Gesetz über Cyberresilienz (Cyber Resilience Act, CRA)

Cyber Resilience Act, CRA: In der EU wurde ein Vorschlag für eine Verordnung über Cybersicherheitsanforderungen an Produkte mit digitalen Elementen, das sogenannte Gesetz über Cyberresilienz, vorgelegt. Dies soll die Cybersicherheitsvorschriften stärken, um sicherere Hardware- und Softwareprodukte zu gewährleisten.

Hard- und Softwareprodukte sind aus Sicht der EU mit zwei großen Problemen konfrontiert, die die Kosten für die Nutzer und die Gesellschaft erhöhen:

  1. ein geringes Maß an Cybersicherheit, das sich in weitverbreiteten Schwachstellen und der unzureichenden und inkohärenten Bereitstellung von Sicherheitsaktualisierungen zu deren Behebung widerspiegelt, und
  2. unzureichendes Verständnis und unzureichender Zugang der Nutzer zu Informationen, wodurch sie daran gehindert werden, Produkte mit angemessenen Cybersicherheitseigenschaften auszuwählen oder sie auf sichere Weise zu nutzen. 

Cyber Resilience Act, CRA

Die EU sieht Handlungsbedarf, weil es an der Regulierung mangelt:

Während die bestehenden Binnenmarktvorschriften für bestimmte Produkte mit digitalen Elementen gelten, fallen die meisten Hardware- und Softwareprodukte derzeit nicht unter EU-Rechtsvorschriften, die sich mit ihrer Cybersicherheit befassen. Insbesondere befasst sich der derzeitige EU-Rechtsrahmen nicht mit der Cybersicherheit nicht eingebetteter Software, auch wenn Cybersicherheitsangriffe zunehmend auf Schwachstellen bei diesen Produkten abzielen, was erhebliche gesellschaftliche und wirtschaftliche Kosten verursacht.

Das Cyberresilienz-Gesetz (Cyber Resilience Act, CRA) betrifft also Produkte mit digitalen Elementen, die im europäischen Binnenmarkt verkauft werden, aber nicht Software, die als Dienstleistung angeboten wird. Dienstleistungen wie oder Gesundheitsdienste fallen unter eine andere mit ähnlichen Sicherheitsanforderungen, die NIS2-Richtlinie. Das Ziel des neuen Gesetzes ist es, die Sicherheitsanforderungen für verkaufte Produkte und digitale Dienste zu vereinheitlichen – und damit auch gewissermaßen eine Lücke zu schließen.


Ziele des Cyber Resilience Act (CRA)

Es sind durch den Cyberresilienz-Act einige spezifische Ziele angestrebt:

  1. sicherstellen, dass die Hersteller die Sicherheit von Produkten mit digitalen Elementen seit der Entwurfs- und Entwicklungsphase und während des gesamten Lebenszyklus verbessern (Update-Pflicht sowie Überwachungspflicht)
  2. Gewährleistung eines kohärenten Cybersicherheitsrahmens, der die Einhaltung der Vorschriften für Hardware- und Softwarehersteller erleichtert;
  3. die Transparenz der Sicherheitseigenschaften von Produkten mit digitalen Elementen zu erhöhen und
  4. Unternehmen und Verbraucher in die Lage versetzen, Produkte mit digitalen Elementen sicher zu nutzen (hier kommt ein Zwang für verständliche Bedienungsanleitungen)
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht.