Vor kurzem wurde der sogenannte Cyber Resilience Act (CRA) beschlossen, dessen übergeordnetes Ziel es ist, die Cybersicherheit in der EU zu erhöhen. Dabei handelt es sich um die erste EU-weite Verordnung, die ein Mindestmaß an Cybersicherheit bei vernetzten Produkten festlegen möchte. Der CRA bezieht sich dabei auf sämtliche Produkte, die digitale Elemente enthalten, und die somit in der Lage sind, mit einem Gerät oder Netzwerk verbunden zu werden. Dazu gehört sowohl vernetzbare Hardware (z.B. Laptops, Smartphones, Watches) als auch Software (z.B. Apps, Computerspiele). Der Cyber Resilience Act soll dabei im Sinne der Produkt-Wertschöpfungskette für alle involvierten Akteure gelten, zu denen z.B. Hersteller, Importeure und Händler gehören.

Im CRA wird dabei zwischen allgemeinen und kritischen Produkten mit digitalen Elementen unterschieden. Für die Kategorie der „allgemeinen Produkte“ gehört es für ein angemessenes Cybersicherheits-Niveau dazu, dass das Produkt über keine bekannten Schwachstellen verfügt, sicher konfiguriert ist und automatisch kostenlose Sicherheitsupdates zulässt. Weiterhin sollen diese Produkte Schutz vor dem Zugriff unbefugter Dritter bieten, die Vertraulichkeit und Integrität der Daten wahren, nur notwendige Daten verarbeiten und die Kernfunktionalität des Produktes auch nach einer Unterbrechung gewährleisten. Für die „kritischen Produkte“ gelten hingegen weitaus strengere Regelungen.

Der Cyber Resilience Act tritt genau 20 Tage nach der Veröffentlichung des Textes im Amtsblatt der EU in Kraft. Vom Inkrafttreten ausgehend werden alle Regelungen der Verordnung spätestens nach 24 Monaten für die Akteure der Wertschöpfungskette bindend. Bereits nach 12 Monaten sind die Hersteller allerdings dazu verpflichtet, der sogenannten „European Union Agency for Cybersecurity“ (ENISA) jeden Vorfall der Ausnutzung einer Schwachstelle in ihrem Produkt zu melden.

Quellenangaben:

  • Artikel „Der Cyber Resilience Act (CRA) kurz erklärt“, abgerufen am 28.10.2024 unter: https://www.dr-datenschutz.de/der-cyber-resilience-act-cra-kurz-erklaert/

Autorin:

Sabrina Reinecke [SRE], externe betriebliche Datenschutzbeauftragte (TÜV-Zertifizierung)