Cyber Resilience Act

Der Cyber Resilience Act (Verordnung (EU) 2024/2847) ist die Verordnung der Europäischen Union über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen. Er wurde am 20. November 2024 im Amtsblatt veröffentlicht und tritt am 10. Dezember 2024 in Kraft, wobei die meisten Pflichten ab dem 11. Dezember 2027 gelten.

Anwendungsbereich

Der CRA gilt für alle Produkte mit digitalen Elementen, die auf dem EU-Markt bereitgestellt werden, einschließlich Hardware- und Softwareprodukte. Er erfasst Hersteller, Importeure und Händler und legt Cybersicherheitsanforderungen über den gesamten Produktlebenszyklus fest.

Kernanforderungen

• Cybersicherheit durch Design und standardmäßig für Produkte mit digitalen Elementen
• Schwachstellenmanagement und Sicherheitsupdatepflichten für Hersteller
• Meldepflicht für Sicherheitsvorfälle und Schwachstellen an die ENISA innerhalb von 24 Stunden (Art. 14)
• Konformitätsbewertungsverfahren basierend auf der Produktrisikokategorie
• Anforderungen an Software-Stücklisten (SBOM)
• Marktüberwachung und Durchsetzung mit Geldbußen bis zu 15 Mio. EUR oder 2,5 % des weltweiten Umsatzes

Artikel

Durchsuchen Sie den vollständigen Text der Verordnung Artikel für Artikel über das Inhaltsverzeichnis links.