Alle Fokusthemen

Cyber Resilience Act (CRA)

Worum geht es?

Der CRA enthält Anforderungen an die Cybersicherheit von Produkten mit digitalen Elementen. Die Umsetzung dieser Anforderungen soll durch Marktüberwachung und erhebliche Sanktionsdrohungen gewährleistet werden.  

Aktueller Stand und Zeitplan

Im September 2022 hat die EU-Kommission den Vorschlag für eine entsprechende Verordnung veröffentlicht. Damit hat zunächst das Verfahren der EU für den Erlass des Cyber Resilience Act begonnen. Die Regelungen des CRA sollen 24 Monate nach seinem Inkrafttreten anwendbar werden, bestimmte Informationspflichten jedoch bereits nach 12 Monaten.   

Wer ist betroffen?

Die Anforderungen an Produkte mit digitalen Elementen und an die Prozesse für den Umgang mit Schwachstellen betreffen nicht nur die Produkthersteller. Auch Importeure und Distributoren obliegen bestimmte Prüfpflichten. Größenbezogene Ausnahmen gibt es nicht. Vom CRA ausgenommen sind allerdings Hersteller von Medizinprodukten und Fahrzeugsicherheitssystemen. 

Welche Herausforderungen gibt es?

Der CRA umfasst eine Vielzahl an Vorgaben für „Produkte mit digitalen Elementen“. Dabei handelt es sich um alle Software- und Hardware-Produkte sowie „remote“ Datenverarbeitungslösungen, ohne die eine vorgesehene Funktion des jeweiligen Produkts mit digitalen Elementen nicht ausgeführt werden könnte. Zu den Vorgaben gehören u.a. 

  • Einhaltung der Anforderungen an die Cybersicherheit während des gesamten Herstellungsprozesses, d.h. sowohl in der Planungs- als auch in der Entwurfs-, Entwicklungs-, Produktions- und Vertriebsphase.  
  • Konformitätsbewertungen auf Basis harmonisierter EU-Standards, Dokumentation durch das CE-Kennzeichen. 
  • Etablierung von Prozessen für den Umgang mit Schwachstellen der Cybersecurity, einschließlich kostenloser Bereitstellung von Security Updates.  
  • Informationspflichten gegenüber Nutzern und europäischen Agentur für Cybersicherheit (ENISA). 
  • Prüfpflichten für Importeure und Händler im Hinblick auf die Einhaltung der Vorgaben des CRA durch den Hersteller. 

Unsere Expertise für Ihren Erfolg:

SKW Schwarz ist bestens positioniert, um Unternehmen bei der Einhaltung der zu erwartenden Vorgaben des CRA zu unterstützen. Dazu gehören: 

  • Compliance-Check: Wir prüfen Ihre aktuellen Geschäftspraktiken, um sicherzustellen, dass diese mit den neuen Bestimmungen übereinstimmen und geben Handlungsempfehlungen für eventuelle Anpassungen. 
  • Beratung bei Berichtspflichten: Wir führen Sie durch die neuen Berichtsanforderungen und helfen Ihnen, Prozesse für eine präzise Berichterstattung zu etablieren.  
  • Vertragsmanagement: Wir unterstützen Sie bei der Gestaltung und Prüfung von Verträgen für Produkte mit digitalen Elementen im Einklang mit den neuen Anforderungen. 
  • Bußgeldvermeidung: Unser Team hilft Ihnen dabei, Bußgelder zu vermeiden, indem es Sie durch die Anforderungen des neuen Gesetzes führt und Ihnen bei der Implementierung notwendiger Maßnahmen zur Einhaltung der Vorschriften hilft. 
  • Krisenmanagement und -prävention: Wir stehen Ihnen bei Cybervorfällen sowie rechtlichen Auseinandersetzungen zur Seite und entwickeln präventive Strategien, um Risiken zu minimieren. 
  • Schulungen, Seminare und interne Richtlinien: Wir bieten Schulungen und Seminare an und erstellen interne Richtlinien, um Unternehmen und ihre Mitarbeiter über die Anforderungen des CRA aufzuklären und Empfehlungen zur Umsetzung zu geben. 

Unsere 5 Ansprechpartnerinnen und Ansprechpartner

Dr. Thomas Hohendorf

Dr. Thomas Hohendorf

Associate

Dr. Daniel Meßmer

Dr. Daniel Meßmer

Partner

Dr. Matthias Orthwein

Dr. Matthias Orthwein

Partner

Martin Schweinoch

Martin Schweinoch

Partner

Benjamin Spies

Benjamin Spies

Partner