Für ein sicheres Internet der Dinge

Am 13.3.2024 verabschiedete das Europäische Parlament nicht nur den AI Act, sondern auch den Cyber Resilience Act („CRA“). Im Allgemeinen soll der erlassene CRA zu einer Steigerung der Cybersicherheit innerhalb der Europäischen Union beitragen, insbesondere wenn es darum geht, Sicherheitslücken von bereits auf dem Markt befindlichen Produkten zu schließen bzw. nur Produkte mit erhöhten Sicherheitsstandards zuzulassen. 

Welche Auswirkungen wird der CRA haben?

Der CRA bezieht sich auf Produkte mit digitalen Bestandteilen und legt die Voraussetzungen fest, die diese zu erfüllen haben. Erzeugnisse mit digitalen Bestandteilen sind einerseits Produkte, bei denen es sich um Software- oder Hardwareprodukte mit Ferndatenverarbeitungslösungen handelt, andererseits Software- oder Hardwarekomponenten mit Ferndatenverarbeitungslösungen, die separat in Umlauf gebracht werden. Im Allgemeinen geht es somit um Geräte, die Teile des „Internet of Things“ sind. Eines der Hauptziele ist die Steigerung der Sicherheit ebendieser. 
Ausgenommen sind Objekte, für die bereits in anderen Rechtsakten der Union Regelungen getroffen werden, wie z.B. Medizinprodukte, In-vitro-Diagnostika und Typgenehmigungen von Kraftfahrzeugen.

Bei der Ausgestaltung von Produkten mit digitalen Bestandteilen müssen angemessene Sicherheitsmaßnahmen geplant und umgesetzt werden. Diese sind in einer sicheren Standardkonfiguration und ohne bekannte, ausnutzbare Schwachstellen bereitzustellen. Zudem müssen Sicherheitsupdates zur Verfügung gestellt werden, um mögliche Schwachstellen zu schließen.
Die Bereitsteller haben hier somit nicht nur während deren Entwicklung und Bereitstellung, sondern während des gesamten Nutzungszyklus eine Vielzahl an Voraussetzungen zu erfüllen. 

Welche Strafen drohen?

Bei Verstößen gegen den CRA droht – ähnlich wie bei anderen neuen Rechtsakten im Technologiebereich - ein Bußgeld in Höhe von bis zu EUR 15 Mio. bzw. 2,5% des weltweiten Jahresumsatzes. 

Ab wann greifen die Bestimmungen?

Die meisten der Bestimmungen des CRA werden nach 3 Jahren ab Inkrafttreten, also im zweiten Quartal des Jahres 2027, zur Anwendung kommen. Verpflichtungen, die die Meldung von Schwachstellen betreffen, treten jedoch bereits in 21 Monaten in Kraft und werden somit bereits im zweiten Quartal des Jahres 2026 anwendbar.
 

Unsere Expert:innen Thomas Simon, Mario Neubauer, Jasmin Preuer und Reinhard Hübelbauer unterstützen Sie gerne bei der Umsetzung der regulatorischen Anforderungen.
 

Jasmin Preuer

Jasmin Preuer
+43 5 70 375 - 4825

Reinhard Hübelbauer

Reinhard Hübelbauer
+43 5 70 375 - 1835