Der EU Cyber Resilience Act: Was man wissen muss
Der neue Cyber Resilience Act geht die Cybersicherheit produktseitig an. Hersteller sollen Produkte mit digitalen Elementen standardmäßig sicherer und weniger anfällig für Angriffe machen und damit die Verbraucher in die Lage versetzen, solche Produkte sicher zu nutzen.
Mit dem jüngst im Oktober beschlossenen Cyber Resilience Act (CRA) geht die Europäische Union ganz neue Wege in der Regulierung von Cybersicherheit: Wo die NIS2-Richtlinie und ihre Umsetzungen durch die Mitgliedsstaaten unternehmensbezogene Vorgaben enthalten, liegt der Fokus des CRA als unmittelbar geltende europäische Verordnung auf Produkten mit digitalen Elementen, die von Unternehmen hergestellt, importiert und auf dem europäischen Markt vertrieben werden. Dazu zählen auch rein digitale Produkte, also Software.
Die dahinterstehende Grundidee ist einfach: Es bedarf nicht nur sicherer Prozesse, sondern auch sicherer Produkte, um flächendeckend mehr Cybersicherheit zu erreichen. Insoweit kann der CRA auch als bislang noch fehlendes Puzzlestück in der europäischen Cybersicherheitslandschaft gesehen werden, das in diesen Zeiten dringender denn je benötigt wird. Dabei reicht die Geschichte der hinter dem CRA stehenden regulatorischen Intention noch weiter in die Vergangenheit zurück, denn in den letzten zehn Jahren hat die Vernetzung durch digitale Produkte sowohl im betrieblichen wie auch im privaten Umfeld massiv zugenommen – und damit zwangsläufig auch die Bedrohungslage.