Europ\u00e4isches Parlament verabschiedet Cyber Resilience Act (CRA) – Neue Verordnung zur Cybersicherheit steht in den Startl\u00f6chern<\/p>\n
W\u00e4hrend alle noch mit NIS-2 besch\u00e4ftigt sind, steht bereits der n\u00e4chste europ\u00e4ische Rechtsakt zur Cybersicherheit in den Startl\u00f6chern: Das Europ\u00e4ische Parlament hat diese Woche den Cyber Resilience Act (CRA) verabschiedet, eine k\u00fcnftige Verordnung, die horizontale Cybersicherheitsanforderungen f\u00fcr Produkte mit digitalen Elementen festlegt. Nun muss das Gesetz noch vom Rat genehmigt werden, um wirksam zu werden.<\/p>\n
Der Cyber Resilience Act (CRA) wird zuk\u00fcnftig die Anforderungen an die Cybersicherheit von Produkten mit digitalen Elementen regeln und erg\u00e4nzt somit die Regelungen von NIS-2, die haupts\u00e4chlich auf die betriebsbezogene Cybersicherheit abzielen. Obwohl die politische Einigung zum Cyber Resilience Act (CRA) bereits im Dezember 2023 erzielt worden war, gab es zu Beginn des Jahres 2024 immer noch Unsicherheit dar\u00fcber, ob der neueste EU-Rechtsakt zur Cybersicherheit rechtzeitig vor den Europawahlen im Juni verabschiedet werden w\u00fcrde.<\/p>\n
Durch die Annahme des CRA zeigt die Europ\u00e4ische Union deutlich, dass die Cybersicherheit von Produkten zuk\u00fcnftig eine zentrale Anforderung sein wird, um wirtschaftlich im EU-Binnenmarkt t\u00e4tig zu sein. Da es sich beim CRA um eine Verordnung handelt, gilt er direkt in allen europ\u00e4ischen Mitgliedstaaten, im Gegensatz zu NIS-2, f\u00fcr den keine nationale Umsetzung erforderlich ist.<\/p>\n
Es ist derzeit noch unklar, welche deutsche Beh\u00f6rde die Aufsicht \u00fcber die Vorschriften des Cyber Resilience Act (CRA) \u00fcbernehmen wird. Es wird sowohl \u00fcber das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) als auch \u00fcber eine m\u00f6gliche Zust\u00e4ndigkeit der Bundesnetzagentur (BNetzA) diskutiert.<\/p>\n
Der Anwendungsbereich des CRA umfasst alle Produkte mit digitalen Elementen, deren beabsichtigte oder vern\u00fcnftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung zu einem Ger\u00e4t oder Netzwerk beinhaltet. Dies betrifft sowohl Software- und Hardwareprodukte als auch damit verbundene Cloudl\u00f6sungen sowie separat vertriebene Software- und Hardwarekomponenten.<\/p>\n
Da der Cyber Resilience Act (CRA) einen umfassenden Anwendungsbereich hat und grunds\u00e4tzlich nicht zwischen B2B- und B2C-Anwendungen unterscheidet, ist es bereits jetzt absehbar, dass der CRA eine gro\u00dfe Anzahl von Produkten mit digitalen Elementen erfassen wird, und das in verschiedenen Branchen.<\/p>\n
Durch die Einf\u00fchrung des CRA wird erstmals der Grundsatz der Security by Design in das Technikrecht der Europ\u00e4ischen Union integriert. Zuk\u00fcnftig reicht es nicht mehr aus, die Konformit\u00e4t des Produkts mit digitalen Elementen zum Zeitpunkt des Markteintritts sicherzustellen. Es muss eine kontinuierliche Risikobewertung durchgef\u00fchrt werden. Dar\u00fcber hinaus werden Verbindungen zu anderen EU-Rechtsakten wie dem zuk\u00fcnftigen AI Act hergestellt, insbesondere in Bezug auf KI-Systeme mit hohem Risikopotenzial.<\/p>\n
Der Cyber Resilience Act (CRA) konkretisiert in mehreren Anh\u00e4ngen die regulatorischen Vorgaben. Dazu geh\u00f6ren unter anderem die umzusetzenden Cybersicherheitsanforderungen, die Bereitstellung von Informationen und Instruktionen f\u00fcr die Nutzer, Vorgaben f\u00fcr verschiedene Kritikalit\u00e4tsklassen von Produkten mit digitalen Elementen, die EU-Konformit\u00e4tserkl\u00e4rung und Bewertungsverfahren sowie die Anforderungen an die Produktdokumentation.<\/p>\n
