Tobias Harmes
Tobias Harmes
9. April 2024

Cyber Resilience Act (CRA)

2

Der Cyber Resilience Act ist ein entscheidender Schritt der EU, um die Cybersicherheit von Produkten, sowie die Beurteilung von cybersicheren Produkten für Verbraucher und Unternehmen zu optimieren. Was der Cyber Resiliance Act beinhaltet und ob Sie davon betroffen sind, erfahren Sie in diesem Beitrag.

Inhaltsverzeichnis

  1. Was ist der Cyber Resilience Act (CRA)?
  2. Was beabsichtigt das Gesetz?
  3. Wen betrifft das Gesetz?
  4. Was umfasst das Gesetz?
    1. Ziele des Gesetzes und Pflichten der Hersteller
    2. Kategorisierung der Produkte und das Bewertungsverfahren
  5. Fazit
  6. FAQ
    1. Was ist der CRA?
    2. Was sind die Ziele des CRAs?
    3. Wen betrifft der CRA?

Was ist der Cyber Resilience Act (CRA)?

Der Cyber Resilience Act (CRA), ist ein EU-weites Gesetz, das darauf abzielt, die Cybersicherheitsstrategie der EU zu stärken. Er konzentriert sich auf Produkte mit digitalen Komponenten und definiert „digitale Produkte“ als Hardware und Software mit digitalen Elementen oder Produkte, die mit anderen Geräten oder Netzwerken verbunden sind. Nach der Gesetzeseinführung haben Unternehmen 36 Monate lang Zeit, um ihre Produkte an die Forderungen des CRAs anzupassen.

Was beabsichtigt das Gesetz?

Das CRA-Gesetz wurde vor dem Hintergrund zunehmender Sicherheitsrisiken von IT-Produkten entwickelt. Daher soll das Gesetz die Cybersicherheit digitaler Produkte stärken, wobei der Hersteller über den gesamten Produktlebenszyklus für die Sicherheit seines Produkts aufkommen muss.

Der CRA adressiert dabei zwei Herausforderungen:

Erstens wird die unzureichende Sicherheit digitaler Produkte durch die Verpflichtung der Hersteller zu regelmäßigen Sicherheitsupdates wirksam bekämpft. Zweitens dient das Gesetz als Hilfestellung für Verbraucher, um die Cybersicherheit von Produkten effizient einschätzen zu können.

Wen betrifft das Gesetz?

Das Gesetz betrifft natürliche oder juristische Personen, die als Hersteller, Importeur oder Händler von Produkten mit digitalen Elementen, tätig sind. Es gilt jedoch nicht für digitale Dienstleistungen, wie beispielsweise Cloud-Anbieter, oder Produkte, die bereits anderen Vorschriften unterliegen, wie Kraftfahrzeuge oder medizinische Produkte.

E-Book Fachartikel IT-Security

Zum Schmökern und zum Nachschlagen haben wir zahlreiche Fachbeiträge zum Thema Informationssicherheit und IT Security in diesem E-Book zusammengefasst.

Jetzt anfordern

Die vom Gesetz betroffenen Akteure verpflichten sich gemäß des CRAs dazu, eine hohe Cybersicherheit für ihre Produkte zu gewährleisten. Dies beinhaltet die Implementierung von Sicherheitsmaßnahmen zur Identifizierung, Überwachung und Behebung potenzieller Schwachstellen. Dadurch tragen sie dazu bei, das Vertrauen der Verbraucher in die Sicherheit digitaler Produkte zu stärken und das Risiko von Cyberangriffen zu minimieren.

Was umfasst das Gesetz?

Ziele des Gesetzes und Pflichten der Hersteller

Durch das Gesetz sollen folgende Ziele erreicht werden:

  • Es schafft ein EU-weites, einheitliches Gesetz für Produkte mit digitalisierten Elementen.
  • Es legt Sicherheitsstandards fest, die die Planung, Entwicklung und Wartung von Produkten mit digitalen Komponenten betreffen, und gewährleistet deren Einhaltung in jeder Phase des Produktlebenszyklus.
  • Hersteller müssen dabei eine Sorgfaltspflicht für den Lebenszyklus ihrer Produkte übernehmen, um die Verbraucher zu schützen.

Konkrete Pflichten für die Hersteller dieser Produkte lauten:

  • Die Gewährleistung der Cybersicherheit in jeder Phase des Produktlebenszyklus, von der Planung des Produkts, bis zur Wartung.
  • Die Bereitstellung einer klaren und verständlichen Gebrauchsanleitung für das Produkt.
  • Die Dokumentation und Meldepflicht bei Sicherheitsproblemen und Cyberangriffen auf die Produktsysteme.
  • Die Überwachung und Beseitigung solcher Produktprobleme, wobei eine Produktlebensdauer von fünf Jahren vorgesehen ist.
  • Die Bereitstellung von Sicherheitsupdates für das Produkt für mindestens fünf Jahre.

Kategorisierung der Produkte und das Bewertungsverfahren

Kategorisierung der Produkte und das Bewertungsverfahren

Die digitalen Produkte werden anhand des Sicherheitsrisikos in drei Kategorien eingestuft.

Standardkategorie

Produkte mit einem geringen Sicherheitsrisiko, wie beispielsweise Laptops, Handys oder digitalisierte Spiele fallen in die Standardkategorie. Die EU-Kommission stuft diese Produkte als unkritisch ein.

Kritische Klasse I

Die kritische Klasse I umfasst Produkte mit digitalisierten Elementen, die für Verbraucher Sicherheitsrisiken bergen. Dies umfasst zum Beispiel Smart-Home-Assistenten oder Überwachungskameras.

