Diese neue EU-Verordnung zu „horizontalen Cybersicherheitsanforderungen für Produkte mit digitalen Elementen“ zielt darauf ab, eine Hauptursache für Schwachstellen anzugehen: das niedrige Cybersicherheitsniveau bei vielen vernetzten Produkten, die auf dem europäischen Markt verkauft werden, von vernetztem Spielzeug bis hin zu Smart-TVs und von B2B-Software bis hin zu komplexen industriellen Systemen mit Konnektivitätsfunktionen. Erstmals schreibt der CRA Mindestanforderungen an die Cybersicherheit für diese Produkte vor – sowohl vor ihrer Markteinführung als auch danach –, um sicherzustellen, dass Sicherheitslücken über den gesamten Lebenszyklus eines Produkts hinweg angegangen werden.

Der ursprüngliche Vorschlag für diese Verordnung wurde am 15. September 2022 von der Europäischen Kommission vorgelegt. Im Rahmen des EU-Gesetzgebungsprozesses wurde er anschließend vom Rat der EU und dem Europäischen Parlament geprüft. Beide Institutionen einigten sich etwa ein Jahr später, am 30. November 2023, auf einen überarbeiteten Text. Aufgrund einiger verfahrensbedingter Verzögerungen im Zusammenhang mit den Europawahlen vom 9. Juni 2024 wurde die CRA jedoch erst im November 2024 unterzeichnet und im Amtsblatt der EU veröffentlicht. Der Text tritt 20 Tage nach seiner Veröffentlichung, also am 10. Dezember 2024, offiziell in Kraft.

Während des gesamten Annahmeprozesses spielte Belgien eine aktive Rolle bei der Förderung eines ausgewogenen Ansatzes für die CRA-Anforderungen. Im Einklang mit den Empfehlungen des ZCB setzten wir uns für einfache Maßnahmen ein, die echte Auswirkungen auf die Reduzierung von Schwachstellen haben, wie z. B. die Einführung einer Standardeinstellung, die sicherstellt, dass Sicherheitsupdates automatisch installiert werden, oder die Verpflichtung für Hersteller Benutzer über die Dauer des Supportzeitraums für ihre vernetzten Produkte zu informieren (d. h. das Datum, bis zu dem sie sich verpflichten, Sicherheitsupdates bereitzustellen).

In der Praxis ist eine Übergangszeit vorgesehen, um sicherzustellen, dass die Wirtschaftsakteure ausreichend Zeit haben, sich an die neuen Anforderungen anzupassen:

• In der ersten Phase, die in 21 Monaten ab heute beginnt, müssen Hersteller von vernetzten Produkten die zuständigen Behörden über Vorfälle und Schwachstellen informieren, die die Sicherheit ihrer Produkte beeinträchtigen. Dies wird für mehr Transparenz sorgen und eine schnelle Entwicklung und Bereitstellung von Sicherheitsupdates gewährleisten, um Schwachstellen zu beheben.

• In der zweiten Phase, die in 3 Jahren ab heute beginnt, gelten alle CRA-Anforderungen, einschließlich der Vorschriften zu standardmäßiger Sicherheit, Benutzertransparenz und Marktüberwachung. Ab diesem Zeitpunkt müssen vernetzte Produkte einer Konformitätsbewertung unterzogen werden, bevor sie in Europa verkauft werden dürfen, unabhängig davon, wo der Hersteller ansässig ist. Für Produkte mit geringem Risiko ist ein vereinfachtes Konformitätsverfahren auf Basis einer Selbsterklärung vorgesehen, während die wichtigsten und kritischsten Produkte einer detaillierten Prüfung durch Drittprüfer (sogenannte „Konformitätsbewertungsstellen“) unterzogen werden müssen.

Für ausführlichere Informationen zu den neuen Regeln besuchen Sie unsere CRA-Seite mit Antworten auf häufig gestellte Fragen (FAQ) oder lesen Sie den vollständigen Text der Verordnung.