Home » News » Cyber Resilience Act (CRA): Einig zu kurz gegriffen

Cyber Resilience Act (CRA): Einig zu kurz gegriffen

Der TÜV-Verband begrüßt die Einigung über den Cyber Resilience Act. Es ist positiv, dass auch vernetztes Spielzeug und persönliche Wearables jetzt als kritische Produkte anerkannt werden. Allerdings wünscht sich der Verband strengere Regeln, um digitale Produkte sicherer zu machen.

1 Min. Lesezeit
Cyber Law
Foto: ©AdobeStock/Chor muang

Die EU-Kommission, das EU-Parlament und der Rat der Europäischen Union haben vorläufig eine Vereinbarung zum Cyber Resilience Act (CRA) getroffen. Der TÜV-Verband begrüßt diese Einigung, sieht aber Raum für ein ambitionierteres Regelwerk. Johannes Kröhnert, Leiter des Brüsseler Büros, betont die Notwendigkeit verpflichtender Vorgaben für die Cybersicherheit vernetzter Produkte in der EU, um das Vertrauen der Menschen in solche Produkte zu stärken.

Allerdings zeigt sich der TÜV-Verband kritisch gegenüber der massiven Kürzung der Liste der kritischen Produkte, für die eine unabhängige Konformitätsbewertung erforderlich ist. Derzeit sollen nur noch vier Produktkategorien einer unabhängigen Prüfung unterliegen, während beispielsweise Betriebssysteme oder Router lediglich aufgrund einer Herstellerselbsterklärung auf den Markt kommen sollen. Diese Entscheidung wird angesichts der hohen Risiken und des Schutzauftrags des Gesetzgebers als unangemessen betrachtet.

Kröhnert unterstreicht die Bedeutung einer Einbindung unabhängiger Prüfstellen, insbesondere bei kritischen Produkten, um das Vertrauen in die Sicherheit digitaler Technologien zu gewährleisten. Positiv bewertet der Verband die Aufnahme internetfähiger Spielzeuge und persönlicher Wearables in die Liste der kritischen Produkte, da diese ein erhebliches Risiko für Cyberangriffe bergen.

Die Verzögerung der neuen Regelungen durch die Verlängerung der Übergangszeit von 24 auf 36 Monate bis voraussichtlich 2027 wird vom TÜV-Verband als nicht nachvollziehbar angesehen. Angesichts der zunehmenden Zahl von Cybersicherheitsvorfällen und den entstandenen Schäden sei eine rasche Umsetzung der neuen Regelungen von entscheidender Bedeutung.

Der Cyber Resilience Act legt grundlegende Anforderungen an die Cybersicherheit für Produkte mit digitalen Elementen fest. Sowohl physische Produkte als auch Software müssen diesen Anforderungen entsprechen. Dazu gehören die Berücksichtigung der Cybersicherheit während des gesamten Produktlebenszyklus, die Dokumentation aller Risiken, die Meldung und Behebung von Schwachstellen sowie eine Updatepflicht der Hersteller.

Andere interessante News

Eine mysteriöse Gestalt in einem roten Kapuzenpullover sitzt vor einem Laptop, Cybercrime-Foren

BKA: Zwei weltweit größten Cybercrime-Foren ausgehoben

Die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität – und das Bundeskriminalamt (BKA haben vom 28. bis 30. Januar 2025 gemeinsam...

AI Act, EU-Flagge mit Leiterplattenmustern symbolisiert ethische KI-Governance.

Europäischer Datenschutztag: Welche Neuerungen Unternehmen im Datenschutz-Jahr 2025 erwarten

Der Europäische Datenschutztag markiert einen jährlichen Aktionstag des Europarats, der 2025 besonders brisant ist: Mit der KI-Verordnung (AI Act) und der neuen Einwilligungsverord...

Europakarte mit virtuellem Hammer und Soundblock und AI-Wort. Konzept des von der EU kürzlich verabschiedeten AI Act.

Neue Gesichtserkennungs-Technologie für Waffenschränke

Biometrische Sicherheit für Jäger und Sportschützen: Hartmann Tresore und Rheinmetall Dermalog SensorTec präsentieren auf der Jagd & Hund (28. Januar – 2. Februar 2025, Dortmund) d...