Die zunehmende Vernetzung von Hard- und Softwareprodukten, wie Saugrobotern, Futterautomaten für Haustiere oder Apps auf mobilen Geräten und Smart-TVs, bringt laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nicht nur Vorteile wie Komfort und Automatisierung, sondern auch Risiken und neue Angriffspunkte. Der kürzlich verabschiedete Cyber Resilience Act (CRA) wird aus Sicht des BSI als wichtiger Schritt zur Verbesserung der Cyber-Sicherheit dieser Produkte betrachtet.
Ab November 2027 müssen Produkte mit digitalen Elementen die Cyber-Sicherheits-Anforderungen des CRA erfüllen, um in der EU verkauft werden zu dürfen.
Laut BSI sollen Hersteller zukünftig über den gesamten Lebenszyklus ihrer Produkte für deren Cyber-Sicherheit verantwortlich sein, was die Sicherheit und das Vertrauen in digitale Produkte stärkt. Der CRA schafft einen einheitlichen Rechtsrahmen für die Marktzulassung dieser Produkte, von denen viele bereits im privaten Bereich genutzt werden.
Das BSI unterstützt den Grundsatz des CRA, die Supportzeit eines Produkts an dessen Lebensdauer zu koppeln. Zudem werden Herstellern, Händlern und Importeuren neue Pflichten bezüglich Information, Transparenz und Aufklärung auferlegt. Dies soll klare Handlungsanweisungen bei Sicherheitslücken ermöglichen.
Das BSI bereitet sich auf die nationale Umsetzung des CRA vor und plant, die Zusammenarbeit mit Herstellern zu intensivieren. Mit dem IT-Sicherheitskennzeichen bietet das BSI Herstellern bereits jetzt eine Möglichkeit, sich auf die neuen Anforderungen vorzubereiten.
