Am Dienstag, den 10. Dezember 2024 ist der europäische Cyber Resilience Act (CRA) in Kraft getreten, der ein Mindestmaß an Cyber-Sicherheit für vernetzte Produkte auf dem EU-Markt vorschreibt. Hersteller haben bis Dezember 2027 Zeit, ihre Produkte entsprechend anzupassen. Ab diesem Zeitpunkt müssen alle in der EU vertriebenen Produkte mit digitalen Elementen die CRA-Anforderungen erfüllen, die durch das CE-Kennzeichen erkennbar sind.
Ab September 2026 sollen Hersteller zudem verpflichtend Sicherheitsvorfälle und aktiv ausgenutzte Schwachstellen an zuständige Behörden wie das CSIRT des Bundesamtes für Sicherheit in der Informationstechnik (BSI) melden. Eine nationale Marktaufsichtsbehörde, die die Einhaltung der CRA-Vorgaben sicherstellt, ist in Deutschland noch zu benennen. Diese Behörde soll auch die Koordination auf nationaler und europäischer Ebene übernehmen.
Das BSI hat erklärt, dass es anstrebt, die Marktüberwachung im Rahmen des CRA zu übernehmen. Dr. Gerhard Schabhüser, Vizepräsident des BSI, wies darauf hin, dass die Behörde über umfassende Erfahrungen in der Absicherung digitaler Produkte und Prozesse verfüge. Das BSI betone, dass eine Trennung zwischen Vorgabenentwicklung, Zertifizierung und Marktaufsicht bereits gelebte Praxis sei und eine Übernahme der CRA-Marktaufsicht den Blick auf die IT-Sicherheitslage in Deutschland schärfen könne.
Zur Unterstützung der CRA-Anforderungen hat das BSI die technische Richtlinie TR-03183 entwickelt, die die Vorgaben des CRA übersichtlich darstellt. Zudem verweist die Behörde auf das IT-Sicherheitskennzeichen, das Herstellern bei der Umsetzung des CRA helfen soll. Beide Initiativen sollen Verbrauchern Transparenz bieten und das Vertrauen in digitale Produkte stärken.
