Cyber-Resilienz-Verordnung der EU

Die EU plant mit dem Cyber Resilience Act eine Verordnung, die Unternehmen stärker zur IT-Sicherheit verpflichtet. Anwendbar sollen die Regeln auf Hersteller, Händler und Importeure von Produkten mit digitalen Elementen sein. Das können Software oder Hardware inklusive Komponenten sein, wenn sie getrennt in den Verkehr gebracht werden sollen. Genaueres ist noch unklar. Die Wirkung aber wird massiv. Nicht zuletzt wegen möglicher Bußgelder, für deren Höhe die DSGVO Pate stand.
 
Ziel der EU ist es, über alle Wirtschaftsakteure und den gesamten Lifecycle (Planungs-, Entwurfs-, Entwicklungs-, Produktions-, Liefer- und Wartungsphase) hinweg die Cybersicherheit von Software oder Hardware zu gewährleisten. Dazu gehört auch ein Schwachstellenmanagement – und für Hersteller nicht weniger als eine EU-Konformitätserklärung und Pflicht zur Anbringung eines CE-Kennzeichens.
 
Die Verpflichtungen werden horizontal neben die vertikale Verpflichtung der Betreiber Kritischer Infrastrukturen gestellt. Als EU-Verordnung wird die Norm unmittelbar und direkt in den Mitgliedsstaaten anzuwendendes Recht. Der Entwurf sieht eine Übergangszeit von zwei Jahren vor. Meldepflichten sollen bereits nach 12 Monaten gelten.
 
Heisst: Produkte prüfen und Verträge anpassen!