Saugroboter, smarter Katzenfutterautomat, die meisten Apps auf mobilen Geräten oder Smart-TVs – die steigende Zahl vernetzter Hard- und Softwareprodukte bringt neben Komfort und Automation auch Risiken und neuartige Angriffsvektoren. Das gilt in den eigenen vier Wänden wie auch im professionellen Einsatz. Aus Sicht des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist der nun verabschiedete Cyber Resilience Act (CRA) ein wichtiger Schritt, um die Cybersicherheit dieser Produkte und Anwendungen signifikant zu erhöhen. Ab November 2027 müssen Produkte mit digitalen Elementen die im CRA enthaltenen grundlegenden Cybersicherheitsanforderungen erfüllen, um in der EU verkauft werden zu dürfen.
BSI-Präsidentin Claudia Plattner: „Künftig müssen Hersteller über den gesamten Lebenszyklus ihrer Produkte und Anwendungen die Verantwortung für deren Cybersicherheit übernehmen. Damit wird die Sicherheit digitaler Produkte und auch das Vertrauen in die Digitalisierung erheblich gestärkt. Davon profitieren alle Anwenderinnen und Anwender und letztlich auch die Hersteller, denn ihre Produkte werden qualitativ hochwertiger und sicherer.“
Durch die horizontale und risikobasierte Ausrichtung des CRA wird erstmalig ein einheitlicher Rechtsrahmen für den Marktzugang dieser umfassenden aber heterogenen Produktpalette geschaffen. Ein Großteil der vom CRA regulierten Produkte wird bereits jetzt regelmäßig in Privathaushalten eingesetzt.
Den im CRA verankerten Grundsatz, den geforderten Supportzeitraum für ein digitales Produkt an dessen individuelle Lebensdauer zu koppeln, unterstützt das BSI. Darüber hinaus werden mit dem CRA Herstellern, Händlern und Importeuren weitreichende Informations-, Transparenz- und Aufklärungspflichten auferlegt. Damit sei, so das BSI, der Weg für transparente und klare Handlungsanweisungen im Fall von Sicherheitslücken geebnet.
Wie das BSI weiter mitteilt, bereitet sich die Behörde mit der Verabschiedung des CRA nun auf die nationale Umsetzung und die Übernahme möglicher Aufgaben vor. Mit dem IT-Sicherheitskennzeichen hat das BSI Behörde ein Instrument für Hersteller geschaffen, um sich bereits heute auf die bevorstehende Regulierung vorzubereiten und die Sicherheit von IT-Verbraucherprodukten gemeinsam mitzugestalten. Die Behörde hat sich zudem bereits im Gesetzgebungsprozess aktiv bei der Formulierung adäquater Cybersicherheitsanforderungen im Rahmen von Standards und Normen, die für eine effiziente Umsetzung des CRA erforderlich sind, eingebracht und wird diese Arbeit nun intensivieren. Des Weiteren unterstützt das BSI durch die Herausgabe technischer Richtlinien wie beispielsweise der TR 03183, die die allgemeinen Anforderungen des CRA und der Softwarestückliste (SBOM) abdeckt.
