Mobile-Menu

Cybersicherheit für Produkte und Anwendungen EU verabschiedet Cyber Resilience Act – Was Sie jetzt wissen müssen

Von Melanie Staudacher 3 min Lesedauer

Anbieter zum Thema

BSI Bundesamt f. Sicherheit in der Informationstechnik
Fsas Technologies GmbH
FAST LTA GmbH
FTAPI Software GmbH

Der EU-Rat hat den Cyber Resilience Act verabschiedet. Die wichtigsten Informationen und Antworten zum neuen Beschluss, der die Cyber­sicherheit von Hard- und Software in der EU sicherstellen soll, lesen Sie hier.

Der Cyber Resilience Act betrifft alle vernetzten Geräte, die in der EU verkauft werden. Wer sich nicht an die Anforderungen hält, muss mit Sanktionen rechnen.(Bild: Dall-E / KI-generiert)
Der Cyber Resilience Act betrifft alle vernetzten Geräte, die in der EU verkauft werden. Wer sich nicht an die Anforderungen hält, muss mit Sanktionen rechnen.
(Bild: Dall-E / KI-generiert)

Am 10. Oktober 2024 hat der Rat der EU-Innenministerinnen und Innenminister in Brüssel den Cyber Resilience Act (CRA) verabschiedet. Der CRA ist die erste europäische Verordnung, die eine verbindliche Mindestanforderung an die Cybersicherheit für vernetzte Produkte vorgibt. Betroffen sind Anwendungen und Produkte, die auf dem EU-Markt erhältlich sind. Das Ziel des CRA ist es, die Cybersicherheit in der Europäischen Union zu erhöhen.

Bundesinnenministerin Nancy Faeser (SPD) sagte: „Vernetzte Produkte erleichtern unseren Alltag, können aber auch von Kriminellen ausgenutzt werden. Deshalb müssen sie sicher sein.“ Man müsse sich darauf verlassen können, dass ein vernetztes Gerät, das man bei sich trägt oder zu Hause hat, kein Sicherheitsrisiko ist.

Wann tritt der Cyber Resilience Act in Kraft?

Der EU-Rat hat am 10. Oktober 2024 den CRA verabschiedet. Nach der Veröffentlichung des Gesetzestextes im Europäischen Amtsblatt am 21. November 2024 tritt der CRA am 11. Dezember 2024 in Kraft. Ab November 2027 müssen Unternehmen Produkte, die digitale Elemente enthalten, an die Cybersicherheitsanforderungen anpassen. Ansonsten dürfen sie sie nicht in der EU verkaufen. Andere Verpflichtungen des CRA, wie die Meldepflicht der Hersteller bei Kenntnis von ausgenutzten Sicherheitslücken, gelten bereits ab August 2026.

Welche Produkte fallen unter den CRA?

Zu den Produkten, die künftig die Anforderungen des CRA erfüllen müssen, gehören alle vernetzten Geräte.

Dazu gehören

  • industrielle Hardware und Software wie IoT-Geräte, PLCs und Sensoren,
  • Software-Produkte wie Desktop-, Web- und mobile Applikationen sowie Betriebssysteme und
  • Software- und Hardware-Produkte für die private Nutzung wie Smart-Home-Geräte und mobile Endgeräte.

Welche Pflichten ergeben sich aus dem CRA?

Der CRA nimmt alle beteiligten Wirtschaftsakteure in die Pflicht: Hersteller, Importbetriebe und Handel. Sie müssen künftig sicherstellen, dass die von ihnen vertriebenen Produkte den Cybersicherheitsanforderungen genügen und entsprechend ausgewiesen sind. Darüber hinaus werden mit dem CRA den Beteiligten weitreichende Informations-, Transparenz- und Aufklärungspflichten auferlegt. Hersteller müssen außerdem die Agentur der Europäischen Union für Cybersicherheit (ENISA)

innerhalb von 24 Stunden über IT-Schwachstellen und Cybervorfälle informieren. Innerhalb von 72 Stunden müssen weitere Details zur Art der Sicherheitslücke und mögliche Gegenmaßnahmen folgen. Natürlich müssen die Anbieter auch regelmäßig Sicherheitsupdates veröffentlichen.

Was passiert bei Nichteinhaltung des CRA?

Wer sich nicht an die Anforderungen des CRA hält, muss mit Sanktionen rechnen. Je nach EU-Mitgliedstaat und Schwere des Verstoßes können diese variieren. Grundsätzlich kann eine Nichteinhaltung zu hohen Geldstrafen führen: Bis zu 15 Millionen Euro oder bis zu 2,5 Prozent des gesamten jährlichen Umsatzes, je nachdem, welcher Betrag höher ist.

Weitere Konsequenzen können sein:

  • Aussetzung der Marktzulassung: Produkte, die nicht den Anforderungen des CRA entsprechen, müssen eine Einschränkung ihrer Marktzulassung befürchten.
  • Rückruf von Produkten: Bei schwerwiegenden Sicherheitsmängeln könnten einzelne Produkte zurückgerufen werden.
  • Schadensersatz: Unternehmen können zur Zahlung von Schadensersatz an Verbraucher oder andere Unternehmen verpflichtet werden, wenn durch das Nichteinhalten des CRA ein Schaden entstanden ist.
  • Strafverfahren: In schweren Fällen können Strafverfahren gegen die Verantwortlichen eingeleitet werden.
  • Reputationsschäden: Verstöße gegen den CRA können zu erheblichen Reputationsschäden führen. Diese können sich negativ auf Kundenbeziehungen auswirken.

Erkennung mit CE-Kennzeichen

Ausgewiesen werden die Produkte mit dem bereits vertrauen CE-Kennzeichens. Verbraucher können daran künftig erkennen, dass ein vernetztes Gerät die Anforderungen des CRA erfüllt.

Dem Bundesministerium des Inneren und für Heimat zufolge, ist die deutsche Wirtschaft gut auf die neuen Regelungen vorbereitet. Die Hersteller können sich mit dem IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) schon jetzt die Einhaltung der Cybersicherheitsanforderungen freiwillig auszeichnen lassen.

(ID:50199915)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Weiterführende Inhalte