Der Rat der EU-Innenministerinnen und Innenminister hat heute den Cyber Resilience Act (CRA) beschlossen. Damit stärkt die Europäische Union die Cybersicherheit weiter, gerade im Alltag der Menschen. Nach den neuen Regelungen des CRA werden erstmals verbindliche Cybersicherheitsanforderungen für alle vernetzten Geräte gelten – etwa per App gesteuerte Kaffeemaschinen, Smart-Watches oder intelligente Babyphones. Bisher gibt es solche IT-Sicherheitsanforderungen nur für einzelne Produktkategorien.

Der CRA gibt vor, dass künftig alle vernetzen Produkte das CE-Kennzeichen tragen müssen. Das CE-Kennzeichen vermittelt nach außen, dass das vernetzte Produkt einen hinreichenden Schutz vor Cybergefahren gewährleistet. So können Verbraucherinnen und Verbrauchern auf einen Blick erkennen, dass das Produkt auch unter Cybersicherheitsgesichtspunkten geprüft wurde.

Bundesinnenministerin Nancy Faeser: „Vernetzte Produkte erleichtern unseren Alltag. Aber sie können auch von Kriminellen ausgenutzt werden. Deshalb müssen sie sicher sein. Man muss sich darauf verlassen können, dass ein vernetztes Gerät, das man bei sich trägt oder zu Hause hat, kein Sicherheitsrisiko ist. Mit dem Cyber Resilience Act heben wir die Cybersicherheit in Europa auf ein neues Niveau. Davon werden Verbraucherinnen und Verbraucher genauso profitieren wie die Wirtschaft. Sie werden in Zukunft anhand des vertrauten CE-Kennzeichens mit einem Blick erkennen können, dass ein vernetztes Gerät wesentliche Cybersicherheitsanforderungen erfüllt. Das bewährte CE-Kennzeichen steht damit nun auch für Sicherheit gegen Cyberbedrohungen.“

Die neuen Regelungen nehmen alle beteiligten Wirtschaftsakteure in die Pflicht. Dies betrifft Hersteller, Importbetriebe und den Handel. Sie müssen künftig sicherstellen, dass die von ihnen vertriebenen Produkte den Cybersicherheitsanforderungen genügen und mit einem CE-Kennzeichen ausgewiesen sind. Darüber hinaus müssen Hersteller künftig IT-Schwachstellen und Cybervorfälle an eine zentrale Meldestelle melden und regelmäßig Sicherheitsupdates anbieten.

Für den Cyber Resilience Act ist ein Übergangszeitraum von drei Jahren vorgesehen. Spätestens dann müssen auf dem Markt vertriebene Produkte die neuen Cybersicherheitsanforderungen erfüllen und dies mit einem CE-Kennzeichen dokumentieren. Andere Verpflichtungen des CRA wie zum Beispiel die Meldepflicht der Hersteller bei Kenntnis von ausgenutzten IT-Schwachstellen werden bereits in 21 Monaten gelten.

Trotz der kurzen Übergangsfristen ist die deutsche Wirtschaft auf die neuen Regelungen gut vorbereitet. Denn die Hersteller können sich mit dem IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik bereits jetzt die Einhaltung der Cybersicherheitsanforderungen freiwillig auszeichnen lassen. Das IT-Sicherheitskennzeichen wurde in Deutschland bereits 2021 mit dem IT-Sicherheitsgesetz 2.0 eingeführt.

Die Verordnung geht maßgeblich auf die unter der deutschen EU-Ratspräsidentschaft 2020 erzielten Ratsschlussfolgerungen zur Cybersicherheit vernetzter Geräte zurück.