Cyber Resilience Act verabschiedet
BSI sieht Cybersicherheit signifikant gestärkt
Saugroboter, smarter Katzenfutterautomat, die meisten Apps auf mobilen Geräten oder Smart-TVs – die steigende Zahl vernetzter Hard- und Softwareprodukte bringt neben Komfort und Automation auch Risiken und neuartige Angriffsvektoren. Das gilt in den eigenen vier Wänden wie auch im professionellen Einsatz. Der nun verabschiedete Cyber Resilience Act (CRA) ist aus Sicht des Bundesamts für Sicherheit in der Informationstechnik (BSI) ein wichtiger Schritt, um die Cybersicherheit dieser Produkte und Anwendungen signifikant zu erhöhen. Ab November 2027 müssen Produkte mit digitalen Elementen die im CRA enthaltenen grundlegenden Cybersicherheitsanforderungen erfüllen, um in der EU verkauft werden zu dürfen.
BSI-Präsidentin Claudia Plattner: „Künftig müssen Hersteller über den gesamten Lebenszyklus ihrer Produkte und Anwendungen die Verantwortung für deren Cybersicherheit übernehmen. Damit wird die Sicherheit digitaler Produkte und auch das Vertrauen in die Digitalisierung erheblich gestärkt. Davon profitieren alle Anwenderinnen und Anwender und letztlich auch die Hersteller, denn ihre Produkte werden qualitativ hochwertiger und sicherer."
Durch die horizontale und risikobasierte Ausrichtung des CRA wird erstmalig ein einheitlicher Rechtsrahmen für den Marktzugang dieser umfassenden aber heterogenen Produktpalette geschaffen. Ein Großteil der vom CRA regulierten Produkte wird bereits jetzt regelmäßig im Privathaushalt eingesetzt.
Den im CRA verankerten Grundsatz, den geforderten Supportzeitraum für ein digitales Produkt an dessen individuelle Lebensdauer zu koppeln, unterstützt das BSI. Darüber hinaus werden mit dem CRA Herstellern, Händlern und Importeuren weitreichende Informations-, Transparenz- und Aufklärungspflichten auferlegt. Damit ist der Weg geebnet für transparente und klare Handlungsanweisungen im Fall von Sicherheitslücken – ein deutliches Plus für alle Nutzerinnen und Nutzer.
Mit der Verabschiedung des CRA bereitet sich das BSI nun auf die nationale Umsetzung und die Übernahme möglicher Aufgaben vor. Mit dem IT-Sicherheitskennzeichen hat das BSI ein Instrument für Hersteller geschaffen, um sich bereits heute auf die bevorstehende Regulierung vorzubereiten und die Sicherheit von IT-Verbraucherprodukten gemeinsam mitzugestalten. Das BSI hat sich zudem bereits im Gesetzgebungsprozess aktiv bei der Formulierung adäquater Cybersicherheitsanforderungen im Rahmen von Standards und Normen, die für eine effiziente Umsetzung des CRAerforderlich sind, eingebracht und wird diese Arbeit nun intensivieren. Des Weiteren unterstützt das BSI durch die Herausgabe technischer Richtlinien wie beispielsweise der TR 03183, die die allgemeinen Anforderungen des CRA und der Softwarestückliste (SBOM) abdeckt.
Bundesamt für Sicherheit in der Informationstechnik
Tel.: 0228-999582-5777
E-Mail: presse@bsi.bund.de
Internet: www.bsi.bund.de
