Am 20. November 2024 wurde der Cyber Resilience Act (CRA) im EU-Amtsblatt veröffentlicht. Damit beginnt eine neue Ära der Cybersicherheit für Produkte mit digitalen Elementen. Der CRA zielt darauf ab, einen einheitlichen Sicherheitsstandard für den europäischen Markt zu schaffen. Die Verordnung gilt ab dem 11. Dezember 2027 unmittelbar in allen EU-Mitgliedstaaten – mit nur wenigen Ausnahmen.
Was bedeutet der CRA für Unternehmen?
Die Anforderungen des CRA betreffen Hersteller, Einführer und Händler von Produkten mit digitalen Elementen. Der Begriff umfasst eine breite Palette von Geräten und Anwendungen wie IoT-Geräte, Automatisierungskomponenten, Maschinen und Software. Produkte, die vor dem 11. Dezember 2027 auf den Markt gebracht werden, können ebenfalls betroffen sein, wenn nachträglich wesentliche Änderungen vorgenommen werden.
Anforderungen im Überblick
Hersteller müssen sicherstellen, dass ihre Produkte Cyberrisiken bewerten und beherrschen, ein effektives Schwachstellenmanagement implementieren und Schwachstellen aktiv melden. Auch die Sicherheit der Lieferkette spielt eine zentrale Rolle. Für Einführer und Händler gelten abgestufte Pflichten, um den Sicherheitsstandard entlang der gesamten Wertschöpfungskette sicherzustellen.
Weiterführende Informationen und Details finden Sie in unserem Beitrag: Cyber Resilience Act
Die wichtigsten Fristen
- 20. November 2024: Veröffentlichung des CRA im EU-Amtsblatt
- 10. Dezember 2024: Inkrafttreten des CRA
- 11. Juni 2026: Vorgaben für Konformitätsbewertungsstellen
- 11. September 2026: Meldepflichten für Hersteller
- 11. Dezember 2027: Volle Anwendbarkeit
Handlungsbedarf für Unternehmen
Unternehmen sollten sich frühzeitig auf die neuen Anforderungen vorbereiten, um Risiken zu minimieren und Compliance sicherzustellen. Der CRA stellt nicht nur eine regulatorische Herausforderung dar, sondern auch eine Chance, die eigene Cybersicherheit nachhaltig zu stärken.
