Cyber Resilience Act (CRA): Das Wichtigste in Kürze

Am 10.10.2024 hat der Rat der EU-Innenminister:innen den Cyber Resilience Act (CRA) beschlossen. Damit kommen auf Hersteller von vernetzten Geräten zukünftig neue Mindestanforderungen in Sachen Cybersicherheit zu. Wir haben das Wichtigste rund um den CRA für Sie zusammengefasst.

Was ist der Cyber Resilience Act (CRA)?

Der Cyber Resilience Act (CRA) legt verbindliche Anforderungen an die Cybersicherheit von vernetzten Geräten fest, die innerhalb der EU in Verkehr gebracht werden. Sein Ziel: Einen einheitlichen Sicherheitsstandard für digitale Hardware- und Softwareprodukte auf dem europäischen Markt zu schaffen.
 

Wer ist betroffen?

Vom CRA betroffen sind Hersteller oder Entwickler vernetzter digitaler Geräte. Diese werden mit dem CRA dazu verpflichtet, über den gesamten Lebenszyklus eines Gerätes für dessen sichere Funktion zu sorgen. Nur wenige Produktarten sind dagegen vom CRA ausgenommen. Darunter z. B. nicht-kommerzielle Open-Source-Softwareprodukte. 
 

Was bringt der CRA mit sich?

Der CRA enthält neue Mindestanforderungen an die Sicherheit von vernetzten Geräten. So müssen in Zukunft alle vernetzten Produkte, die innerhalb der EU auf den Markt gebracht werden, das CE-Kennzeichen tragen. Dies belegt sichtbar nach außen, dass das gekennzeichnete Produkt die Anforderungen des CRA erfüllt.
 

Anforderungen, die an Hersteller gestellt werden, sind unter anderem:

  • Berücksichtigung & Umsetzung von Cybersicherheit über den gesamten Produktlebenszyklus (Planung, Entwicklung, Produktion, Betrieb)
  • Dokumentation aller Cybersicherheitsrisiken
  • Meldung von Cybersicherheitsvorfällen sowohl an die ENISA als auch an betroffene Nutzer:innen
  • Sicherstellung, dass mögliche Schwachstellen über die erwartete Produktlebensdauer (maximal 5 Jahre) wirksam behandelt werden
  • Bereitstellung von Sicherheitsupdates für mindestens 5 Jahre 
  • Klare & verständliche Bedienungsanleitungen für Produkte mit digitalen Elementen

 

Wie ist der aktuelle Stand? 

Der CRA ist am 10.10.2024 durch den Rat der EU-Innenminister:innen beschlossen worden.

Vorgesehen ist eine Übergangsfrist von 3 Jahren. Spätestens nach Ablauf dieser Frist müssen Produkte, die auf dem EU-Markt vertrieben werden sollen, die neuen Cybersicherheitsanforderungen erfüllen und dies mit einem CE-Kennzeichen nach außen hin belegen.

Für die Meldepflichten (21 Monate) und die Konformitätsbewertung (18 Monate) gelten jedoch kürzere Fristen.

Diese Seite weiterempfehlen: