Vergangenen Dezember hatten sich alle Beteiligten auf die finale Fassung des Cyber Resilience Act (CRA) geeinigt, nun fand die neue Verordnung für digitale Produkte endgültige Zustimmung im EU-Rat und wird 20 Tage nach Veröffentlichung im Amtsblatt der EU in Kraft treten.

Nach einer Übergangszeit von drei Jahren werden Hersteller nach den Vorgaben des Cyber Resilience Act verpflichtet sein, für ihre neu auf den Markt gebrachten Produkte ein angemessenes Cybersicherheitsniveau für mindestens fünf Jahren zu gewährleisten. Produkte, die diese Anforderungen erfüllen, erhalten als Nachweis ihrer Sicherheit das CE-Logo. BSI-Präsidentin Claudia Plattner erkennt darin die Chance, das Vertrauen der Gesellschaft in die Digitalisierung zu stärken und sieht nicht nur bei Nutzern, sondern auch bei Herstellern der digitalen Produkte, deutliche Vorteile, da diese durch eine optimierte Cybersicherheit langfristig eine höhere Qualität bieten können.

EU plädiert an Eigenverantwortung der Hersteller

Vom Cyber Resilience Act werden sowohl Produkte mit digitaler Komponente erfasst, etwa smarte Haushaltsgeräte oder Spielzeuge mit digitalen Elementen, als auch gänzlich digitale Produkte wie Videospiele und andere Software. Explizit ausgenommen von der Regelung sind Entwickler von nicht-kommerzieller Open-Source-Software, was zunächst kritisch betrachtet wurde. Experten begrüßen jedoch, dass das neue Gesetz viel Raum für die Eigenverantwortung der Hersteller lässt, welche auch Open-Source-Anbietern zugetraut wird. Diese werden folglich zwar nicht gesetzlich angehalten, eine entsprechende Cybersicherheit zu gewährleisten, im Rahmen ihrer Eigenverantwortung sollte dies aber dennoch ein Ziel aller Anbieter sein.

Wir unterstützen unsere Kunden bei der Umsetzung der Anforderungen zum CRA bereits heute. Aufgrund der umfassenden Anforderungen sollten Unternehmen rechtzeitig auf den CRA vorbereitet sein. Sprechen Sie uns gerne an.