Cyber Resilience Act: Was Sie wissen müssen | IT-Medienrecht

Erfahren Sie alles zum Cyber Resilience Act der EU. Neue Cybersicherheitsstandards für vernetzte Geräte. Was Hersteller wissen müssen & wann es gilt.…

Das Wichtigste in Kürze

  • Der Cyber Resilience Act (CRA) ist ein EU-Gesetz zur Festlegung gemeinsamer Cybersicherheitsstandards für vernetzte Produkte mit digitalen Anteilen.
  • Die Verabschiedung des CRA wird für 2023 erwartet, mit Inkrafttreten zwei Jahre später, was eine frühzeitige Auseinandersetzung für Produktentwickler notwendig macht.
  • Hersteller von Desktop- und Mobilgeräten, virtualisierten Betriebssystemen, IoT-Geräten und weiteren digitalen Produkten müssen hohe Compliance-Anforderungen erfüllen, um empfindliche Bußgelder zu vermeiden.
  • Bei Sicherheitslücken innerhalb von 24 Monaten nach Inkrafttreten bestehen bereits aktive Kommunikationspflichten.
  • Für Finanzanbieter wurde der Digital Operational Resilience Act (DORA) verabschiedet, der ebenfalls die Cybersicherheit betrifft.

Gerade Anbieter moderner Technologien und Produkte müssen bezüglich aktueller Rechtsprechung und der gesetzgeberischen Entwicklung in Europa immer auf dem neusten Stand sein und auf Entwicklungen reagieren. Bei Blockchain/Web3 Anbietern mag das MiCAR sein, bei anderen IT-Anbietern könnte es in Zukunt das Cyber Resilience Act (CRA) sein, welches im September von der EU-Kommission in einem ersten Entwurf vorgestellt wurde. Das Gesetz soll gemeinsame Cybersicherheitsstandards für vernetzte Geräte und Dienste („Produkte mit digitalen Anteilen“) festlegen und damit zur Bekämpfung von Cyberkriminalität beitragen. Mit seiner Verabschiedung ist 2023 zu rechnen (auch wenn natürlich fraglich ist, wie eine eine finale Fassung am Ende aussieht) und Produktentwickler sollten sich daher frühzeitig mit den Inhalten beschäftigen. Aktuell soll es nämlich bereits 2 Jahre später in Kraft treten. Nicht viel Zeit für normale Produktentwicklungszyklen. Treten innerhalb der 24 Monate Sicherheitslücken auf, gibt es sogar vorher schon aktive Kommunikationspflichten. 

Für Finanzanbieter (insofern eventuell auch Web3/Blockchain Unternehmen) wurden übrigens am 10. November 2022 der Digital Operational Resilience Act (DORA) durch das EU-Parlament verabschiedet, der ebenfalls die Cybersicherheit dieser Unternehmen/Anbieter betrifft.

Häufig gestellte Fragen

Was ist der Cyber Resilience Act (CRA)?
Der Cyber Resilience Act (CRA) ist ein geplantes EU-Gesetz, das gemeinsame Cybersicherheitsstandards für vernetzte Geräte und Dienste, sogenannte „Produkte mit digitalen Anteilen“, festlegen und damit Cyberkriminalität bekämpfen soll.
Wann wird der Cyber Resilience Act voraussichtlich in Kraft treten?
Mit einer Verabschiedung des CRA ist 2023 zu rechnen. Das Gesetz soll dann bereits zwei Jahre später, also 2025, in Kraft treten, was eine frühzeitige Vorbereitung für Produktentwickler erfordert.
Welche Produkte sind vom Cyber Resilience Act besonders betroffen?
Besonders betroffen sind Hersteller von Desktop- und Mobilgeräten, virtualisierten Betriebssystemen, Ausstellern digitaler Zertifikate, Allzweck-Mikroprozessoren, Kartenlesegeräten, Robotersensoren, intelligenten Zählern und IoT-Geräten.
Welche Konsequenzen drohen bei Nichteinhaltung des CRA?
Die Nichteinhaltung der Compliance-Anforderungen des CRA kann zu empfindlichen Bußgeldern führen. Zudem können die Regelungen bis hin zur Möglichkeit reichen, den Verkauf kompromittierter Produkte zu untersagen.
Gibt es eine ähnliche Regulierung für Finanzanbieter?
Ja, für Finanzanbieter wurde am 10. November 2022 der Digital Operational Resilience Act (DORA) durch das EU-Parlament verabschiedet, der ebenfalls die Cybersicherheit dieser Unternehmen betrifft.