Kabinett beschließt Entwurf des Cyber Resilience Act-Verordnung in Deutschland; erhebliche Bußgelder drohen

Kabinett beschließt Entwurf des Cyber Resilience Act-Verordnung in Deutschland; erhebliche Bußgelder drohen

Stärkung der Cybersicherheit mit Cyberresilienz in Europa | Bundesregierung

Im Kabinett beschlossenMehr Resilienz für Smart-Geräte

Mit derCyberresilienz-Verordnung werden erstmalig Mindeststandards bei derCybersicherheit für Produkte mit digitalen Elementen festgelegt. Europa macht sich widerstandsfähiger gegenCyberangriffe und gewährleistet sichere digitale Dienste.

per E-Mail teilen, Mehr Resilienz für Smart-Geräte

per Facebook teilen, Mehr Resilienz für Smart-Geräte

E-Mailper E-Mail teilen, Mehr Resilienz für Smart-Geräte

Facebookper Facebook teilen, Mehr Resilienz für Smart-Geräte

Threemaper Threema teilen, Mehr Resilienz für Smart-Geräte

WhatsAppper Whatsapp teilen, Mehr Resilienz für Smart-Geräte

Xper X teilen, Mehr Resilienz für Smart-Geräte

Die Anforderungen betreffen Produkte, die in derEUverkauft werden und „digitale Elemente“ enthalten.

Der sogenannteCyber Resilience Act(CRA) legt erstmalig ein Mindestmaß anCybersicherheit für alle vernetzten Produkte fest, die auf demEU-Markt erhältlich sind. Ziel ist die Erhöhung derCybersicherheit innerhalb der Europäischen Union. Die neuen Vorschriften gelten in allenEU-Mitgliedstaaten und werden schrittweise umgesetzt. Den ersten Schritt hat Deutschland heute gemacht: DasKabinett hat den Entwurf des Gesetzes zur Durchführung des sogenanntenCyber Resilience Act(Cyberresilienz-Verordnung) beschlossen.

Mit der europäischenCyberresilienz-Verordnung werden verbindlicheCybersicherheitsanforderungen für „Produkte mit digitalen Elementen“ eingeführt. Mit den Cybersicherheitsvorschriften werden Unternehmen verpflichtet, die Widerstandsfähigkeit gegenCyberangriffe zu erhöhen und verlässliche Dienste zu gewährleisten.

Was wird mit der Verordnung genau geregelt?ÖffnenMinimieren

Cybersicherheit wird erstmalig grundlegende Eigenschaft eines Produktes und damit zwingende Voraussetzung für den Marktzugang für Produkte mit digitalen Elementen innerhalb der Europäischen Union. Alle Produkte, die in derEUverkauft werden und „digitale Elemente“ enthalten, müssen den Anforderungen desCRAentsprechen. Die Vorgaben bauen auf der bekanntenCE-Kennzeichnung auf. Das Kennzeichen wird um den Aspekt derCybersicherheit erweitert. Die Produkte müssen eine umfassende Liste vonCybersicherheitsanforderungen erfüllen, zum Beispiel dass Produkte ohne bekannte ausnutzbare Sicherheitslücken auf den Markt gebracht werden oder eine möglichst geringe Angriffsfläche bieten und die Auswirkungen von Sicherheitsvorfällen reduzieren oder es den Nutzern ermöglichen, alle Daten und Einstellungen sicher und unwiderruflich zu löschen.

Die betroffenen Wirtschaftsakteure (Hersteller, Importeure oder Händler) sind verpflichtet, die Umsetzung der neuen Vorgaben sicherzustellen. Unterfallen die Produkte nicht den neuen Standards, dürfen die Produkte nicht auf den europäischen Markt gebracht werden. Unternehmen drohen erhebliche Bußgelder.

Was sind „Produkte mit digitalen Elementen“?ÖffnenMinimieren

Der Begriff „Produkte mit digitalen Elementen“ bedeutet jedesSoftware- oderHardware-Produkt und seine Lösungen zur Datenverarbeitung. Klingt kryptisch, ist es aber nicht. Grundsätzlich sind das alleSoftwareundHardwaremit Netzwerkfähigkeit, wiesmarteGeräte (Smart-TV,Smartphones,Smart-Home-Geräte) oderRoutersowie Betriebssysteme. Ferner zählenCloud-basierte Lösungen und freie undopen-source-Softwaredazu.

Allerdings fällt deshalb nicht jedes Produkt mit digitalen Elementen unter denCyber Resilience Act. Denn es gibt noch weitere Regularien für bestimmte Produkte,unter anderem für Medizinprodukte, Fahrzeuge, Produkte der zivilen Luftfahrt und Produkte, die ausschließlich für Zwecke der nationalen Sicherheit oder Verteidigung entwickelt werden.Diese sind oft strikter, weshalb derCRAsie nicht betrifft.

DasBundesamt für Sicherheit in der Informationstechnikwird Marktüberwachungsbehörde im Sinne dieser Verordnung. Sie kontrolliert dieCybersicherheit der vernetzten Produkten und wird als notifizierende Behörde Konformitätsbewertungsstellen unter Einbeziehung der Deutschen Akkreditierungsstelle prüfen und notifizieren.

Wann tritt der CRA in Kraft?ÖffnenMinimieren

DerCRAist eineEU-Verordnung und keine Richtlinie und ist somit direkt anwendbar. Die Umsetzung erfolgt in verschiedenen Etappen, bis Ende 2027. Neu in Verkehr gebrachte Produkte müssen zu diesem Zeitpunkt alle Anforderungen erfüllen.

Weitere Informationen findet sich auf derInformationsseitedesBSIzumCyber Resilience Act.

per Threema teilen, Mehr Resilienz für Smart-Geräte

per Whatsapp teilen, Mehr Resilienz für Smart-Geräte

per X teilen, Mehr Resilienz für Smart-Geräte

Link kopierenDerLinkwurde in Ihrer Zwischenablage gespeichert