Das Wichtigste in Kürze
- Der Cyber Resilience Act (CRA) ist ein EU-Gesetz zur Festlegung gemeinsamer Cybersicherheitsstandards für vernetzte Produkte mit digitalen Anteilen.
- Die Verabschiedung des CRA wird für 2023 erwartet, mit Inkrafttreten zwei Jahre später, was eine frühzeitige Auseinandersetzung für Produktentwickler notwendig macht.
- Hersteller von Desktop- und Mobilgeräten, virtualisierten Betriebssystemen, IoT-Geräten und weiteren digitalen Produkten müssen hohe Compliance-Anforderungen erfüllen, um empfindliche Bußgelder zu vermeiden.
- Bei Sicherheitslücken innerhalb von 24 Monaten nach Inkrafttreten bestehen bereits aktive Kommunikationspflichten.
- Für Finanzanbieter wurde der Digital Operational Resilience Act (DORA) verabschiedet, der ebenfalls die Cybersicherheit betrifft.
Gerade Anbieter moderner Technologien und Produkte müssen bezüglich aktueller Rechtsprechung und der gesetzgeberischen Entwicklung in Europa immer auf dem neusten Stand sein und auf Entwicklungen reagieren. Bei Blockchain/Web3 Anbietern mag das MiCAR sein, bei anderen IT-Anbietern könnte es in Zukunt das Cyber Resilience Act (CRA) sein, welches im September von der EU-Kommission in einem ersten Entwurf vorgestellt wurde. Das Gesetz soll gemeinsame Cybersicherheitsstandards für vernetzte Geräte und Dienste („Produkte mit digitalen Anteilen“) festlegen und damit zur Bekämpfung von Cyberkriminalität beitragen. Mit seiner Verabschiedung ist 2023 zu rechnen (auch wenn natürlich fraglich ist, wie eine eine finale Fassung am Ende aussieht) und Produktentwickler sollten sich daher frühzeitig mit den Inhalten beschäftigen. Aktuell soll es nämlich bereits 2 Jahre später in Kraft treten. Nicht viel Zeit für normale Produktentwicklungszyklen. Treten innerhalb der 24 Monate Sicherheitslücken auf, gibt es sogar vorher schon aktive Kommunikationspflichten.
- Desktop- und Mobilgeräte
- Virtualisierte Betriebssysteme
- Aussteller digitaler Zertifikate
- Allzweck-Mikroprozessoren
- Kartenlesegeräte
- Robotersensoren
- Intelligente Zähler
- IOT-Geräte
Für Finanzanbieter (insofern eventuell auch Web3/Blockchain Unternehmen) wurden übrigens am 10. November 2022 der Digital Operational Resilience Act (DORA) durch das EU-Parlament verabschiedet, der ebenfalls die Cybersicherheit dieser Unternehmen/Anbieter betrifft.