Mit seiner Verkündung im Amtsblatt der EU am 20. November 2024 hat der Cyber Resilience Act (CRA) die Anforderungen an digitale Produkte in der EU verschärft. Hersteller, Importeure und Vertreiber müssen ihre Cybersicherheitsrichtlinien und -praktiken dahingehend anpassen.
Im Fokus stehen ein umfassendes Schwachstellen-Management, die verpflichtende CE-Kennzeichnung, die Cybersicherheit von digitalen Produkten und strenge Meldepflichten von Sicherheitsvorfällen. Der CRA stellt neue verbindliche und umfangreiche Anforderungen an die Cybersecurity von vernetzten Hardware- und Software-Produkten in der Europäischen Union. „Ziel ist, sogenannte ‚Produkte mit digitalen Elementen‘ sicherer zu machen. Darüber hinaus sollen Hersteller zum Schutz von Unternehmen und Verbrauchern während des gesamten Lebenszyklus für die Cybersicherheit der Produkte verantwortlich sein“, sagt Maxime Hernandez, IoT Cybersecurity Program Manager bei TÜV SÜD. Die neue Verordnung gilt für Produkte wie Smart-TVs, Firmware, Sensoren zur Überwachung von Maschinen und für Produkte, die in Industrieanlagen eingesetzt werden. Ausgenommen sind unter anderem Medizinprodukte und Sicherheitssysteme für Kraftfahrzeuge und die zivile Luftfahrt, für die eigene branchenspezifische Anforderungen gelten.
Text-/Bildquelle: TÜV SÜD