Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die erstmals verbindliche Cybersicherheitsanforderungen für digitale Produkte in der Europäischen Union festlegt.
Ziel ist es, die Sicherheit von Hard- und Softwareprodukten zu erhöhen und Verbraucher sowie Unternehmen besser vor Cyberbedrohungen zu schützen.
Jedes Unternehmen, das Künstliche Intelligenz zum Einsatz bringt, wird sich auch mit dieser EU-Verordnung auseinander setzen müssen.
Hintergrund und Zielsetzung
Mit dem CRA reagiert die EU auf die zunehmende Vernetzung von Produkten und die damit verbundenen Sicherheitsrisiken. Die Verordnung soll sicherstellen, dass Produkte mit digitalen Elementen sicher entwickelt, hergestellt und gewartet werden. Sie ergänzt bestehende Regelwerke wie die Datenschutz-Grundverordnung (DSGVO) und die NIS-2-Richtlinie.
Anwendungsbereich
Der CRA gilt für alle Produkte mit digitalen Elementen, die direkt oder indirekt mit einem anderen Gerät oder Netzwerk verbunden werden können. Dazu zählen beispielsweise:
- Software und Hardware mit Netzwerkfähigkeit.
- Cloud-basierte Lösungen.
- Freie und Open-Source-Software, sofern sie in kommerziellen Produkten eingesetzt wird.
Ausgenommen sind unter anderem Medizinprodukte, Fahrzeuge, Produkte der Luft- und Raumfahrt sowie Verteidigungsgüter.
Anforderungen an Hersteller
Hersteller müssen künftig strenge Cybersicherheitsanforderungen einhalten, darunter:
- Sicherheitsanforderungen bereits bei der Planung, Gestaltung und Entwicklung der Produkte berücksichtigen.
- Regelmäßige Sicherheitsupdates und Patches während des gesamten Produktlebenszyklus bereitstellen.
- Meldung von aktiv ausgenutzten Schwachstellen innerhalb von 24 Stunden an die zuständigen Behörden.
- Bereitstellung einer EU-Konformitätserklärung und CE-Kennzeichnung.
Diese Maßnahmen sollen sicherstellen, dass Produkte ohne bekannte Sicherheitslücken auf den Markt gebracht werden und während ihrer Nutzung sicher bleiben.
Pflichten für Händler und Importeure
Händler und Importeure müssen sicherstellen, dass die von ihnen vertriebenen Produkte den Anforderungen des CRA entsprechen. Dazu gehören:
Überprüfung der CE-Kennzeichnung und der Konformitätserklärung.
- Meldung von bekannten Sicherheitsrisiken an die zuständigen Behörden.
- Sicherstellung, dass sie vom Hersteller alle erforderlichen Informationen und Dokumentationen erhalten.
Zeitplan und Inkrafttreten
Der CRA wurde am 10. Dezember 2024 im Amtsblatt der EU veröffentlicht und trat 20 Tage später in Kraft. Die meisten Regelungen werden jedoch erst ab dem 11. Dezember 2027 verbindlich. Einige Bestimmungen gelten bereits früher:
- Ab 11. Juni 2026: Anforderungen für Konformitätsbewertungsstellen treten in Kraft.
- Ab 11. September 2026: Meldepflichten für Schwachstellen werden verbindlich.
Diese gestaffelten Übergangsfristen sollen den Marktteilnehmern ausreichend Zeit geben, um die neuen Anforderungen umzusetzen.
Durchsetzung und Sanktionen
Die Einhaltung des CRA wird von nationalen Behörden der EU-Mitgliedstaaten in Zusammenarbeit mit der Europäischen Agentur für Cybersicherheit (ENISA) überwacht. Bei Verstößen drohen empfindliche Strafen:
- Bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes bei Verstößen gegen Cybersicherheitsanforderungen
- Bis zu 10 Millionen Euro oder 2 % des Umsatzes für andere Verstöße, z. B. fehlende Sicherheitsprüfungen
- Bis zu 5 Millionen Euro oder 1 % des Umsatzes für falsche Angaben oder unzureichende Dokumentation. Zusätzlich können Behörden Produkte vom Markt nehmen und Unternehmen verpflichten, Sicherheitslücken zu schließen.
Entscheidungsprozess
Der CRA wurde im Rahmen des ordentlichen Gesetzgebungsverfahrens der EU verabschiedet. Dies bedeutet, dass sowohl das Europäische Parlament als auch der Rat der EU dem Gesetzesentwurf zustimmen mussten. Nach der Verabschiedung wurde die Verordnung im Amtsblatt der EU veröffentlicht und trat 20 Tage später in Kraft.
Fazit
Der Cyber Resilience Act stellt einen bedeutenden Schritt in Richtung einer sichereren digitalen Zukunft in der EU dar. Durch die Einführung verbindlicher Cybersicherheitsanforderungen für digitale Produkte sollen Verbraucher und Unternehmen besser vor Cyberbedrohungen geschützt werden. Hersteller, Händler und Importeure müssen sich auf umfangreiche neue Pflichten einstellen, um die Sicherheit ihrer Produkte während des gesamten Lebenszyklus zu gewährleisten.