Mit dem Cyber Resilience Act (CRA) setzt die EU erstmals verbindliche Mindeststandards für die Sicherheit digitaler Produkte und Software. Ab Dezember 2027 dürfen nur noch CRA-konforme Produkte auf dem EU-Markt bereitgestellt werden – eine Entwicklung, die Unternehmen aller Branchen betrifft.
Unser IT-Rechts- und Datenschutzexperte RA Georg Huber zeigt in seinem aktuellen Beitrag – nachzulesen in der TIROLER WIRTSCHAFT, dem Magazin der Wirtschaftskammer Tirol – worauf es ankommt:
Welche Unternehmen sind vom Cyber Resilience Act betroffen? Welche Pflichten kommen auf sie zu? Und wie können Produkte mit digitalen Elementen – von Smart-Home-Geräten bis zu Industrieanlagen – sicher gestaltet werden?
Der folgende Auszug gibt einen kurzen Einblick in den Artikel, der nachstehend auch in voller Länge verlinkt ist:
Sicherheit. Mit dem Cyber Resilience Act (CRA) hat die EU einen weiteren Digitalisierungs-Rechtsakt erlassen. Er verpflichtet Unternehmen, digitale Schwachstellen in vernetzten Produkten zu beseitigen und damit deren Sicherheit zu erhöhen. Vernetzte Produkte bieten nämlich oft ein Einfallstor für Cyberangriffe, die weitreichende Folgen nicht nur für die betroffenen Unternehmen, sondern auch für die gesamte Wirtschaft haben können.
Wer ist betroffen?
Betroffen sind alle Unternehmen, die Produkte mit digitalen Elementen oder Software herstellen, vertreiben, importieren oder als Bestandteil eigener Lösungen ausliefern. Dazu zählen etwa:
• Hersteller und Entwickler von Elektronik und Software
• Handelsunternehmen, die vernetzte Geräte verkaufen
• Serviceanbieter, die digitale Lösungen vertreiben
• Unternehmen, die Produkte aus Nicht-EULändern importieren (z.B. chinesische IoT-Geräte)
Nicht-kommerzielle Open-Source-Software und einige bereits speziell regulierte Produkte (z.B. Medizinprodukte) sind ausgenommen.
Was ist ein „Produkt mit digitalen Elementen“?
Darunter fallen alle Geräte und Software, die mit Netzwerken kommunizieren („Connected Products“), z.B.:
• Smarte Kaffeemaschinen, Smart-HomeKomponenten, vernetzte Maschinen
• Branchensoftware, die ans Internet angebunden ist
• Industrieanlagen mit Fernwartung, Gebäudetechnik oder IoT-Sensoren
Grundlegende CRA-Pflichten
Für alle betroffenen Unternehmen gelten folgende grundlegenden Pflichten:
• Security by Design: Cybersicherheit muss von Anfang an bei der Produktentwicklung mitgedacht werden, entsprechende Standardeinstellungen vorsehen
• Schwachstellenmanagement: proaktive Identifizierung, Klassifizierung, Dokumentation von Sicherheitslücken
• Meldepflicht: Sicherheitsvorfälle spätestens 24 Stunden nach Bekanntwerden melden
• Regelmäßige Sicherheitsupdates: für mindestens 5 Jahre nach Markteinführung bereitstellen
• Datenschutz und Vertraulichkeit: Gewährleistung von Vertraulichkeit und Datenintegrität
• Ereignisreaktion und Resilienz: Erkennung von Sicherheitsvorfällen und deren Abwehr
[…]
Zum Artikel in der Tiroler Wirtschaft (Ausgabe 10 | 2025) – Magazin der Wirtschaftskammer Tirol:
