Der Rat der EU-Innenministerinnen und Innenminister hat heute den Cyber Resilience Act (CRA) beschlossen. Damit werden erstmals verbindliche Sicherheitsstandards für alle vernetzten Geräte eingeführt.
Von der smarten Kaffeemaschine bis zum vernetzten Babyphone – der CRA nimmt alle internetfähigen Geräte ins Visier. In Zukunft wird kein vernetztes Produkt mehr ohne Sicherheitscheck auf den EU-Markt kommen. Diese Neuerung schließt eine kritische Lücke in der bisherigen Regulierung, die nur einzelne Produktkategorien abdeckte
CE-Siegel wird zum Cyberschild
Ein zentraler Aspekt des CRA ist die Einführung der CE-Kennzeichnung für alle vernetzten Produkte. Dieses bekannte Symbol werde künftig nicht nur für allgemeine Produktsicherheit stehen, sondern soll auch garantieren, dass das Gerät grundlegende Cybersicherheitsstandards erfüllt.
Bundesinnenministerin Nancy Faeser betont die Bedeutung dieser Maßnahme: “Vernetzte Produkte erleichtern unseren Alltag. Aber sie können auch von Kriminellen ausgenutzt werden. Deshalb müssen sie sicher sein. Man muss sich darauf verlassen können, dass ein vernetztes Gerät, das man bei sich trägt oder zu Hause hat, kein Sicherheitsrisiko ist. Mit dem Cyber Resilience Act heben wir die Cybersicherheit in Europa auf ein neues Niveau. Davon werden Verbraucherinnen und Verbraucher genauso profitieren wie die Wirtschaft. Sie werden in Zukunft anhand des vertrauten CE-Kennzeichens mit einem Blick erkennen können, dass ein vernetztes Gerät wesentliche Cybersicherheitsanforderungen erfüllt. Das bewährte CE-Kennzeichen steht damit nun auch für Sicherheit gegen Cyberbedrohungen.
“
Pflichten für Wirtschaftsakteure und Übergangszeitraum
Der CRA stellt die gesamte Lieferkette vor neue Herausforderungen. Hersteller müssen nicht nur Sicherheitsupdates bereitstellen, sondern auch Schwachstellen an eine zentrale Stelle melden. Händler und Importeure tragen ebenfalls Verantwortung für die Einhaltung der Standards. Diese neuen Anforderungen werden die Cybersicherheit stärken, bedeuten aber auch zusätzlichen Aufwand für die Unternehmen.
In drei Jahren müssen alle neuen Produkte CRA-konform sein. Einige Bestimmungen, wie die Meldepflicht für Sicherheitslücken, greifen bereits nach 21 Monaten.