Mit dem CRA verfolgt die EU ein klares Ziel: Ein höheres Cybersicherheitsniveau im digitalen EU-Binnenmarkt.

Moderne Soft- und Hardwareprodukte sind oft hochkomplex und damit anfällig. Jede zusätzliche Komponente eröffnet potenzielle Schwachstellen. Die Angriffsfläche wächst stetig. 

"Produkte mit digitalen Elementen" müssen bereits beim Inverkehrbringen grundlegende Cybersicherheitsanforderungen erfüllen, die während ihres gesamten Lebenszyklus gelten und möglicherweise Sicherheitsupdates erfordern. Verbraucherinnen und Verbraucher sowie Unternehmen sollen gleichermaßen vor Risiken geschützt werden.

Der CRA ergänzt bestehende EU-Rechtsakte zur Cybersicherheit, u.a.:
▪️ die NIS-2-Richtlinie für Netz- und Informationssysteme, insbesondere für Kritische Infrastrukturen
▪️ den Cyber Security Act (CSA) mit Zertifizierungsrahmen für IT-Sicherheit
▪️ die neue KI-Verordnung, die im Bereich Software eng mit dem CRA verzahnt ist

Die Idee des CRA geht auf die EU-Cybersicherheitsstrategie 2020 zurück:
15.09.2021: Ankündigung durch Kommissionspräsidentin von der Leyen in der Rede zur Lage der Union
15.09.2022: Veröffentlichung des Kommissionsvorschlags
30.11.2023: Politische Einigung von Rat und Parlament
12.03.2024: Annahme durch das Europäische Parlament
10.10.2024: Zustimmung des Rates
20.11.2024: Veröffentlichung im Amtsblatt der EU

Wen treffen die Anforderungen?
Hersteller, Importeure und Händler von Smart-Home-Geräten, industriellen Steuerungen, Softwarelösungen u.v.m.. Kurz: Alle, die Produkte oder Maschinen mit digitalen Elementen in der EU auf den Markt bringen.

Der CRA markiert einen entscheidenden Schritt zu mehr Vertrauen und Sicherheit in digitale Produkte. Cybersicherheit wird zur Pflicht und Unternehmen müssen sich frühzeitig mit den neuen Anforderungen befassen.

Weitere Informationen finden Sie u.a. auf der Seite des BSI: https://www.bsi.bund.de/dok/cra