Die Bundesregierung hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) offiziell bei der Europäischen Kommission als nationale Aufsichts- und Notifizierungsbehörde für den Cyber Resilience Act (CRA) benannt. Dieser Schritt markiert die konkrete Übernahme zentraler Aufgaben im Rahmen der neuen EU-Regulierung für Cybersicherheit digitaler Produkte.
Der CRA ist eine EU-weit verbindliche Verordnung, die Mindestanforderungen an die Cybersicherheit von Produkten mit digitalen Elementen – hardware- wie softwareseitig – festlegt. Er soll sicherstellen, dass von der Gestaltung und Entwicklung über die Inbetriebnahme bis hin zu Wartung und Updates Sicherheitsaspekte dauerhaft berücksichtigt werden. Hersteller werden verpflichtet, systematisch Sicherheitsrisiken zu beurteilen, Schwachstellen zu managen und Vorfälle zu melden. Bestimmte kritische Produkte unterliegen zudem einer Konformitätsbewertung durch unabhängige Prüfstellen.
Mit ihrer Rolle als notifizierende Behörde wird das BSI künftig für die Bewertung und Zulassung dieser Prüfstellen zuständig sein. Es wird die Kriterien definieren, auf deren Basis Prüfinstitute für CRA-Konformitätsbewertungen zugelassen werden, und die Verfahren zur Notifizierung ausgestalten. Im Rahmen der Marktüberwachung erhält das BSI die Befugnis, eigenständig Produkte zu prüfen – stichprobenhaft oder gezielt – und Verstöße zu sanktionieren. Bei Nichteinhaltung der Vorgaben drohen Bußgelder von bis zu 15 Millionen Euro oder alternativ 2,5 Prozent des weltweiten Jahresumsatzes. Außerdem kann das BSI unsichere Produkte vom Markt nehmen oder deren Inverkehrbringen untersagen.
Gesetzliche Ausgestaltung steht aus
Allerdings weist das BSI darauf hin, dass die konkreten Befugnisse und Verfahrensregelungen noch gesetzlich ausgestaltet werden müssen. Die Behörde betont zugleich, dass sie künftig sowohl reaktiv, also auf Hinweise Dritter, als auch proaktiv tätig werden will, um Schwachstellen zu analysieren und Maßnahmen einzuleiten. In ihren Ankündigungen bezeichnete BSI-Präsidentin Claudia Plattner den CRA als „Gamechanger“ für die Sicherheit digitaler Produkte, mit dem das Amt eine neue Rolle übernehme und diese mit aller gebotenen Sorgfalt ausfüllen werde.
