Der EU Cyber Resilience Act: Was Entscheidungsträger jetzt wissen müssen

Veröffentlicht am Veröffentlicht in Datenschutzbeauftragter Tagged with
Der EU Cyber Resilience Act: Was Entscheidungsträger jetzt wissen müssen
Mit dem Cyber Resilience Act reagiert die EU auf die zunehmende Bedrohung durch Cyberangriffe und legt neue Sicherheitsstandards für digitale Produkte fest.

[EU] Am 23. Oktober 2024 wurde der EU Cyber Resilience Act (CRA) angenommen und am 20. November 2024 im Amtsblatt der Europäischen Union veröffentlicht. Er tritt am 11. Dezember 2027 in Kraft. Mit diesem Gesetz reagiert die EU auf die zunehmende Bedrohung durch Cyberangriffe und legt neue Sicherheitsstandards für digitale Produkte fest. Entscheidungsträger sollten sich frühzeitig mit den Anforderungen vertraut machen, um die Weichen für eine erfolgreiche Umsetzung zu stellen.

Was ist der Cyber Resilience Act (CRA)?

Der Cyber Resilience Act (CRA) ergänzt die NIS 2-Richtlinie, indem er konkrete Anforderungen an die Cybersicherheit von „Produkten mit digitalen Elementen“ stellt. Dazu gehören Hardware, Software sowie deren Fernverarbeitungsfunktionen. Ziel ist es, Sicherheitslücken zu minimieren und die Resilienz digitaler Produkte gegenüber Cyberbedrohungen zu stärken.

Im Gegensatz zu anderen Regelwerken wie der NIS 2-Richtlinie oder dem Data Act verzichtet der CRA auf Ausnahmen für kleine oder mittelständische Unternehmen (KMUs). Das bedeutet, dass sämtliche Akteure – von Start-ups bis zu multinationalen Konzernen – gleichermaßen verpflichtet sind, die Anforderungen zu erfüllen.

Die wichtigsten Anforderungen des CRA

  1. Sicherheitsdesign von Anfang an: Produkte müssen so entwickelt werden, dass Sicherheitsrisiken minimiert werden. Dies umfasst Mechanismen wie Verschlüsselung, Authentifizierung und regelmäßige Sicherheitsupdates.

  2. Verantwortung entlang der Lieferkette: Hersteller, Importeure und Händler sind gleichermaßen dafür verantwortlich, dass ihre Produkte den Sicherheitsanforderungen entsprechen.

  3. Durchgehende Sicherheitsprüfung: Digitale Produkte müssen über ihren gesamten Lebenszyklus hinweg auf Schwachstellen überprüft werden.

  4. Transparenzanforderungen: Anbieter müssen umfassende Informationen über Sicherheitsfunktionen und potenzielle Risiken bereitstellen.

Relevanz für Datenschutz und Datensicherheit

Der CRA greift nicht nur technische Sicherheitsaspekte auf, sondern hat auch weitreichende Auswirkungen auf den Datenschutz. Insbesondere betrifft dies die Verarbeitung personenbezogener Daten durch digitale Produkte:

  1. Datenschutz durch Technikgestaltung: Die Verpflichtung zu sicherem Design ergänzt den in der DSGVO (Art. 25) verankerten Grundsatz von „Datenschutz durch Technik“. Anbieter müssen sicherstellen, dass ihre Produkte standardmäßig datenschutzfreundlich konfiguriert sind.

  2. Transparenz bei der Datenverarbeitung: Produkte mit digitalen Elementen, die personenbezogene Daten verarbeiten, müssen klare Informationen darüber bereitstellen, welche Daten verarbeitet werden, zu welchem Zweck und wie sie geschützt werden. Dies unterstützt die Anforderungen der Art. 12 und 13 DSGVO.

  3. Risikobewertung und Meldepflichten: Die CRA-Vorgaben erfordern eine kontinuierliche Bewertung von Sicherheitsrisiken. Werden Sicherheitslücken entdeckt, könnten diese auch Datenschutzverletzungen betreffen und meldepflichtig nach Art. 33 DSGVO sein.

  4. Datenübermittlung in Drittländer: Wenn Produkte oder ihre Fernverarbeitungsdienste personenbezogene Daten außerhalb der EU verarbeiten, müssen Unternehmen sicherstellen, dass die Übermittlung DSGVO-konform erfolgt. Der CRA bietet hier keine spezifischen Regelungen, weshalb Unternehmen weiterhin auf Mechanismen wie das EU-US Privacy Framework angewiesen sind.

Herausforderungen und Handlungsbedarf für Unternehmen

Die Umsetzung des CRA wird von Unternehmen erhebliche Investitionen in Sicherheitsmaßnahmen und Compliance-Strategien erfordern. Besondere Herausforderungen könnten entstehen durch:

  • Umsetzungskosten: Insbesondere KMUs könnten Schwierigkeiten haben, die notwendigen finanziellen Mittel für die Umsetzung bereitzustellen.

  • Interne Expertise: Unternehmen müssen möglicherweise Experten einstellen oder weiterbilden, um die neuen Anforderungen zu erfüllen.

  • Langfristige Compliance: Die kontinuierliche Sicherheitsprüfung erfordert Prozesse, die während des gesamten Produktlebenszyklus aufrechterhalten werden.

Strategische Empfehlungen für Entscheidungsträger

  1. Frühzeitige Vorbereitung: Unternehmen sollten bereits jetzt interne Audits durchführen, um potenzielle Sicherheitslücken zu identifizieren.

  2. Schulungen und Sensibilisierung: Mitarbeiter, insbesondere in den Bereichen IT und Datenschutz, sollten auf die neuen Anforderungen vorbereitet werden.

  3. Technologiepartnerschaften: Zusammenarbeit mit spezialisierten Anbietern kann helfen, technische und regulatorische Anforderungen effizient umzusetzen.

  4. Integration von Datenschutz und Cybersicherheit: Datenschutz sollte als integraler Bestandteil der Sicherheitsstrategie betrachtet werden, um Synergien zwischen CRA und DSGVO zu nutzen.

Fazit

Der EU Cyber Resilience Act markiert einen weiteren Meilenstein in der Cybersicherheitsregulierung und hat weitreichende Auswirkungen auf Unternehmen jeder Größe. Entscheidungsträger sollten die verbleibenden drei Jahre nutzen, um ihre Organisationen auf die Anforderungen vorzubereiten und gleichzeitig Datenschutzstandards zu stärken. Nur so können sie nicht nur die rechtlichen Vorgaben erfüllen, sondern auch das Vertrauen ihrer Kunden in die Sicherheit digitaler Produkte langfristig sichern.

[1] Cyber Resilience Act (EU) 2024/2847 , URL: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=OJ:L_202402847;