In den Trilog-Verhandlungen über den Cyber Resilience Act haben EU-Kommission, Europaparlament und der Rat der Europäischen Union eine Einigung erzielt.
Der Cyber Resilience Act ist die erste Gesetzgebung dieser Art in der Welt. Er soll das Niveau der Cybersicherheit digitaler Produkte zum Nutzen von Verbrauchern und Unternehmen in der gesamten EU verbessern, da er verhältnismäßige verbindliche Cybersicherheitsanforderungen für alle Hard- und Software einführt – von Babyfonen, Smartwatches und Computerspielen bis hin zu Firewalls und Routern. Für Produkte, die mit unterschiedlichen Risiken verbunden sind, gelten unterschiedliche Sicherheitsanforderungen. Weniger als 10% der Produkte werden einer Bewertung durch Dritte unterzogen werden.
Mit dieser neuen Verordnung müssen alle Produkte, die in der EU auf den Markt gebracht werden, cybersicher sein. Dies ist ein entscheidender Schritt im Kampf gegen die wachsende Bedrohung durch Cyber-Kriminelle und andere böswillige Akteure.
Sobald der Cyber Resilience Act in Kraft ist, müssen die Hersteller von Hardware und Software Cybersicherheitsmaßnahmen über den gesamten Lebenszyklus des Produkts hinweg umsetzen, vom Entwurf und der Entwicklung bis hin zum Inverkehrbringen des Produkts. Software- und Hardwareprodukte werden die CE-Kennzeichnung tragen, um anzuzeigen, dass sie den Anforderungen der Verordnung entsprechen und daher in der EU verkauft werden können.
Nächste Schritte
Die erzielte Einigung muss nun noch vom Europäischen Parlament und vom Rat formell genehmigt werden. Nach seiner Verabschiedung wird der Cyber Resilience Act am 20. Tag nach seiner Veröffentlichung im Amtsblatt in Kraft treten.
Nach dem Inkrafttreten haben Hersteller, Importeure und Vertreiber von Hardware- und Softwareprodukten 36 Monate Zeit, um sich an die neuen Anforderungen anzupassen, mit Ausnahme einer begrenzteren Frist von 21 Monaten in Bezug auf die Meldepflicht der Hersteller für Vorfälle und Schwachstellen.