Der Cyber Resilience Act: Ein Meilenstein für die Cybersicherheit in der EU
Der CRA ist eine umfassende Regelung, die darauf abzielt, die Cybersicherheit von Produkten und Dienstleistungen mit digitalen Elementen zu verbessern.
Der CRA ist eine umfassende Regelung, die darauf abzielt, die Cybersicherheit von Produkten und Dienstleistungen mit digitalen Elementen zu verbessern.
Die Europäische Union hat kürzlich einen weiteren bedeutenden Schritt unternommen, um die Cybersicherheit aller zu stärken, die digitale Produkte nutzen – und somit Verbraucher als auch Unternehmen gleichermaßen betrifft: den Cyber Resilience Act (CRA). Diese Verordnung, welche im November 2023 politisch abgesegnet und kürzlich vom Rat der Europäischen Union angenommen wurde, ist eine der ersten, die spezifische Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt. Produkte, die den Anforderungen entsprechen, tragen das CE-Zeichen, was ihre Konformität mit den Cybersicherheitsstandards bestätigt.
Der CRA ist eine umfassende Regelung, die darauf abzielt, die Cybersicherheit von Produkten und Dienstleistungen mit digitalen Elementen zu verbessern. Dies umfasst eine breite Palette von Produkten, von Antivirensoftware und VPNs über Smart Home-Geräte, vernetzte Spielzeuge bis hin zu Wearables.
Der CRA gilt für alle Wirtschaftsteilnehmer, die an der Lebenszykluskette von Produkten mit digitalen Elementen (PDEs) beteiligt sind. Es sind jedoch bestimmte Produkte ausgenommen, die bereits durch sektorale EU-Gesetzgebungen geregelt sind, wie z.B. Medizinprodukte, Autos, zivile Luftfahrt und Schifffahrtsequipment.
Mit der Verordnung werden folgende 3 Hauptziele verfolgt:
Hersteller von PDEs müssen verschiedene essentielle Cybersicherheitsanforderungen erfüllen – zu diesen gehören unter anderem:
Hersteller müssen regelmäßige Sicherheitstests durchführen, Schwachstellen identifizieren und dokumentieren. Innerhalb von 24 Stunden nach Bekanntwerden von aktiv ausgenutzten Schwachstellen oder schwerwiegenden Vorfällen müssen die zuständigen Behörden informiert werden.
Die Einhaltung des CRA wird streng überwacht und Verstöße können mit erheblichen Strafen geahndet werden, bis zu 15 Millionen Euro oder 2,5% des globalen Jahresumsatzes des Unternehmens.
Die Verordnung ist in Kraft und Hersteller haben drei Jahre Zeit, um sich an die neuen Anforderungen anzupassen. Die Verpflichtungen zur Meldung von Schwachstellen und Vorfällen gilt bereits ab August 2026, d.h. in ca. 21 Monaten.
Der Cyber Resilience Act markiert einen wichtigen Schritt zur Verbesserung der Cybersicherheit in der EU und darüber hinaus. Durch die Einführung strenger Cybersicherheitsanforderungen und klare Enforcement-Mechanismen soll die Sicherheit von Produkten und Dienstleistungen mit digitalen Elementen gewährleistet werden. Unternehmen müssen proaktiv werden, um diesen Anforderungen zu entsprechen, und dies kann zu einer wesentlichen Stärkung der Cybersicherheit in allen Branchen führen.
Für weitere Informationen und Einzelheiten zum Cyber Resilience Act können Sie die offizielle Website der Europäischen Kommission konsultieren. Diese Quelle bietet detaillierte Einblicke in die Anforderungen und Auswirkungen des Gesetzes.
Für Unternehmen, Stiftungen, Vereine, einzelne Personen & D&O mit Strafrechtschutz
Für Dienstleister & Gewerbe, Versicherungs-Vermitttler, Produktions-Unternehmen etc.
Strafrechtsschutz, Manager-Rechtsschutz, Steuerberater & Wirtschaftsprüfer
Finanzinstitutionen,
Kommerzielle Kunden
Finanzinstitute, Private Equity, Werbung & Medien etc.
Cyberversicherungen für Versicherungsmakler und ihre Kunden heutzutage unverzichtbar.
WEITERLESENSeit 17. Jänner 2025 wird die Anfang 2023 veröffentlichte EU-Verordnung nun auch vollumfänglich angewendet.
WEITERLESENDas Datenleck betraf die Software-Tochterfirma von Volkswagen, Cariad, die für die Softwareentwicklung des Konzerns verantwortlich ist.
WEITERLESEN