(Quelle: fotolia.com / bluebay2014)
BSI-Präsidentin Claudia Plattner: „Künftig müssen Hersteller über den gesamten Lebenszyklus ihrer Produkte und Anwendungen die Verantwortung für deren Cybersicherheit übernehmen. Damit wird die Sicherheit digitaler Produkte und auch das Vertrauen in die Digitalisierung erheblich gestärkt. Davon profitieren alle Anwenderinnen und Anwender und letztlich auch die Hersteller, denn ihre Produkte werden qualitativ hochwertiger und sicherer."
In einer Meldung verweist das BSI darauf, dass durch die horizontale und risikobasierte Ausrichtung des CRA erstmalig ein einheitlicher Rechtsrahmen für den Marktzugang dieser umfassenden aber heterogenen Produktpalette geschaffen wird.
Den im CRA verankerten Grundsatz, den geforderten Supportzeitraum für ein digitales Produkt an dessen individuelle Lebensdauer zu koppeln, unterstützt das BSI. "Darüber hinaus werden mit dem CRA Herstellern, Händlern und Importeuren weitreichende Informations-, Transparenz- und Aufklärungspflichten auferlegt. Damit ist der Weg geebnet für transparente und klare Handlungsanweisungen im Fall von Sicherheitslücken – ein deutliches Plus für alle Nutzerinnen und Nutzer", heißt es in der BSI-Meldung weiter.
Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung, merkt an: „Der Cyber Resilience Act (CRA) ist ein zentraler Baustein für die Stärkung der Cybersicherheit in der EU, da Produkte mit digitalen Elementen nun einheitliche Sicherheitsstandards erhalten. Bitkom begrüßt, dass der CRA von der Innenministerkonferenz beschlossen wurde und somit schnell in Kraft treten kann. Mit dem Inkrafttreten beginnt die 36-monatige Übergangsfrist für Hersteller, Bevollmächtigte und Importeure. Angesichts der großen Herausforderungen ist dies nicht viel Zeit. Daher ist es wichtig, dass die Politik die Unternehmen bei der Umsetzung aktiv unterstützt. Besonders bedeutend sind die Prozesse zur Entwicklung harmonisierte europäische Normen, die die Basis für die Anforderungen des CRA bilden. Die Unternehmen müssen Klarheit darüber haben, welche Kriterien sie erfüllen müssen."
Jochen Reinschmidt, ZVEI-Bereichsleiter Digitalisierung und Recht, kommentiert: „Es ist gut, dass der CRA nun auch vom Rat der EU-Innenministerinnen und -ministern beschlossen wurde. Denn mit seinen festgelegten verbindlichen Cybersicherheitsanforderungen stärkt er das Vertrauen in vernetzte Geräte und trägt zur Verbesserung der europäischen Cyberresilienz bei. Gleichzeitig führt der CRA zu einer Vereinheitlichung und Reduzierung der bislang komplexen Regulierungslandschaft im Bereich Cybersicherheit. Auch folgt der CRA der bewährten Logik des New Legislative Frameworks (NLF), das auf einem Vertrauen in die Eigenverantwortung der Hersteller beruht. Diese sind nun angehalten, die vorgegebenen Cybersicherheitsanforderungen eigenständig für den Großteil der entsprechenden Produkte umzusetzen.
Es ist daher wichtig, dass die Expertise der Industrie im bevorstehenden Implementierungsprozess weiter eng einbezogen und genutzt wird. Dies muss etwa bei der Definition der Produktkategorien genauso der Fall sein wie bei der anstehenden Normung zur technischen Ausgestaltung des CRA. Denn die Normen müssen nicht nur theoretischen Anforderungen gerecht werden, sondern angesichts der dynamischen Bedrohungslage auch praxisnah gestaltet sein.
Für eine erfolgreiche, rechtssichere Umsetzung muss zudem auf die Vermeidung von Doppelregulierung geachtet werden. So regulieren sowohl der CRA als auch die delegierte Verordnung (EU) 2022/30 unter der Funkanlagenrichtlinie die Sicherheit vernetzter Produkte. Letztere muss aus Sicht des ZVEI sinnvollerweise zurückgezogen werden, sobald der CRA 2027 vollständig umgesetzt werden muss.
Mit dem CRA schafft die EU in einer immer stärker vernetzten Welt eine wichtige Grundlage, um Cybersicherheit im europäischen Binnenmarkt nachhaltig zu stärken und die Sicherheit vernetzter Produkte zu gewährleisten.“