Im November 2024 wurde der Cyber Resilience Act (CRA, EU-Verordnung 2024/2847) offiziell im Amtsblatt der Europäischen Union veröffentlicht, womit der Countdown für die Umsetzung der IT-Sicherheitsvorschriften begonnen hat. Der CRA legt horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen in der EU fest, um weit verbreitete Sicherheitslücken und inkonsistente Sicherheitsupdates anzugehen.

Damit sei der Cyber Resilience Act die erste europäische Verordnung, die ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte festlegt, die auf dem EU-Markt in den Verkehr gebracht werden. Begrüßenswert sei laut Pohlmann zunächst, dass der CRA die Verantwortlichkeiten klar zuweise: „Hersteller werden stärker in die Pflicht genommen, Cybersicherheitsanforderungen nicht nur bei der Entwicklung, sondern über den gesamten Lebenszyklus ihrer Produkte hinweg zu erfüllen. Dieser Ansatz ist ein entscheidender Schritt, um die Resilienz und das Vertrauen in digitale Produkte nachhaltig zu stärken.“

Gleichzeitig sei die feingliedrige Systematik des CRA, insbesondere die Unterscheidung in vier Risikokategorien, mit gemischten Gefühlen zu sehen: Während diese Differenzierung für mehr Klarheit sorgt, könnte sie für kleinere Unternehmen und andere Akteure im Markt zu komplex sein. Hier wird es darauf ankommen, die Handhabbarkeit der Regelungen in der Praxis sicherzustellen und unnötige Bürokratie zu vermeiden.

eco – Verband der Internetwirtschaft e.V.
www.eco.de