Der Cyber Resilience Act (CRA) ist ein Gesetzesentwurf der Europäischen Union, der darauf abzielt, die Cybersicherheit und Resilienz von Produkten mit digitalen Komponenten zu erhöhen. Ziel ist es, Unternehmen und Organisationen zu verpflichten, die Sicherheit ihrer digitalen Produkte zu verbessern und eine bessere Reaktion auf potenzielle Cyberangriffe zu gewährleisten. Der Entwurf ist Teil der EU-Initiativen zur Verbesserung der digitalen Souveränität und des Schutzes vor immer komplexeren Cyber-Bedrohungen. Der CRA wurde im Oktober 2024 verabschiedet und die Umsetzung erfolgt in mehreren Etappen bis Ende 2027.
Die wichtigsten Eckpunkte des CRA betreffen:
Verpflichtung zur Cybersicherheit bei der Produktentwicklung: Hersteller von Produkten mit digitalen Komponenten müssen sicherstellen, dass ihre Produkte bereits beim Design und in der Entwicklung robuste Sicherheitsmechanismen integrieren.
Konformitätserklärungen: Unternehmen müssen nachweisen, dass ihre Produkte die Richtlinien des CRA erfüllen. Welche Verfahren zur Bewertung in Frage kommen, hängt von den Produktgruppen ab.
Meldepflichten bei Sicherheitsvorfällen: Unternehmen sind verpflichtet, Sicherheitsvorfälle oder Schwachstellen in ihren Produkten schnell zu melden, um eine frühzeitige Reaktion zu ermöglichen.
Security Updates: Den Endanwendern sind während des gesamten Produktlebenszyklus Sicherheitsupdates zur Verfügung zu stellen. Der Zeitraum beträgt in der Regel fünf Jahre.
Das Management Blitzlicht gibt darüber hinaus weitere praktische Informationen zu konkreten Unterstützungsmaßnahmen für KMUs und Startups.