Cyber Resilience Act (CRA)

Der Cyber Resilience Act (CRA) ist ein von der Europäischen Kommission vorgeschlagenes Gesetz, das erstmals verbindliche Cybersicherheitsanforderungen für digitale Produkte und Software festlegt, die auf dem europäischen Binnenmarkt angeboten werden. Ziel des CRA ist es, ein hohes Maß an Cybersicherheit über den gesamten Lebenszyklus eines Produkts hinweg sicherzustellen – von der Entwicklung über die Nutzung bis hin zur Entsorgung.

Der CRA verfolgt einen risikobasierten Ansatz und legt konkrete Pflichten für Hersteller, Importeure und Händler digitaler Produkte fest. Dazu gehören:

• Die sichere Gestaltung („Security by Design“)

• Regelmäßige Updates und Schwachstellenbehebungen

• Transparente Kommunikation über bekannte Sicherheitslücken

• Eine Pflicht zur Risikoanalyse vor der Markteinführung

Besonders relevant ist der CRA für Hersteller von Geräten im Internet of Things (IoT), für Softwareanbieter, Anbieter digitaler Services sowie für Produkte mit eingebetteter Software. Auch Open-Source-Software wird unter bestimmten Bedingungen vom CRA erfasst.

Ein zentrales Element ist die Pflicht zur Meldung schwerwiegender Sicherheitsvorfälle innerhalb von 24 Stunden sowie ein Konformitätsbewertungsverfahren, das sicherstellt, dass Produkte vor der Markteinführung grundlegenden Sicherheitsanforderungen entsprechen.

Der CRA soll voraussichtlich im Laufe des Jahres 2025 vollständig in Kraft treten. Unternehmen müssen sich frühzeitig mit den neuen Anforderungen auseinandersetzen, ihre Produktentwicklung anpassen und Prozesse zur Sicherheitsdokumentation implementieren.

Langfristig soll der CRA das Vertrauen in digitale Produkte stärken, Sicherheitslücken reduzieren und die Wettbewerbsfähigkeit Europas im globalen Technologiemarkt sichern.