Das Update des Compliance-Managementsystems „Recht im Betrieb“ enthält die Verordnung (EU) 2024/2847 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen, den sog. Cyber Resilience Act (CRA). Am 11.12.2024 ist die Verordnung in Kraft getreten. Sie wird schrittweise eingeführt. So können ab Juni 2026 Konformitätsbewertungsstellen die Erfüllung der Anforderungen des CRA bewerten, ab September 2026 gilt eine Meldepflicht für Schwachstellen und weitere Sicherheitsvorfälle beginnt. Ab 11. Dezember 2027 müssen dann sämtliche Anforderungen des CRA bei neuen Produkten eingehalten werden.

Anwendungsbereich

Die Verordnung gilt für auf dem Markt bereitgestellte Produkte mit digitalen Elementen, deren bestimmungsgemäßer Zweck oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt. Die Vorschrift soll sicherstellen, dass eine Vielzahl an Produkten wie vernetzte Heimkameras, Kühlschränke, Fernseher, Spielzeug und auch Maschinen sicher sind, bevor sie auf den Markt gebracht werden.

Pflichten

Produkte mit digitalen Elementen müssen fortan grundlegenden Cybersicherheitsanforderungen genügen, die schon bei der Produktentwicklung mit einbezogen werden müssen. Die Hersteller haben eine Bewertung der Cybersicherheitsrisiken durchzuführen, die ein Produkt mit digitalen Elementen birgt, und das Ergebnis dieser Bewertung in der Planungs-, Konzeptions-, Entwicklungs-, Herstellungs-, Liefer- und Wartungsphase des Produkts mit digitalen Elementen zu berücksichtigen. Produkte mit digitalen Elementen müssen ohne bekannte ausnutzbare Schwachstellen und mit einer sicheren Standardkonfiguration auf dem Markt bereitgestellt werden. Die Produkte müssen sicherstellen, dass Schwachstellen durch Sicherheitsaktualisierungen behoben werden können und müssen durch geeignete Kontrollmechanismen Schutz vor unbefugtem Zugriff bieten. Schwerwiegende Sicherheitsvorfälle müssen über die eingerichtete einheitliche Meldeplattform gemeldet werden.