Was ist der Cyber Resilience Act (CRA)?

Der Cyber Resilience Act stellt den umfassenden Ansatz der Europäischen Union dar, um den wachsenden Cybersicherheitsrisiken im Bereich digitaler Produkte zu begegnen. Die Gesetzgebung wurde 2022 von der Europäischen Kommission vorgeschlagen und verfolgt das Ziel, einen einheitlichen Rechtsrahmen zur Gewährleistung der Sicherheit vernetzter Produkte und zugehöriger Dienstleistungen im gesamten EU-Binnenmarkt zu schaffen.

Im Kern adressiert der CRA wesentliche Sicherheitslücken in Hard- und Softwareprodukten, einschließlich eigenständiger sowie eingebetteter Komponenten. Die Initiative entstand vor dem Hintergrund einer zunehmenden Zahl von Cyberangriffen auf vernetzte Geräte und der Erkenntnis, dass freiwillige Sicherheitsmaßnahmen nicht ausreichen, um kritische Infrastrukturen und industrielle Systeme wirksam zu schützen.

Der Anwendungsbereich des Gesetzes erstreckt sich auf nahezu alle digitalen Produkte mit direkter oder indirekter Anbindung an Netzwerke oder IT-Umgebungen. Dazu zählen eingebettete Software, eigenständige Anwendungen sowie IoT-Geräte sowohl im Verbraucher- als auch im Industriesektor. Produkte, die als „kritisch“ eingestuft werden, unterliegen strengeren Anforderungen als Standardprodukte.

Die Umsetzung des CRA erfolgt stufenweise. Wesentliche Verpflichtungen treten etwa 24 Monate nach Inkrafttreten in Kraft. Für Hersteller bedeutet dies ein begrenztes Zeitfenster, um Sicherheitsarchitekturen, Entwicklungsprozesse und Dokumentationspraktiken umfassend zu überprüfen und rechtzeitig vor Beginn der Marktüberwachung die vollständige Konformität sicherzustellen.