Der Cyber Resilence Act (CRA) wurde vom Rat der Europäischen Union verabschiedet

Die neue Fassung des CRA wurde veröffentlicht

Am 10. Oktober 2024 wurde der CRA nun vom Rat der Europäischen Union in bearbeiteter Fassung veröffentlicht.

Nach der Annahme wird der Rechtsakt in den kommenden Wochen vom Präsidenten des Rates und der Präsidentin des Europäischen Parlaments unterzeichnet und anschließend im Amtsblatt der EU veröffentlicht.

Die offizielle Veröffentlichung des CRA im Amtsblatt der Europäischen Union wird noch dauern. 

Nichtsdestoweniger werden die Anforderungen des CRA ab 2027 in der Europäischen Union Pflicht werden.

Der CRA regelt die Cybersicherheit von Produkten mit digitalen Elementen und betrifft damit nicht nur Verbraucher, sondern auch Produkte, welche in der Fertigung und Industrie Anwendung finden.

Produkte mit digitalen Elementen sind eine oder mehrere Hardwarekomponenten und zugehörige Softwarekomponenten, welche das Produkt um eine oder mehrere Funktionen erweitern.

Software as a Service (SaaS) und Platform as a Service (PaaS) Produkte werden nicht vom CRA betroffen sein, es sei denn die Softwarelösungen sind notwendig, um Funktionen für das Produkt mit digitalen Elementen zur Verfügung zu stellen, wie es z.B. bei IoT-Produkten mit Cloudanbindung der Fall ist.

Der CRA unterscheidet zwischen vier Kategorien von Produkten mit digitalen Elementen:

  • Produkte mit geringem Risiko
  • Wichtige Produkte - Klasse I 
  • Wichtige Produkte - Klasse II 
  • Kritische Produkte

Die vier Produktkategorien unterscheiden sich maßgeblich in der Wahl des zutreffenden Konformitätsbewertungsverfahrens, während die sicherheitsrelevanten, technischen Anforderungen, wie auch die Anforderungen an die Informationen, welche für die Nutzer bereitgestellt werden müssen, für alle vier Kategorien gleichbleiben.

Die wichtigsten technischen Sicherheitsanforderungen an Produkte mit digitalen Elementen umfassen unter anderem:

  • Zurverfügungstellen von Sicherheitsaktualisierungen für die gesamte erwartbare Lebensdauer des Produkts bzw. mindestens 5 Jahre
  • Ausliefern mit einer sicheren Standardkonfiguration
  • Möglichkeit alle Daten vom Gerät löschen zu können
  • Gewährleistung der Vertraulichkeit, Authentizität und Integrität verarbeiteter Daten 
  • Logging-Mechanismen einzuführen
  • Gewährleisten der Verfügbarkeit grundlegender Funktionen auch bei Sicherheitsvorfällen
  • Kontrollmechanismen zum Schutz vor unbefugtem Zugriff einrichten

Des Weiteren muss die Cybersicherheit bereits während der Konzeption, Entwicklung und Herstellung in Betracht gezogen und eine Risikobewertung durchgeführt werden, um ein angemessenes Cybersicherheitsniveau zu gewährleisten.

Die technische Dokumentation muss für Produkte mit digitalen Elementen insofern erweitert werden, als dass sie eine Bewertung der Cybersicherheitsrisiken enthält, auch im Hinblick auf die Erfüllung der Cybersicherheitsanforderungen aus Anhang I des CRA. Des Weiteren ist eine Software-Stückliste erforderlich. 

Ebenfalls enthalten sein muss der Unterstützungszeitraum für das Produkt mit digitalen Elementen, ein Nachweis, wie überprüft wurde, dass das Produkt mit digitalen Elementen dem CRA entspricht, inklusive eventuell verwendeter Normen und "eine Beschreibung der Konzeption, Entwicklung und Herstellung [...] und der Verfahren zur Behandlung von Schwachstellen." (Anhang VII – Inhalt der technischen Dokumentation, Unterpunkt 2.)

