CRA vs RED: Ein Drahtseilakt für Produktentwickler

In der Welt der Produktentwicklung und Cybersecurity stehen Hersteller vor einer neuen Herausforderung: der Navigation durch das Dickicht des Cyber Resilience Acts (CRA) und der Radio Equipment Directive (RED), einschließlich ihres Delegated Acts. Auf den ersten Blick scheinen beide Verordnungen das gleiche Ziel zu verfolgen – die Sicherstellung der Cybersecurity von Produkten. Doch bei genauerem Hinsehen offenbart sich ein komplexes Spannungsfeld mit subtilen, aber entscheidenden Unterschieden.

Der CRA, mit seinem weiten Anwendungsbereich, erfasst Produkte mit digitalen Elementen und zielt darauf ab, ein hohes Cybersicherheitsniveau zu gewährleisten. Im Gegensatz dazu fokussiert die RED in Verbindung mit ihrem Delegated Act auf mit dem Internet verbundene Geräte, mit einem spezifischen Augenmerk auf die Sicherheitsanforderungen. Obwohl beide auf die Cybersecurity von Produkten abzielen, ist ihre Überschneidung nicht vollständig. So werden beispielsweise die Anforderungen 3.3 d und e der RED durch den CRA abgedeckt, während die Anforderung 3.3 f, der Schutz vor Betrug, außen vor bleibt.

Diese partielle Überlappung wirft die Frage auf, wie Hersteller navigieren sollen, insbesondere während der Übergangsfristen, in denen wahrscheinlich eine gewisse Wahlfreiheit zwischen den Verordnungen besteht. Diese Situation mag auf den ersten Blick wie eine Einladung zu strategischer Flexibilität erscheinen, birgt jedoch das Risiko einer späteren regulatorischen Zwickmühle.

Daher lautet die Empfehlung klar und deutlich: Hersteller sollten sich bereits jetzt intensiv mit dem CRA auseinandersetzen. Dieser geht in seinen Anforderungen über die der RED hinaus und bietet somit eine robustere Grundlage für die Zukunftssicherheit von Produkten. Wo eine Konformität mit der RED unumgänglich ist, empfiehlt es sich, die Überschneidungen der beiden Verordnungen sorgfältig zu analysieren. Ziel ist es, spätere aufwendige Nacharbeiten oder Anpassungen zu vermeiden und stattdessen eine durchdachte, vorausschauende Produktentwicklung zu fördern.

In dieser komplexen regulatorischen Landschaft ist es entscheidend, nicht nur die Buchstaben des Gesetzes zu befolgen, sondern auch den Geist dahinter zu verstehen. Die Cybersecurity-Landschaft ist dynamisch und erfordert eine ebenso dynamische Herangehensweise an die Produktentwicklung. Durch ein frühzeitiges Engagement mit dem CRA und einer sorgfältigen Analyse der Überschneidungen mit der RED können Hersteller nicht nur regulatorische Hürden überwinden, sondern auch ihre Produkte in einer zunehmend vernetzten Welt sicherer machen.

Kommentar hinzufügen