Wirtschaft im Südwesten - Ausgabe April'25 -Südlicher Oberrhein

23 4 | 2025 IHK-Zeitschrift Wirtschaft im Südwesten Cyber Resilience Act Schutz vor Sicherheitsrisiken A m 10. Dezember 2024 ist der Cyber Resilience Act (CRA) in Kraft getreten. Diese EU-Verordnung legt erstmals verbind- liche Cybersicherheitsanforderungen für alle vernetzten Produkte auf dem EU-Markt fest. Ziel ist es, das Cybersicherheitsniveau zu er- höhen und Verbraucher und Unternehmen besser vor Sicherheitsrisiken zu schützen. Welche Unternehmen und Produkte sind betroffen? Und was ist zu tun? Dazu Fragen und Antworten. Warum wurde der Cyber Resilience Act eingeführt? Die zunehmende Vernetzung von Produkten birgt erhebliche Sicherheitsrisiken. Cyber- angriffe bedrohen nicht nur Unternehmen, sondern auch kritische Infrastrukturen und Verbraucher. Der CRA schafft einen ein- heitlichen Rechtsrahmen für grundlegende Cybersicherheitsanforderungen an Produkte mit digitalen Elementen und adressiert zwei wesentliche Probleme: die häufigen Sicher- heitslücken in digitalen Produkten und die mangelnde Informationstransparenz für Nut- zer über sichere Produkte. Welche Produkte sind betroffen? Der Cyber Resilience Act bezieht sich auf Produkte, die auf dem EU-Markt bereitge- stellt werden und digitale Elemente enthal- ten – also Produkte, die eine direkte oder indirekte Datenverbindung mit anderen Geräten oder Netzwerken herstellen kön- nen. Dabei handelt es sich sowohl um Soft- ware- als auch Hardwareprodukte. Je nach Sicherheitsrisiko werden diese Produkte in vier Kategorien eingeteilt: Standardprodukte (z. B. Smartphones), wichtige Produkte mit digitalen Elementen der Klasse 1 (z. B. Antivi- rensoftware), wichtige Produkte mit digitalen Elementen der Klasse 2 (z. B. Firewalls) und kritische Produkte mit digitalen Elementen (z. B. Chipkarten). Ausnahmen gelten für Medi- zinprodukte, Fahrzeuge, In-vitro-Diagnostika, zivile Luftfahrt und Produkte im Bereich der nationalen Sicherheit. Wer ist betroffen? Der CRA betrifft Akteure wie Hersteller, Bevollmächtigte, Importeure und Händler. Hersteller tragen die Hauptverantwortung und müssen sicherstellen, dass ihre Produk- te die gesetzlichen Anforderungen erfüllen. Händler und Importeure müssen prüfen, ob die Hersteller ihre Pflichten einhalten. Welche Pflichten müssen umgesetzt werden? Die Verpflichtungen des CRA richten sich in erster Linie an die Hersteller von Produkten mit digitalen Elementen. Sie müssen bereits bei der Entwicklung grundlegende Anforde- rungen an die Cybersicherheit berücksich- tigen. Hinzu kommen die Bereitstellung re- gelmäßiger Sicherheitsupdates, die Meldung von Schwachstellen und Sicherheitsvorfällen sowie die Durchführung von Konformitäts- bewertungen. Für Importeure und Händler gelten Prüfpflichten, etwa bei der CE-Kenn- zeichnung. Welche Fristen gelten für den CRA? Die Umsetzung der EU-Verordnung „CRA“ erfolgt schrittweise: Im Juni 2026 erfolgt die erste Konformitätsbewertung, im Sep- tember 2026 erfolgt die Meldepflicht für Schwachstellen und im Dezember 2027 müssen alle neuen Produkte CRA-konform sein. Welche Unterstützung gibt es für die Wirtschaft? Das Bundesamt für Sicherheit in der Informa- tionstechnik (BSI) bietet mit der Technischen Richtlinie BSI TR-03183 eine erste Hilfestel- lung zur Umsetzung der Anforderungen aus dem NDA an. Die IHK Südlicher Oberrhein organisiert darüber hinaus eine Informations- veranstaltung, um den betroffenen Akteuren Hinweise zur praktischen Umsetzung aus rechtlicher und technischer Sicht zu geben. Was bedeutet der CRA für die Zukunft der Cybersicherheit? Der Cyber Resilience Act bringt weitreichen- de Pflichten insbesondere für Hersteller, aber auch Chancen für mehr Sicherheit und Ver- trauen in digitale Produkte. Unternehmen sollten sich frühzeitig mit den neuen Anforde- rungen auseinandersetzen, um die gesetzten Fristen einzuhalten und wettbewerbsfähig zu bleiben. hs Weitere Informationen: Veranstaltung zum Thema: Kontakt: Hülya Sevgin 0761 3858-267 huelya.sevgin@freiburg.ihk.de Bild: iStock/TUIS Datensicherheit im Fokus: Die IHK bietet Hilfe beim Thema Cyber Resilience Act an.