Der Cyber Resilience Act

Der Cyber Resilience Act (CRA) ist ein weiteres Puzzlestück der Cybersicherheits-Offensive der EU. Neben der NIS-2-Richtlinie, die auf die Stärkung der allgemeinen Cybersicherheit vor allem im Bereich der kritischen Infrastruktur abzielt, und dem Digital Operational Resilience Act (kurz DORA), durch den die digitale Betriebsresilienz im Finanzsektor verbessert werden soll, hat der CRA das Ziel, die Cybersicherheit von Produkten mit digitalen Elementen zu verbessern.

Ein weiterer Baustein im Cybersicherheitskonzept der EU

Beitrag von Lennart Schafmeister —

An wen richtet sich der CRA?

Der CRA richtet sich an Hersteller, Importeure und Händler von Produkten mit digitalen Elementen. Das bedeutet, wenn Ihr Unternehmen smarte Kühlschränke, vernetzte Spielzeuge oder andere IoT-Geräte herstellt oder vertreibt, sollten Sie jetzt besonders aufmerksam sein.

Was müssen betroffene Unternehmen beachten?

Unternehmen müssen sicherstellen, dass ihre Produkte den neuen Sicherheitsanforderungen entsprechen. Dazu gehören:

  • Sicherheitsbewertungen vor der Markteinführung: Produkte müssen umfassend auf Sicherheitslücken und Schwachstellen geprüft werden, einschließlich Penetrationstests, Code-Reviews und Sicherheitsaudits.
  • Kontinuierliche Überwachung und Updates: Nach der Markteinführung müssen Produkte regelmäßig überwacht und aktualisiert werden. Dazu gehören Sicherheitsupdates, kontinuierliches Monitoring und ein Incident Response Plan.
  • Transparenz und Informationspflichten: Unternehmen müssen klare und verständliche Informationen über die Sicherheitsmerkmale ihrer Produkte bereitstellen, einschließlich Sicherheitsdokumentation, Offenlegung von Sicherheitsvorfällen und Nutzeraufklärung.
  • Einhaltung von Standards und Zertifizierungen: Produkte müssen den relevanten Sicherheitsstandards und Zertifizierungen entsprechen, wie etwa ISO/IEC 27001 und CE-Kennzeichnungsverfahren.

Seit wann gilt der CRA?

Der Cyber Resilience Act soll noch Ende dieses Jahres in Kraft treten. Hersteller haben dann dank einer 36-monatigen Übergangsfrist bis 2027 Zeit, sicherzustellen, dass ihre Produkte den neuen Anforderungen entsprechen.

Im Überblick

Der CRA ist ein wichtiger Schritt zur Verbesserung der Cybersicherheit in der EU, bringt aber auch Herausforderungen mit sich. Unternehmen müssen erhebliche Ressourcen investieren, um die neuen Anforderungen zu erfüllen. Besonders für kleine und mittlere Unternehmen kann dies eine finanzielle und organisatorische Belastung darstellen. Dennoch sollten Unternehmen bereits jetzt gut vorbereitet sein, um auf die kommenden Vorschriften reagieren zu können.
Frühzeitige Investitionen in Sicherheitsmaßnahmen ersparen nicht nur kostspielige Nachbesserungen und mögliche Bußgelder, sondern stärken auch das Vertrauen der Kunden. Unternehmen, die jetzt auf Sicherheitsbewertungen, regelmäßige Updates und die Einhaltung schon bald erforderlicher Standards setzen, sichern sich einen Wettbewerbsvorteil und minimieren das Risiko von Cyberangriffen. Eine vorausschauende Vorbereitung bietet zudem die Chance, neue Sicherheitsanforderungen als Qualitätssiegel zu nutzen und sich als vertrauenswürdiger Marktteilnehmer zu positionieren.

Unsere Partnerschaft ist nach DIN ISO 9001 zertifiziert für anwaltliches Dienstleistungs- und Kanzleimanagement.

Suche
Geben Sie Ihren Suchbegriff ein
Bitte warten…
Keine Ergebnisse

Leider hat Ihre Suche nichts ergeben. Versuchen Sie es gerne erneut mit einer anderen Eingabe.

Unser Tipp:

Verwenden Sie möglichst wenige Suchwörter und vermeiden Sie fehlerhafte Rechtschreibung.