Worum geht es?
Mit dem Cyber Resilience Act plant die EU neue Anforderungen an die Cybersicherheit für Produkte mit digitalen Komponenten. Dies geschieht vor dem Hintergrund der zunehmenden Bedeutung vernetzter Geräte und Services sowohl im geschäftlichen als auch im privaten Bereich.
Die Verabschiedung des Gesetzentwurfs wird für Mitte 2024 erwartet und soll nach einer Übergangsfrist von 36 Monaten vollständig in Kraft treten. Angesichts der Produktentwicklungszyklen sollten betroffene Unternehmen bereits jetzt Maßnahmen ergreifen: Viele Angebote, die derzeit in der Entwicklung sind, werden bis zu ihrem Marktstart die Konformität mit dem Cyber Resilience Act nachweisen müssen.
Es liegt in der Verantwortung der Hersteller und Händler, sich mit der Kategorisierung und Überprüfung ihres Portfolios frühzeitig zu befassen. Durch die frühzeitige Auseinandersetzung mit den neuen Anforderungen können Sie sich einen Schritt voraus positionieren und wertvolle Zeit für die Umsetzung der erforderlichen Maßnahmen sichern.
Wir unterstützen Sie gerne!
Die Pflichten der Hersteller und Händler
Der Cyber Resilience Act (CRA) beinhaltet Produkte mit digitalen Bestandteilen, die darauf ausgelegt sind, eine direkte oder indirekte Datenverbindung mit anderen Geräten oder Netzwerken herzustellen. Dies kann sowohl Software als auch Hardware umfassen. Die Anwendbarkeit des Gesetzes hängt insbesondere von der grundlegenden Fähigkeit eines Produkts zur Kommunikation mit anderen Produkten oder Komponenten ab.
Die spezifischen Anforderungen an Unternehmen variieren je nach Klassifizierung ihrer Produkte.
- Die "Standardkategorie" umfasst 90% der IT-Produkte mit grundlegender Sicherheitsrelevanz, wie beispielsweise alltägliche Verbraucherelektronik, Fotoverarbeitungsprodukte, intelligentes Spielzeug, Fernsehgeräte oder Kühlschränke.
- Produkte der "kritischen Klasse 1", wie Netzwerk-Firewalls oder Datenverschlüsselungssoftware, spielen eine wichtigere Rolle in der Sicherheitsinfrastruktur und unterliegen strengeren Anforderungen.
- Produkte der "sehr kritischen Klasse 2", die in industriellen Kontexten eingesetzt werden, erfordern zwingend eine externe Prüfung ihrer Sicherheitsstandards.
Sofern die Produkte einer der genannten Kategorien angehören, müssen Unternehmen sicherstellen, dass sie während des gesamten Lebenszyklus ein hohes Niveau an Cybersicherheit gewährleisten. Dies erfordert die Integration des Sicherheitsaspekts in den Entwicklungsprozess neuer Produkte (Security-by-Design) von Beginn an.
Zudem müssen potenzielle Risiken umfassend dokumentiert und Schwachstellen innerhalb von 24 Stunden gemeldet werden. Hersteller tragen die Verantwortung, Sicherheitslücken über mindestens fünf Jahre oder während der erwarteten Lebensdauer eines Produkts zu identifizieren, zu beheben und entsprechende Sicherheits-Updates bereitzustellen.
Angesichts dieses umfassenden Pflichtkatalogs müssen betroffene Unternehmen bereits jetzt mit der Bewältigung der regulatorischen Anforderungen beginnen. Wer den Zeitpuffer bis zum Inkrafttreten des Cyber Resilience Act versäumt, riskiert im Falle eines Verstoßes empfindliche Geldbußen von bis zu 15 Mio. EUR oder 2,5% des weltweiten Jahresumsatzes, sowie Rückrufaktionen und aufwendige Nachbesserungen. Auch die Verweigerung der CE-Kennzeichnung für neue Produkte ist möglich.
Daher ist es ratsam, Produkte bereits jetzt entsprechend der Regulierung zu prüfen, Risiko-Assessments durchzuführen und die erforderliche Dokumentation für den Nachweis der Konformität zu erstellen.
Kontakt