Eine weitere wichtige Neuerung ist die Dokumentations- und Meldepflicht von Schwachstellen. Eine Frühwarnung von aktiv ausgenutzten Schwachstellen muss innerhalb von 24h über eine Meldeplattform an das jeweilige CSIRT (Computer Security Incident Response Team) des Mitgliedstaates und die ENISA (The European Union Agency for Cybersecurity) gegeben werden. Weitere Informationen zu dem Sicherheitsvorfall müssen spätestens nach 72h nachgereicht werden. 

Neben den technischen Anforderungen an Produkte mit digitalen Elementen regelt der CRA auch Anforderungen an Informationen für den Nutzer. 

Diese müssen ausführlich festhalten, wie das Produkt sicher bedient werden kann und ebenfalls in die technische Dokumentation aufgenommen werden.

Mit Ausnahme der Meldepflicht von Schwachstellen, welche bereits 21 Monate nach Inkrafttreten des CRA Pflicht wird, gilt der CRA ab 36 Monate und 20 Tage nach Veröffentlichung im Amtsblatt der Europäischen Union.

Der CRA wird eine Verordnung sein, die eine CE-Kennzeichnungspflicht vorschreibt. Die Konformitätserklärung der betroffenen Produkte muss ab dem Geltungsbeginn um den CRA erweitert werden.



Für Fragen oder weitere Unterstützung stehen wir Ihnen gern zur Verfügung. Mehr zum Thema Cybersecurity lesen Sie auch hier.

 

Autorin

Anne Barsuhn
Junior Consultant Cybersecurity

Neues aus der Welt der Normen und Product Compliance

Auch wenn die Welt der Normen und Marktzulassungsanforderungen nicht allzu schnelllebig ist – es gibt auch hier regelmäßig Neuigkeiten und Neuerungen. Hier halten wir Sie auf dem Laufenden!

Weitere Neuigkeiten zu Normen und Product Compliance
GLOBALNORM News
Unsere Weihnachtsaktion "Spenden statt Versenden" 2024

Nächstenliebe statt Weihnachtskarten

mehr

Ausgezeichnet! Als Unternehmerin und Unternehmer der Zukunft 2024

Nachricht vom diind

mehr

Produktkanzlei und GLOBALNORM

Für die Kunden 360°-Service bieten

mehr

STANDARDS News
Gemeinsame Spezifikationen (GS) der EU

Ausweichlösung, wenn keine harmonisierten Normen vorliegen

mehr

Neue Entwicklung zum Fall „Malamud“ und kostenlose Bereitstellung von Normen

ISO und IEC reichen Klage gegen die Europäische Kommission ein

mehr

Die neue DIN EN IEC 31010:2024-12 zur Risikobeurteilung

Risikomanagement - Verfahren zur Risikobeurteilung (IEC 31010:2019); Deutsche Fassung EN IEC 31010:2019

mehr

COMPLIANCE News
Cybersicherheitsnormen (EN 18031-Serie) zur RED im EU-Amtsblatt gelistet

Listing mit Einschränkungen

mehr

Funk-Normen die zur Streichung aus dem EU-Amtsblatt anstehen

Technologie-Neutralität. Strategie der EU-Kommission

mehr

VR China: Erweiterung der „China RoHS“

Neue Stoffe ab 2026

mehr

Login
x

Gemäß der Cookie-Richtlinie der EU (RL 2009/136/EG) möchten wir Sie darüber informieren, dass unsere Website Cookies verwendet. Wenn Sie unsere Webseite benutzen, akzeptieren Sie das und stimmen unseren Datenschutzbestimmungen zu. Welche Cookies konkret gesetzt werden und wie Sie von Ihrem Widerspruchsrecht Gebrauch machen können, erfahren Sie auf unserer Seite zum. Datenschutz.

OK