Cyber Resilience Act (CRA)

kommunikation@skwschwarz.de

Worum geht es?

Der CRA enthält Anforderungen an die Cybersicherheit von Produkten mit digitalen Elementen. Die Umsetzung dieser Anforderungen soll durch Marktüberwachung und erhebliche Sanktionsdrohungen gewährleistet werden.  

Aktueller Stand und Zeitplan

Im Dezember 2023 haben sich der Rat und das Parlament informell auf den Verordnungstext geeinigt, der am 12. März 2024 vom Parlament angenommen wurde. Für das Inkrafttreten ist noch die formelle Billigung des Rates erforderlich. Die Regelungen des CRA gelten 36 Monate nach Inkrafttreten, bestimmte Meldepflichten jedoch bereits nach 21 Monaten.

Wer ist betroffen?

Die Anforderungen an Produkte mit digitalen Elementen und an die Prozesse für den Umgang mit Schwachstellen betreffen nicht nur die Produkthersteller. Auch Importeure und Distributoren obliegen bestimmte Prüfpflichten. Größenbezogene Ausnahmen gibt es nicht. Vom CRA ausgenommen sind allerdings Hersteller von Medizinprodukten und Fahrzeugsicherheitssystemen. 

Welche Herausforderungen gibt es?

Der CRA umfasst eine Vielzahl an Vorgaben für „Produkte mit digitalen Elementen“. Dabei handelt es sich um alle Software- und Hardware-Produkte sowie „remote“ Datenverarbeitungslösungen, ohne die eine vorgesehene Funktion des jeweiligen Produkts mit digitalen Elementen nicht ausgeführt werden könnte. Zu den Vorgaben gehören u.a. 

  • Einhaltung der Anforderungen an die Cybersicherheit während des gesamten Herstellungsprozesses, d.h. sowohl in der Planungs- als auch in der Entwurfs-, Entwicklungs-, Produktions- und Vertriebsphase.  
  • Konformitätsbewertungen auf Basis harmonisierter EU-Standards, Dokumentation durch das CE-Kennzeichen. 
  • Etablierung von Prozessen für den Umgang mit Schwachstellen der Cybersecurity, einschließlich kostenloser Bereitstellung von Security Updates.  
  • Informationspflichten gegenüber Nutzern und europäischen Agentur für Cybersicherheit (ENISA). 
  • Prüfpflichten für Importeure und Händler im Hinblick auf die Einhaltung der Vorgaben des CRA durch den Hersteller. 

Unsere Expertise für Ihren Erfolg:

SKW Schwarz ist bestens positioniert, um Unternehmen bei der Einhaltung der zu erwartenden Vorgaben des CRA zu unterstützen. Dazu gehören: 

  • Compliance-Check: Wir prüfen Ihre aktuellen Geschäftspraktiken, um sicherzustellen, dass diese mit den neuen Bestimmungen übereinstimmen und geben Handlungsempfehlungen für eventuelle Anpassungen. 
  • Beratung bei Berichtspflichten: Wir führen Sie durch die neuen Berichtsanforderungen und helfen Ihnen, Prozesse für eine präzise Berichterstattung zu etablieren.  
  • Vertragsmanagement: Wir unterstützen Sie bei der Gestaltung und Prüfung von Verträgen für Produkte mit digitalen Elementen im Einklang mit den neuen Anforderungen. 
  • Bußgeldvermeidung: Unser Team hilft Ihnen dabei, Bußgelder zu vermeiden, indem es Sie durch die Anforderungen des neuen Gesetzes führt und Ihnen bei der Implementierung notwendiger Maßnahmen zur Einhaltung der Vorschriften hilft. 
  • Krisenmanagement und -prävention: Wir stehen Ihnen bei Cybervorfällen sowie rechtlichen Auseinandersetzungen zur Seite und entwickeln präventive Strategien, um Risiken zu minimieren. 
  • Schulungen, Seminare und interne Richtlinien: Wir bieten Schulungen und Seminare an und erstellen interne Richtlinien, um Unternehmen und ihre Mitarbeiter über die Anforderungen des CRA aufzuklären und Empfehlungen zur Umsetzung zu geben. 

Sind Sie bereit, die Herausforderungen des Cyber Resilience Act (CRA) anzugehen?

Vereinbaren Sie jetzt ein Beratungsgespräch mit unseren Experten.