Sie haben folgende Möglichkeiten:
  1. zum Login.
  2. zur Navigation.
  3. zum Inhalt der Seite.
add_shopping_cart 0
Der Cyber Resilience Act (CRA) der EU soll mehr Sicherheit bei Produkten mit Digital-Komponenten schaffen (Foto: sorin / stock.adobe.com – erstellt mit KI)
Cyber Resilience Act (CRA) der EU

Neue Pflichten für Hersteller und Einzelhändler bei Produkten mit digitalen Komponenten

ESV-Redaktion Recht
08.01.2025
Mit der Cyberresilienz-Verordnung – auch als Cyber Resilience Act (CRA) bezeichnet – ist im Dezember 2024 die erste europäische Regelung in Kraft getreten, die Mindestanforderungen an die Cybersicherheit für digital vernetzte Produkte festlegt. Die Neuregelung gilt für alle Produkte mit Digital-Komponenten, die in der EU erhältlich sind. Betroffene Hersteller und Einzelhändler müssen die neuen Vorgaben bis Mitte Dezember 2027 schrittweise vollständig erfüllen.
Der  CRA – VO (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 – wurde am 20.11.2024 in das Amtsblatt der EU eingetragen und ist am 11.12.2024 in Kraft getreten. Als VO entfaltet das Regelwerk unmittelbare Geltung und ist nicht durch die nationalen Gesetzgeber umzusetzen. 
 

Die Adressaten der neuen Vorgaben und deren Pflichten

Adressaten der neuen Vorgaben sind Hersteller von digital vernetzten Produkten, die in der EU erhältlich sind und Einzelhändler. Die betroffenen Unternehmen müssen die Cybersicherheit ihrer Produkte spätestens ab dem 11.12.2027 sicherstellen. 

Welche Produkte dem CRA unterliegen

Betroffen sind alle kommerziellen Produkte, die eine digitale Komponente enthalten, und zwar unabhängig davon, ob es sich Software oder um Hardware handelt. Neben günstigen Verbraucherprodukten fallen zum Beispiel auch B2B-Software oder komplexe High-End-Industriesysteme darunter, sofern diese mit einem digitalen Netzwerk verbunden werden können, wie etwa:

  • Smartphones, Smartwatches und Smarthomeprodukte, wie Babymonitore,
  • Computer, Laptops und Mikroprozessoren,
  • vernetztes Spielzeug,
aber auch 

  • reine Softwareprodukte, zum Beispiel Buchhaltungssoftware oder Computerspiele,
  • mobile Apps,
  • oder Firewalls.
Nicht-kommerzielle Open-Source-Softwareprodukte erfasst der CRA nicht.


Produktkategorien

Der CRA stellt zunächst grundlegende Anforderungen an die Cybersicherheit auf, die für alle Produkte mit digitalem Bezug gelten. Darüber hinaus teilt das neue Regelwerk die Produkte in Standardprodukte, in „wichtige“ oder in „kritische“ Produkte ein.

Während Standardprodukte vom Hersteller selbst bewertet werden können, müssen Produkte der beiden letzten Produktkategorien strengere Konformitätsbewertungsverfahren absolvieren. Darüber hinaus differenziert der CRA wie folgt: 

  • Wichtige Produkte: Hierzu zählen Passwortmanager oder Firewalls. Die Vorgaben herfür finden sich im Anhang III. Produktkategorien, die der Klasse 1 des Anhangs III zugeordnet sind, kann der Hersteller nach einer harmonisierten europäischen Norm selbst bewerten.
  • Kritische Produkte: Hierunter fallen Smartcards oder intelligente Zähler (Smartmeter), deren Vorgaben im Anhang IV zu finden sind.  
Zurzeit entwickeln die europäischen Standardisierungsgremien noch die erforderlichen Normen.

Der kostenlose Newsletter Recht – Wir freuen uns auf Ihre Anmeldung!
Redaktionelle Meldungen zu neuen Entscheidungen und Rechtsentwicklungen, Interviews und Literaturtipps


