Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde nun von der Bundesregierung als notifizierende und marktüberwachende Behörde für den Cyber Resilience Act gegenüber der Europäischen Kommission benannt. Damit kommen dem BSI neue Aufgaben zu: Als notifizierende Behörde wird das BSI Drittstellen bewerten und notifizieren, damit diese IT-Produkte unabhängig auf die Anforderungen des CRA prüfen können. Als marktüberwachende Behörde kann das BSI stichprobenartig oder gezielt IT-Produkte auf Cybersicherheit überprüfen und bei Verstößen Sanktionen und Bußgelder verhängen. Der Behörde wird in dieser Rolle auch die Möglichkeit eingeräumt, Produkte mit digitalen Elementen vom Markt zu nehmen, wenn sie den Anforderungen des CRA nicht gerecht werden.
BSI-Präsidentin Claudia Plattner (Bild): „Der CRA ist ein Gamechanger für die Sicherheit digitaler Produkte! Wir steigern damit das Cybersicherheitsniveau zahlreicher Geräte in Europa. Das BSI wird seine Rolle sehr gewissenhaft ausfüllen und darauf achten, dass die Bürgerinnen und Bürger ihre IT-Produkte mit einem sicheren Gefühl nutzen können.“
Als marktüberwachende Behörde kann das BSI im Rahmen des CRA aktiv und reaktiv tätig werden. Aktiv bedeutet, dass im Rahmen der Marktüberwachungsstrategie Produkte anlasslos überprüft werden können. Reaktiv kann das BSI auf Informationen durch Dritte eingehen und Ursachen und Auswirkungen von Vorfällen, Mängeln oder Schwachstellen analysieren und geeignete Maßnahmen ergreifen.
