro oder 2,5 % des Umsatzes
Sinnvolle erste Schritte:
- Bestehende oder in der Planung befindliche Produkte mit digitalen Elementen identifizieren
- Zuordnung der Produkte zu den Kritikalitätsklassen des CRA.