Sichere digitale Produkte? Was der EU Cyber Resilience Act für Verbraucher und Hersteller bedeutet
Ob Smart Watch, Dating-App oder Zeiterfassungssystem – künftig müssen nahezu alle digitalen Produkte europaweit gewisse Mindeststandards der Cybersicherheit erfüllen. Grund dafür ist der seit Dezember 2024 in Kraft befindliche EU Cyber Resilience Act.
Vernetzte Geräte durchdringen alle Bereiche unseres Alltags, sorgen bei Verbrauchern aber auch immer wieder für Unbehagen. Es gibt kaum Garantien dafür, dass die vernetzte Spielzeugpuppe nicht zum Ausspionieren der eigenen Kinder missbraucht werden kann. Oder dass für die Security-Kamera plötzlich keine Updates mehr bereitgestellt werden.
Fakt ist: Die Sicherheitsmerkmale vieler Geräte und Anwendungen, mit denen wir täglich interagieren, sind schlichtweg unzureichend. Gleichzeitig sehen wir uns aber einer hochprofessionell agierenden Szene bestens organisierter Cyberkriminalität gegenüber.
Diese zunehmend besorgniserregende Situation bleibt auch dem Gesetzgeber nicht verborgen. Der EU Cyber Resilience Act (CRA) ist eine direkte Reaktion darauf. Die EU-Verordnung schafft erstmals europaweit geltende Cybersicherheitsvorgaben für die Produktsicherheit. Sie soll Verbraucher besser schützen und die Resilienz in Europa vor Cyberangriffen erhöhen.
Ab wann der CRA gilt und welche Produkte betroffen sind
Der Cyber Resilience Act wurde am 23. Oktober 2024 verabschiedet und ist seit dem 11. Dezember 2024 in Kraft.
Die Umsetzung erfolgt schrittweise in mehreren Etappen bis zum 11. Dezember 2027.
Betroffen sind laut der Verordnung sogenannte „Produkte mit digitalen Elementen“. Darunter fallen Hardwareprodukte wie Smartphones, Fitness-Armbänder und vernetzte Thermostate ebenso wie reine Softwareprodukte – sei es die Buchhaltungsanwendung oder die schlichte Wetter-App.
Ausgenommen sind ausschließlich nicht-kommerzielle Open Source-Softwareprodukte sowie Produkte, die bereits anderen strengen EU-Rechtsvorschriften unterliegen. Dazu gehören zum Beispiel Medizinprodukte oder Komponenten für Kraftfahrzeuge.
Neben Standardprodukten – der Kategorie, die in den meisten Fällen zutrifft – unterscheidet die Verordnung auch noch zwischen wichtigen und kritischen Produkten, die jeweils strengeren Anforderungen unterliegen:
Wichtige Produkte mit digitalen Elementen
sind zum Beispiel Passwortmanager, Betriebssysteme, Router sowie Smart Home-Geräte wie Türschlösser und Sicherheitskameras.
Kritische Produkte mit digitalen Elementen
sind vor allem Smart-Meter-Gateways, Chipkarten, und Hardwaregeräte mit Sicherheitsboxen.
Kernvorgaben: Security by Design und Security by Default
Um Produkte sicherer zu machen, müssen Hersteller künftig eine Reihe von Vorgaben erfüllen. Die wichtigsten davon sind zwei Entwicklungsvorgaben:
Security by Design
basiert auf der Erkenntnis, dass man Sicherheit nicht einfach im Nachhinein auf ein digital Produkt draufflanschen kann. Security muss ein integraler Aspekt der Produktentwicklung sein. Hersteller müssen deshalb schon früh in der Entwicklungsphase eine Risikobewertung durchführen und die Angriffsfläche möglichst klein halten.
Security by Default
bezieht sich vor allem auf die Konfiguration, sprich: sichere Standardeinstellungen. So ist es laut der CRA-Verordnung z.B. bald verboten, ein Produkte mit schwachen Standardpasswörtern auszuliefern. Darüber hinaus werden Mechanismen zur automatischen Installation von Sicherheitsupdates Pflicht.
Neben diesen Kernprinzipien gibt es eine Reihe weiterer Anforderungen. Auf Softwareebene müssen die Hersteller beispielsweise mit Hilfe sogenannter Software Bills of Materials (SBOMs) klar dokumentieren, welche Bestandteile bzw. Drittbibliotheken zum Einsatz kommen.
Anlehnung an CE-Kennzeichnung und Meldepflicht für Schwachstellen
Um die Hersteller nicht vor unverhältnismäßig hohe Zusatzaufwände zu stellen, baut die Umsetzung der Verordnung auf der CE-Kennzeichnung auf. Viele Firmen kennen den damit verbundenen Nachweisprozess schon.
Für kleinere und mittlere Unternehmen (KMU) sowie Startups sind Unterstützungsangebote geplant. Dazu gehören Leitlinien für die Umsetzung und Helpdesks zur Unterstützung der Meldepflichten.
Die digitalen Produkte müssen nämlich nicht nur sicherer gestaltet sein. Die Hersteller sind künftig auch dazu verpflichtet, erkannte Schwachstellen und Sicherheitsprobleme auf einer Meldeplattform zu veröffentlichen.
Vorteile für Verbraucher: Höhere Transparenz und garantierte Sicherheitsupdates
Für Verbraucher in der EU ist die CRA-Verordnung eine gute Nachricht. Du kannst dich schon jetzt darauf freuen, ab Ende 2027 Produkte mit höheren Sicherheitsanforderungen als heute auf dem Markt zu finden.
Die neu eingeführten Meldepflichten machen zudem transparenter, wie es um die Cybersicherheit bestimmter Produkte steht und unterstützen eine informierte Kaufentscheidung.
Auch die Zeitspanne für den Support ist künftig klar geregelt. So müssen Hersteller innerhalb des gesamten Produktelebenszyklus – in der Regel 5 Jahre – Security Updates für ihre Produkte bereitstellen.
Wir beantworten gerne alle Fragen.
Kontaktiere uns über das untenstehende Formular oder auch unter +43 5 9555
und office@techbold.at. Unsere vollständigen Adressdaten findest du hier
Sie sehen gerade einen Platzhalterinhalt von HubSpot. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen
Evelyn Heinrich
Head of Account Management
oder ein Account Manager aus ihrem Team melden sich umgehend.
