In einer Zeit, in der nahezu jedes Objekt um uns herum — von Spielzeug und Haushaltsgeräten bis hin zu komplexen Industriesystemen — mit dem Internet verbunden ist, ist Cybersicherheit zu einer grundlegenden Notwendigkeit geworden. Um auf zunehmend häufige Schwachstellen zu reagieren, hat die Europäische Union den Cyber Resilience Act (CRA) eingeführt, den ersten Rechtsrahmen dieser Art, der verbindliche Sicherheitsstandards für Produkte mit digitalen Komponenten vorschreibt.
Bislang wurden viele Software- und Hardwareprodukte mit erheblichen Sicherheitslücken auf den Markt gebracht, wodurch Angreifer einfache Einstiegspunkte in Netzwerke von Nutzern erhielten. Darüber hinaus wurden Verbraucher häufig kurz nach dem Kauf ohne technischen Support oder Sicherheitsupdates zurückgelassen. Der CRA soll diese Mängel beheben, indem er die Verantwortung vom Endnutzer auf den Hersteller verlagert.
Der Rechtsakt gilt für alle Produkte, die direkt oder indirekt mit einem anderen Gerät oder einem Netzwerk verbunden sind. Dazu gehören:
Hardware: Von Computern und Smartphones bis hin zu IoT-Sensoren und Smart-Home-Geräten.
Software: Verschiedene Programme und Anwendungen, die nicht bereits durch spezifische Vorschriften geregelt sind (z. B. medizinische oder Luftfahrtsoftware).
Produkte, die bereits durch strenge sektorale Rechtsvorschriften geregelt sind, wie Medizinprodukte, Fahrzeuge oder Produkte der nationalen Sicherheit, sind ausgenommen.
Nach der neuen Gesetzgebung müssen Unternehmen, die ihre Produkte im europäischen Binnenmarkt verkaufen wollen, mehrere grundlegende Prinzipien einhalten:
Security by Design: Produkte müssen von Anfang an mit einem hohen Maß an Cybersicherheit entwickelt und hergestellt werden.
Schwachstellenmanagement: Hersteller sind verpflichtet, Sicherheitslücken während des gesamten Produktlebenszyklus zu überwachen und zu beheben.
Verpflichtende Updates: Sicherheitsupdates müssen für einen Mindestzeitraum (in der Regel 5 Jahre oder die erwartete Lebensdauer des Produkts) bereitgestellt werden.
Transparenz: Nutzer müssen klare Anweisungen zur sicheren Konfiguration und Nutzung erhalten.
Ein zentrales Element des CRA ist die CE-Kennzeichnung. Sie dient als Nachweis, dass ein Produkt die wesentlichen EU-Anforderungen an Cybersicherheit erfüllt. Je nach Risikoklasse des Produkts erfolgt die Konformitätsbewertung entweder durch Selbsterklärung des Herstellers oder durch unabhängige Drittprüfungen für kritische Kategorien.
Nach vollständiger Umsetzung wird der Cyber Resilience Act die durch Cybervorfälle verursachten Kosten erheblich reduzieren, die auf Milliarden Euro jährlich geschätzt werden. Für Verbraucher bedeutet dies zuverlässigere Produkte, während für Unternehmen ein fairer Wettbewerb und eine gestärkte Marktposition auf globaler Ebene geschaffen werden.
Vollständigen Artikel lesen
Weitere Informationen zu den Gesetzgebungsphasen und technischen Anhängen finden Sie auf der offiziellen Seite der Europäischen Kommission:
https://digital-strategy.ec.europa.eu/de/policies/cyber-resilience-act