Es besteht die M\u00f6glichkeit, dass der Cyber Resilience Act (CRA) weitere spezifische Regelungen durch delegierte Rechtsakte und technische Beschreibungen der EU-Kommission erh\u00e4lt, wobei auch die betroffenen Interessengruppen eingebunden werden sollen.<\/p>\n
Aufgrund erheblicher Kritik seitens der Open-Source-Community w\u00e4hrend des Gesetzgebungsverfahrens wurden umfangreiche Verbesserungen vorgenommen, einschlie\u00dflich zahlreicher Ausnahmen, um das Open-Source-\u00d6kosystem nicht zu beeintr\u00e4chtigen. Es w\u00e4re jedoch ratsam, insbesondere f\u00fcr Entwickler, die Regelungen zu den neuen Open-Source Software Stewards und zum Schwachstellenmanagement f\u00fcr Open-Source-Komponenten genauer zu betrachten.<\/p>\n
Die Verpflichtungen des Cyber Resilience Act (CRA) betreffen zun\u00e4chst Hersteller, Importeure und H\u00e4ndler von Produkten und adressieren somit die (digitale) Lieferkette als wichtigen Schutzmechanismus f\u00fcr den EU-Binnenmarkt. Einerseits umfassen die Anforderungen die Bewertung von Risiken im Zusammenhang mit dem Entwurf, der Entwicklung, der Herstellung, der Lieferung und der Wartung von Produkten mit digitalen Elementen. Andererseits beinhalten sie auch Meldepflichten f\u00fcr Cybersicherheitsrisiken sowie Ma\u00dfnahmen zum Umgang mit Sicherheitsl\u00fccken und Patches.<\/p>\n
Nach dem Cyber Resilience Act (CRA) sind Hersteller und ihre Branchenverb\u00e4nde k\u00fcnftig dazu verpflichtet, die \u00fcbliche und branchen\u00fcbliche Lebensdauer ihrer Produkte festzulegen. Gem\u00e4\u00df dem CRA betr\u00e4gt diese in der Regel mindestens f\u00fcnf Jahre.<\/p>\n
Der Rechtsakt enth\u00e4lt \u00dcbergangsbestimmungen f\u00fcr bereits auf dem Markt befindliche Produkte. Diese Produkte unterliegen den Anforderungen des Cyber Resilience Acts (CRA) nur dann, wenn sie innerhalb von 36 Monaten nach Inkrafttreten der Verordnung wesentliche \u00c4nderungen erfahren haben. In diesem Fall gelten auch die Meldepflichten gem\u00e4\u00df dem CRA.<\/p>\n
Die Sanktionen f\u00fcr Verst\u00f6\u00dfe orientieren sich an den bereits bekannten Konzernregelungen: Bei Verst\u00f6\u00dfen k\u00f6nnen Bu\u00dfgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des gesamten weltweiten Jahresumsatzes des vorherigen Gesch\u00e4ftsjahres verh\u00e4ngt werden.<\/p>\n
Schlagw\u00f6rter: CRA + Cyber + NIS-2<\/p>\n","protected":false},"excerpt":{"rendered":"
Europ\u00e4isches Parlament verabschiedet Cyber Resilience Act (CRA) – Neue Verordnung zur Cybersicherheit steht in den Startl\u00f6chern W\u00e4hrend alle noch mit NIS-2 besch\u00e4ftigt sind, steht bereits der n\u00e4chste europ\u00e4ische Rechtsakt zur Cybersicherheit in den Startl\u00f6chern: Das Europ\u00e4ische Parlament hat diese Woche den Cyber Resilience Act (CRA) verabschiedet, eine k\u00fcnftige Verordnung, die...<\/p>\n","protected":false},"author":4,"featured_media":5666,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-5667","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/5667","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=5667"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/5667\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/5666"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=5667"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=5667"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=5667"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}