Um was geht es im Cyber Resilience Act eigentlich?

Der Cyber Resilience Act führt erstmals verbindliche Cybersicherheitsanforderungen für sämtliche vernetzten Geräte ein – von Smart-Home-Geräten über Unterhaltungselektronik bis hin zu industriellen Lösungen. Die neuen Vorschriften betreffen damit die gesamte Produktion und den Vertrieb dieser Produkte.  Das bedeutet, dass künftig alle vernetzten Produkte ein CE-Kennzeichen tragen, das bestätigt, dass sie den europäischen Sicherheitsstandards entsprechen.

Welche Konsequenzen ergeben sich daraus für Unternehmen?

Der CRA verpflichtet alle Wirtschaftsakteure, die in die Herstellung und den Vertrieb von vernetzten Produkten involviert sind, sicherzustellen, dass ihre Produkte den neuen Cybersicherheitsanforderungen gerecht werden. Dies betrifft nicht nur die Ausstattung der Produkte mit einem CE-Kennzeichen, sondern auch regelmäßige Sicherheitsupdates und eine Meldepflicht für IT-Schwachstellen und Cybervorfälle an die Europäische Agentur für Cybersicherheit (ENISA). Diese Meldepflicht tritt bereits ab August 2026 in Kraft.

Ein Übergangszeitraum von drei Jahren soll sicherstellen, dass alle Marktteilnehmer ausreichend Zeit haben, ihre Produkte anzupassen. Ab November 2027 müssen schließlich alle Produkte die neuen Anforderungen vollständig erfüllen.

Wie können sich Unternehmen auf den CRA vorbereiten?

Die Umsetzung der neuen Cybersicherheitsanforderungen wird für viele Unternehmen eine Herausforderung darstellen. Das Fraunhofer-Institut für Entwurfstechnik Mechatronik (IEM) empfiehlt jedoch bereits jetzt Maßnahmen, um die Übergangsfrist optimal zu nutzen. Drei zentrale Schritte sind dabei entscheidend:

Aufbau eines Product Security Incident Response Teams (PSIRT): Unternehmen müssen in der Lage sein, schnell auf bekannt gewordene Sicherheitslücken zu reagieren und diese innerhalb von 24 bis 72 Stunden an die ENISA zu melden.

Durchführung von Bedrohungs- und Risikoanalysen: Regelmäßige Sicherheitsanalysen helfen dabei, potenzielle Schwachstellen frühzeitig zu erkennen und entsprechende Gegenmaßnahmen zu ergreifen.

Analyse der Produkte und Prozesse: Unternehmen sollten identifizieren, welche Produkte und Prozesse bereits jetzt den neuen Anforderungen gerecht werden und bei welchen Abläufen noch Verbesserungsbedarf besteht.

In diesem Zusammenhang unterstützt wir von netGoose Dich mit individuellen Sicherheitslösungen zur Verbesserung Deiner IT-Infrastruktur und helfen Dir und Deinem Unternehmen, die neuen Sicherheitsstandards zu erfüllen.

Was ändert sich für die Verbraucher?

Neben dem CRA hat der Rat der EU auch die neue Produkthaftungsrichtlinie verabschiedet, die den rechtlichen Rahmen bei fehlerhaften Produkten festlegt. Ziel ist es, den Zugang zu Schadensersatz für geschädigte Personen zu erleichtern. Hierzu werden gerichtliche Beweiserleichterungen eingeführt, sodass Betroffene künftig bessere Chancen haben, Schadensersatz zu erhalten. Die neuen Regelungen decken dabei auch immaterielle Schäden, wie den Verlust oder die Beschädigung privater Daten, ab.

Fazit: Mit der Verabschiedung des Cyber Resilience Act und der Produkthaftungsrichtlinie hat die Europäische Union einen bedeutenden Schritt in Richtung höherer Sicherheits- und Verbraucherschutzstandards gemacht. Während der CRA die Cybersicherheit für sämtliche vernetzten Geräte stärkt und Hersteller verpflichtet, höchste Sicherheitsstandards einzuhalten, ermöglicht die neue Produkthaftungsrichtlinie den Verbrauchern einen besseren Schutz und erleichterten Zugang zu Schadensersatz.

Unternehmen stehen jedoch vor der Herausforderung, diese neuen Anforderungen fristgerecht umzusetzen, profitieren allerdings langfristig von höherer Qualität und Sicherheit ihrer Produkte.

Wie stehst Du zum Cyber Resilience Act? Lass es uns gerne wissen!

Eure Vanessa von netGoose