Cyber Resilience Act: Countdown läuft

Redaktion / mg,
Linkedin

Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick zu nehmen.

An diesem Mittwoch wurde der Cyber Resilience Act (CRA) offiziell im Amtsblatt der Europäischen Union veröffentlicht. Damit läuft der der Countdown für die Umsetzung der Cybersicherheitsvorschriften nun auch ganz offiziell. Der Cyber Resilience Act legt horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen in der EU fest, um weit verbreitete Sicherheitslücken und inkonsistente Sicherheitsupdates anzugehen.

Dazu sagt Norbert Pohlmann, Vorstand für IT-Sicherheit im Internetverband eco: „Der CRA hat das Potenzial, Europa als Vorreiter in der Cybersicherheit zu positionieren und langfristig globale Standards für vernetzte Geräte zu setzen – insbesondere in Bezug auf IoT-Anwendungen. Dies ist nicht nur ein Gewinn für die Sicherheit von Endgeräten, sondern auch für die Stabilität unserer digitalen Infrastrukturen insgesamt.“

Hersteller in der Pflicht

Damit ist der Cyber Resilience Act die erste europäische Verordnung, die ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte festlegt, die auf dem EU-Markt in den Verkehr gebracht werden. Begrüßenswert sei laut Pohlmann zunächst, dass der CRA die Verantwortlichkeiten klar zuweise: „Hersteller werden stärker in die Pflicht genommen, Cybersicherheitsanforderungen nicht nur bei der Entwicklung, sondern über den gesamten Lebenszyklus ihrer Produkte zu erfüllen. Dieser Ansatz ist ein entscheidender Schritt, um die Resilienz und das Vertrauen in digitale Produkte nachhaltig zu stärken.“

Die gefundene Lösung für Open-Source-Technologien stelle einen Kompromiss dar, der Sicherheitsanforderungen und Innovationsförderung zusammenbringt, so Pohlmann weiter. Um aber wirklich sicherzustellen, dass Open-Source-Projekte nicht durch übermäßige Anforderungen beeinträchtigt werden müsse man die Umsetzung weiterhin kritisch und konstruktiv begleiten.

Herausforderung für kleine Unternehmen

Gleichzeitig sei die feingliedrige Systematik des CRA, insbesondere die Unterscheidung in vier Risikokategorien, mit gemischten Gefühlen zu sehen: „Während diese Differenzierung für mehr Klarheit sorgt, könnte sie für kleinere Unternehmen und andere Akteure im Markt zu komplex sein. Hier wird es darauf ankommen, die Handhabbarkeit der Regelungen in der Praxis sicherzustellen und unnötige Bürokratie zu vermeiden“, gibt der IT-Experte zu Bedenken.

Insgesamt sei der CRA aber ein wichtiger Meilenstein für die Stärkung der Cybersicherheit in Europa, so Pohlmann weier. Der Branchenverband eco werde sich aktiv dafür einsetzen, dass die Verordnung ihre Ziele erreicht und dabei praktikable Lösungen für alle Marktteilnehmer entwickelt werden.