Der zweite große Schritt nach #NIS2: Während der europäische Rechtsakt zur allgemeinen unternehmensbezogenen #Cybersicherheit in Deutschland gegenwärtig noch nicht umgesetzt ist, bahnt sich mit dem #EU Cyber Resilience Act (#CRA) seit mehreren Monaten die nächste EU-Regulierung zur #Cybersecurity ihren Weg in die Unternehmen. Der große Unterschied zu NIS2: Als Verordnung gilt der CRA in allen Mitgliedstaaten unmittelbar und bezieht sich nicht auf die unternehmensinternen Prozesse, sondern auf die digitalen Produkte, die das Unternehmen verlassen. Darüber hinaus ist eine weitere ganz zentrale Besonderheit des CRA seine extraterritoriale Rechtswirkung. Das bedeutet, dass er mit einem ähnlichen Impact wie die EU DSGVO in Mai 2018 auch sehr viele ausländische IT-Unternehmen und Hersteller erfassen wird, die ihre Produkte in die Europäische Union exportieren.
Im Hinblick auf die Umsetzungsfristen ist sicherlich noch etwas Zeit zur Vorbereitung, denn die neuen Vorgaben aus dem CRA gelten grundsätzlich erst 36 Monate nach dem Datum des Inkrafttretens – da die produktbezogenen Verpflichtungen über die digitale Lieferkette aber umfassend sind, kann man allen betroffenen Unternehmen schon jetzt dazu raten, mit den Vorbereitungen zur Umsetzung des CRA zu beginnen, denn „Security by Design“ lässt sich nicht von einem Tag auf den anderen herstellen. Für die Timeline zur Umsetzung des CRA ergibt sich nachfolgende Staffelung:
– Am 11.12.2024 ist der CRA in Kraft getreten.
– Zum 11.06.2026 können die Konformitätsbewertungsstellen die Erfüllung der Anforderungen an den CRA bewerten.
– Zum 11.09.2026 gilt die Meldepflicht für Schwachstellen und Sicherheitsvorfälle.
– Zum 11.12.2027 sind sämtliche CRA-Anforderungen bei neuen Produkten mit digitalen Elementen einzuhalten.
Zum Inkrafttreten des CRA hat das BSI in einer Pressemeldung bekanntgegeben, dass es sich um die Rolle der nationalen Marktaufsicht für vernetzte Produkte bewirbt, um die Einhaltung der im CRA formulierten Anforderungen zu gewährleisten. Hierzu hat das BSI auf seine Fachkompetenzen in der Erarbeitung der BSI TR-03183 (Cyber-Resilienz-Anforderungen) verwiesen, die die im CRA formulierten Anforderungen an Hersteller und Produkte beschreibt und erklärt. Überdies sollen sich Hersteller durch das mit dem IT-Sicherheitsgesetz (IT-SiG) 2.0 im Jahr 2021 eingeführte sog. „IT-Sicherheitskennzeichen“ auf die Umsetzung der neuen Anforderungen aus dem CRA gezielt vorbereiten. Mehr zum Thema gibt es in meinem neuesten Fachbeitrag in der Zeitschrift für Informationssicherheit „kes“: https://www.kes-informationssicherheit.de/print/titelthema-eu-regularien-updates-fuer-die-cybersicherheit/europaeische-revolution-in-der-product-security/