Die neuen Pflichten und grundlegende Prinzipien

Produkte mit Digital-Komponenten haben bestimmte Mindestanforderungen zu erfüllen, die schon bei der Produktentwicklung mit einbezogen werden müssen. Hierbei treffen die Hersteller folgende Pflichten, bei denen bestimmte Prinzipien zu beachten sind: 
  • Risikobewertung: Hersteller müssen eventuelle Cybersicherheitsrisiken für ihre Produkte aufzeigen und die Risiken  bewerten. 
  • Secure by Design: Die Einbeziehung erfolgt nach dem Grundsatz „secure by design“. Demnach ist sicherzustellen, dass die mit dem Produkt gespeicherten oder übertragenen Daten verschlüsselt sind und eine kleine Angriffsfläche bieten.
  • Secure by default: Nach dem Prinzip „secure by default“ müssen die Standardeinstellungen von vernetzten Produkten die Sicherheit zum Beispiel durch Verbote von schwachen Standardpasswörtern ebenso erhöhen wie duch automatische Installationen von Sicherheitsupdates.
  • Software Bill of Materials (SBOM): Eine „Software Bill of Materials“ listet strukturiert die Komponenten einer Software sowie ihre Beziehungen innerhalb der Softwarelieferkette auf. Sie beschreibt, welche Bibliotheken und weitere Softwarekomponenten das Produkt benutzt. Zwar schreibt der CRA das Erstellen einer SBOM vor – allerdings muss diese nicht veröffentlicht werden.
  • Nachweis der Anforderungen: Um nachzuweisen, dass das Produkt die Anforderungen des CRA erfüllt, ist eine Konformitätserklärung vorzulegen. Welche Art der Konformitätsbewertung anzuwenden ist, ist von der von der Produktkategorie abhängig. Bei der Mehrzahl der Produkte reicht eine Selbstbewertung des Herstellers aus. Bei wenigen Kategorien ist der Nachweis durch eine notifizierte Drittstelle zu erbringen.


Meldeplattform für Schwachstellen und Sicherheitsvorfälle

Um den Informationsaustausch bei aktiv ausgenutzten Schwachstellen zu erleichtern, wird eine neue zentrale Meldeplattform eingerichtet. Die Meldungen der Schwachstellen und Sichheitsvorfälle erfolgen dann über die Meldeplattform.
 

Unterstützung durch das BSI

Das BSI erarbeitet zur Hilfestellung vor allem eine „Technische Richtlinie“, in der die Anforderungen an betroffene Unternehmen und deren Produkte in Bezug auf die Cyberresilienz konkret beschrieben sind. Diese teilt sich wie folgt auf:

                                                              (Stand jeweils: 07.01.2025)


Besondere Hilfen für KMUs, Start-Ups  oder Kleinstunternehmen

Für kleine und mittlere Unternehmen, aber auch für Kleinstunternehmen oder Start-Ups sind nach Art. 33 CRA besondere Hilfen vorgesehen. So soll es u. a. Leitlinien für die Umsetzung oder Helpdesks zur Unterstützung bei den Meldepflichten geben. Zudem können die technischen Dokumentationen vereinfacht werden und schließlich sollen sogenannte „Regulatory Sandboxes“ für die Überprüfung von Produkten mit Digital-Komponenten eingerichtet werden.
 

Der weitere Fahrplan
 

  • 11.06.2025: Konformitätsbewertungsstellen müssen die Erfüllung der Anforderungen des CRA bewerten
  • 11.09.2026: Meldepflicht für Schwachstellen und Sicherheitsvorfälle
  • 11.12.2027: Alle CRA-Anforderungen sind einzuhalten

Quellen: 

  • Online-Seiten des Bundesamts für Sicherheit und Informationstechnik (BSI)



juris IT-Recht


Jetzt gratis testen: Lernen Sie juris IT-Recht für 4 Wochen kostenlos, unverbindlich und ohne Risiko kennen.

Im Zeitalter der digitalen Technik ist das Bundesdatenschutzgesetz für die IT-Abteilung jedes Unternehmens relevant. Neben dem BDSG sind spezialgesetzliche Regelungen wie das TMG oder das TKG sowie weitere Rechtsnormen, zum Beispiel aus dem UWG oder StGB, zu beachten. juris IT-Recht liefert zeit- und praxisnahe Antworten auf alle Fragen aus dem IT-rechtlichen Alltag.

juris IT-Recht enthält folgende Werke aus dem Erich Schmidt Verlag:

  • Handbuch Datenschutz und IT-Sicherheit von Dr. Uwe Schläger, Jan-Christoph Thode (Hrsg.)
  • PinG Privacy in Germany, Datenschutz und Compliance, Fachzeitschrift
  • Datenschutz-Grundverordnung (DS-GVO)/ Bundesdatenschutzgesetz (BDSG), Ergänzbarer Kommentar nebst einschlägigen Rechtsvorschriften, von Dr. Hans-Jürgen Schaffland, Noeme Wiltfang
  • TKG, Kommentar, von Prof. Dr. Hans-Wolfgang Arndt, Prof. Dr. Thomas Fetzer, Prof. Dr. Joachim Scherer, Dr. Kurt Graulich (Hrsg.)
  • IT-Outsourcing und Cloud-Computing von Prof. Dr. Peter Bräutigam (Hrsg.)
  • WLAN und Recht von Dr. Thomas Sassenberg, Dr. Reto Mantz
Verlagsprogramm Weitere Nachrichten aus dem Bereich Recht 

Auch interessant 04.12.2024
EU-Cybersicherheitspaket passiert Rat der Europäischen Union

Der Rat der EU hat am 02.12.2024 das neue „Cybersicherheitspaket“ angenommen. Dieses soll die Solidarität und die Kapazitäten der EU beim Erkennen, Verhindern und Bewältigen von Bedrohungen der Cybersicherheit stärken. mehr …

(ESV/bp)

Programmbereich: Wirtschaftsrecht