Kritische Klasse II

Produkte der kritischen Klasse II sind für den Verbraucher mit einem erhöhten Sicherheitsrisiko verbunden. Dies umfasst digitalisierte Produkte, die im industriellen Kontext verwendet werden, wie SCADA-Systeme oder Betriebssysteme.

Webinar: NIS 2 im Überblick: neue EU-Richtlinie für Cybersicherheit

Als Betreiber einer kritischen Infrastruktur in der EU ist es unerlässlich, sich mit den neuen Anforderungen von NIS 2 auseinanderzusetzen. Wir helfen Ihnen dabei, die Anforderungen von NIS 2 zu verstehen und umzusetzen, damit Sie den gesetzlichen Vorgaben entsprechen und Ihre kritischen Infrastrukturen schützen können.
Jetzt anmelden

Um die Einhaltung dieser Anforderungen nachzuweisen, muss der Hersteller ein Konformitätsbewertungsverfahren durchlaufen. Die Durchführung hängt von der jeweiligen Kategorie ab: Hersteller der kritischen Klasse I können das Verfahren selbst durchführen, während Produkte der kritischen Klasse II von einer unabhängigen Partei überprüft werden. Bei einer erfolgreichen Prüfung erhält das Produkt eine CE-Nummer.

Um die Qualität und Sicherheitsstandards dieser Produkte zu gewährleisten, sollen in jedem EU-Staat Behörden eingerichtet werden, die die Einhaltung des CRA überprüfen. Bei Nichteinhaltung der Pflichten des Herstellers sollen diese Behörden befugt sein, Geldbußen zu verhängen, den Verkauf zu untersagen oder einen Produktrückruf anzuordnen.

Fazit

Insgesamt ist der CRA ein bedeutsamer Schritt in der EU-weiten Cybersicherheitsstrategie.  Dabei wird angestrebt die Cybersicherheit von Produkten zu verbessern und die Beurteilung cybersicherer Produkte für Verbraucher und Unternehmen zu optimieren, indem Produkte Prüfungsprozesse durchlaufen müssen und Kunden sichere Produkte an CE-Nummern erkennen können. Der CRA stellt somit eine Grundlage für ein sicheres, digitales Umfeld dar und stärkt das Vertrauen in digitale Produkte.

FAQ

Was ist der CRA?

Der CRA ist ein Gesetz, welches die Cybersicherheitsstrategie der EU optimiert. Dieses Gesetz befasst sich mit der Erhöhung der Sicherheitsstandards von Produkten mit digitalen Elementen und etabliert dafür ein Prüfungsverfahren, welches die Einhaltung der definierten Sicherheitsstandards nachweist.

Was sind die Ziele des CRAs?

Die Ziele des CRAs sind die Schaffung eines EU-weiten, einheitlichen Gesetzes für digitale Produkte, die Festlegung von Sicherheitsstandards für die Entwicklung und Wartung dieser Produkte sowie die Gewährleistung dieser Standards. Das Gesetz zielt auch darauf ab, das Vertrauen der Verbraucher in die Sicherheit digitaler Produkte zu stärken und das Risiko von Cyberangriffen zu minimieren.

Wen betrifft der CRA?

Von dem CRA sind vordergründig Hersteller, Importeure und Händler von Produkten mit digitalen Elementen betroffen. Diese Personengruppe verpflichtet sich die Ziele und Pflichten, die durch den CRA definiert wurden, einzuhalten. Dadurch soll der Schutz der Konsumenten dieser Produkte gesteigert und die allgemeine Cybersicherheit optimiert werden.


Artikel war hilfreichArtikel empfehlen

Dieser Beitrag ist auch als Download verfügbar:

Kommentar verfassen


Weitere Beiträge:

IT Security

ISO 27001: Die DIN-Norm im Überblick

ISO 27001
Die ISO 27001 ist der internationale Standard für IT-Security. Was Unternehmen leisten müssen, um zertifziert zu werden, erfahren Sie in diesem Beitrag.
#Informationssicherheit
Artikel lesen
IT Security

Neue Anforderungen in der ISO 27001:2022

ISO 27001 neue Anforderungen
Die ISO 27001 ist international anerkannter Standard für Informationssicherheit. Welche Neuerungen kommen mit der ISO 27001:2022?
Artikel lesen
IT Security

Wie Sie Ihre IT-Landschaft nach ISO 27001 sicherer machen

Sicherer nach ISO 27001
In der Informationssicherheit stellt die ISO 27001 den De-Facto-Standard dar. Wie Sie sicher nach ISO 27001 Standard werden.
#Informationssicherheit
Artikel lesen

Unsere Top-Downloads

E-Book

E-Book SAP Security und Berechtigungen

Kostenloses E-Book
SAP Security& Berechtigungen
Download
Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten – Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.
kostenlos downloaden
E-Book

E-Book SAP Berechtigungstools

Kostenloses E-Book
Unser E-Book zum Thema SAP Berechtigungstools
Download
So wählen Sie Ihr SAP Berechtigungstool aus – in 3 Schritten zum neuen Berechtigungstool.
#podcast, #story
kostenlos downloaden
E-Book

E-Book SAP Solution Manager

Kostenloses E-Book
SAP Solution Manager
Download
Dieses E-Book beinhaltet für Sie von uns ausgewählte Fachartikel rund um das Thema SAP Solution Manager.
kostenlos downloaden
Kontaktieren Sie uns!
Renate Burg Kundenservice
0211 9462 8572-25 renate.burg@rz10.de Ihre Anfrage