Die europäische Regulierung Cyber Resilience Act (CRA) ist in Kraft getreten. Diese gesetzliche Neuerung gibt ein Mindestmaß an Cybersicherheit für vernetzte Produkte auf dem EU-Markt vor. Hersteller haben nun 36 Monate Zeit, ihre Produkte an die neuen Anforderungen anzupassen.
Ab Dezember 2027 muss jedes Produkt mit digitalen Elementen, das in der EU in Verkehr gebracht wird, die im CRA formulierten Cybersicherheitsanforderungen erfüllen. Der CRA soll die Transparenz bezüglich der Produktinformationen erhöhen und schreibt die Einhaltung von Mindestanforderungen an Cybersicherheit vor – zukünftig erkenntlich am CE-Kennzeichen. Bereits ab September 2026 müssen EU-Hersteller aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle im Zusammenhang mit ihren digitalen Produkten den zuständigen Behörden wie dem CSIRT (Computer Security Incident Response Team) des BSI melden.
Was in Deutschland noch aussteht, ist die Benennung einer nationalen Marktaufsichtsbehörde, die die Einhaltung der im CRA formulierten Anforderungen durch Hersteller und Händler gewährleistet. Zum Aufgabenspektrum gehört zudem die Koordination zwischen Behörden auf nationaler und europäischer Ebene. Eine zentrale, leistungsfähige Marktüberwachung sorgt verlässlich für die Sicherheit vernetzter Produkte, ist damit integraler Bestandteil des digitalen Verbraucherschutzes und trägt dazu bei, die Wettbewerbsbedingungen innerhalb der EU zu vereinheitlichen.
BSI-Vizepräsident Dr. Gerhard Schabhüser: „Das BSI strebt die Übernahme der Marktüberwachung im Rahmen des CRA an: Als zentrale Cybersicherheitsbehörde des Bundes verfügen wir über umfassende Erfahrung mit Blick auf die Absicherung digitaler Produkte und Prozesse. Bereits heute fungieren wir in diesem Zusammenhang als Aufsichtsbehörde, etwa für Betreiber Kritischer Infrastrukturen. Ebenso, wie unsere aus dieser Aufgabe gewonnenen Erkenntnisse in das von uns herausgegebene Cybersicherheitslagebild einfließen, würde die CRA-Marktaufsicht beim BSI den Blick auf die Lage der IT-Sicherheit in Deutschland schärfen und damit die Cyberresilienz unseres Landes erhöhen. Als nationale Stelle für Zertifizierung und Standardisierung von Cybersicherheitsmaßnahmen verfügen wir über etablierte Strukturen, die schnell für die Marktüberwachung im Sinne des CRA nutzbar gemacht werden können. Eine strikte Trennung zwischen Vorgabenentwicklung, Zertifizierung und Marktaufsicht unter Einhaltung von Regulierungs- und Akkreditierungsvorgaben ist für das BSI seit jeher gelebte Praxis – etwa im Rahmen des europäischen Cyber-Sicherheitsschemas EUCC.“
Um die Anforderungen des CRA greifbarer zu machen, hat das BSI die technische Richtlinie TR-03183 erarbeitet, in der die im CRA formulierten Anforderungen an Hersteller und Produkte beschrieben und erklärt werden. Die Behörde will damit bereits jetzt einen herstellerneutralen, verbraucherorientierten Beitrag zur europäischen Standardisierung leisten.
Durch das vom BSI herausgegebene IT-Sicherheitskennzeichen hat die Behörde bereits Erfahrungen mit der Überwachung des nationalen Verbrauchermarktes und damit einhergehenden Schwachstellenmeldepflichten gesammelt: Das Sicherheitskennzeichen ist ein Angebot der Behörde, mit dem sich Hersteller auf die Umsetzung des CRA vorbereiten und gleichzeitig das Vertrauen in ihre Produkte stärken können. Die produktbezogenen Anforderungen des CRA und des IT-Sicherheitskennzeichens decken sich schon heute zu großen Teilen. Das IT-Sicherheitskennzeichen wird derzeit in enger Zusammenarbeit mit Wirtschaft und Zivilgesellschaft weiterentwickelt.
