Cyberresilienz-Verordnung – Cyber Resilience Act (CRA)
Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnungen (EU) Nr. 168/2013 und (EU) 2019/1020 und der Richtlinie (EU) 2020/1828 (Cyberresilienz-Verordnung)
Der Rechtsakt wurde am 23. Oktober beschlossen, am 20. November im Amtsblatt der EU veröffentlicht und ist am 11. Dezember 2024 in Kraft getreten. Die Regelungen der Verordnung sind in Österreich erst ab 11. Dezember 2027 vollständig anwendbar, wobei bestimmte Pflichten bereits vor diesem Datum in Österreich gelten.
Zielsetzung
Die Cyberresilienz-Verordnung, auch bekannt unter Cyber Resilience Act (CRA), soll die Cybersicherheit von Produkten, die eine digitale Komponente enthalten, verbessern und verpflichtet Hersteller und Einzelhändler, die Cybersicherheit während des gesamten Lebenszyklus ihrer Produkte mit digitalen Komponenten sicherzustellen.
Pflichten
Von der Cyberresilienz-Verordnung sind alle Produkte erfasst, die direkt oder indirekt mit einem anderen Gerät oder Netzwerk verbunden sind. Nur bei Erfüllung der Cybersicherheitsanforderungen, erhalten diese Produkte die CE-Kennzeichnung und dürfen am europäischen Markt vertrieben werden. Bestimmte Ausnahmen bestehen für Produkte, die bereits unter bestehende Vorschriften fallen (Medizinprodukte, Luftfahrt und bestimmte Fahrzeug).
Marktüberwachung und notifizierende Behörde gemäß CRA
Der Cyber Resilience Act (CRA) sieht vor, dass in den Mitgliedstaaten neben Marktüberwachungsbehörden (welche die Einhaltung der Pflichten durch den CRA überprüfen) auch notifizierende Behörden einzurichten sind, welche ihrerseits Konformitätsbewertungsstellen bewerten, notifizieren und überwachen.
Die notifizierende Behörde ist im Bundeskanzleramt angesiedelt.
Weitere Zuständigkeiten werden in den nächsten Monaten im Rahmen der Durchführung der Cyberresilienz-Verordnung festgelegt.