Auf den Punkt: Die CRA tritt am 11. Dezember 2024 in Kraft. Ab 11. Dezember 2027 müssen alle neuen Produkte die CRA-Anforderungen erfüllen. Hersteller müssen Risiken bewerten, Schwachstellen beheben und regelmäßig Sicherheitsupdates bereitstellen. Ab 11. September 2026 müssen Schwachstellen und Sicherheitsvorfälle gemeldet werden.
Die Cyber Resilience Act (CRA) ist eine neue EU-Verordnung, die verbindliche Sicherheitsstandards für Produkte mit digitalen Elementen festlegt. Sie erklärt die Cybersecurity-Anforderungen, die Hersteller, Importeure und Distributoren erfüllen müssen, um Produkte auf dem EU-Markt in Verkehr bringen zu dürfen.
Die Cyber Resilience Act schafft EU-weit einheitliche Standards für die Cybersicherheit von Hardware und Software. Ziel ist es, Sicherheitsrisiken zu minimieren und Netz-, Informationssysteme, Verbraucher und Unternehmen zu schützen.
Erfasste Produkte umfassen beispielsweise Smartphones, Laptops, Smart-Home-Produkte, Smartwatches, vernetzte Spielzeuge, Mikroprozessoren, Firewalls, Buchhaltungssoftware, Computerspiele und mobile Anwendungen. Ausgenommen sind bestimmte Medizinprodukte, Luftfahrttechnik und die meisten Fahrzeuge.
Die CRA unterteilt betroffene Produkte in Kategorien: wichtige Produkte der Klasse I (beispielsweise Identitätsmanagementsysteme, Zugangskontrollen, Passwort-Manager und Smart-Home-Systeme), Klasse II (Hypervisoren, Container-Runtime-Systeme) und kritische Produkte mit Sicherheitselementen.
Hersteller müssen sicherstellen, dass Produkte und ihre Prozesse bestimmte Anforderungen erfüllen. Sie müssen technische Dokumentationen vorbereiten, Konformitätserklärungen erstellen und CE-Kennzeichnungen anbringen. Neben Herstellern sind auch Importeure und Distributoren von der Verordnung betroffen. Die Umsetzung der CRA-Anforderungen wird für viele Unternehmen erhebliche Änderungen im Support und der Wartung erfordern.
Quelle: www.activemind.legal