28. März 2024 Allgemein

Der Cyber Resilience Act (CRA) und seine Auswirkungen

Das Thema NIS2 ist bei weitem noch nicht ausgestanden, da steht bereits die nächste EU-Legislative in den Startlöchern. Was steckt hinter dem Cyber Resilience Act (CRA)?

Mehr Informationen +

Der Cyber Resilience Act (CRA) der Europäischen Union hat erhebliche Auswirkungen und Implikationen für Unternehmen, insbesondere im Bereich der Cyber-Sicherheit und des Datenschutzes.

Der CRA hat kürzlich einen wichtigen Meilenstein erreicht, da die Europäische Kommission, der Rat und das Parlament eine Einigung über den Text des CRA erzielt haben. Dies deutet darauf hin, dass der CRA voraussichtlich dieses Jahre den EU-Gesetzgebungsprozess abschließen wird. Nach der formellen Genehmigung wird der CRA über einen gestaffelten Übergangszeitraum in Kraft treten, wobei die Meldepflichten für Schwachstellen nach 21 Monaten (d.h. Ende 2025) und die übrigen Verpflichtungen nach 3 Jahren (d.h. Anfang 2027) in Kraft treten könnten.

Der CRA wird sich auf eine breite Palette von “Produkten mit digitalen Elementen” (PDEs) auswirken, wobei der Fokus insbesondere auf bestimmten “wichtigen” oder “kritischen” PDEs liegt. Die endgültige Liste der PDEs in diesen Kategorien wurde noch nicht veröffentlicht, aber es ist wahrscheinlich, dass sie Artikel umfassen, die sowohl Software (wie Antivirensoftware und VPNs) als auch vernetzte Geräte wie “smarte Haushaltsgeräte”, vernetztes Spielzeug und Wearables abdecken .

Hintergrund des CRA

Der CRA wurde eingeführt, um die Cyber-Sicherheit in der EU zu stärken und die Verbraucher vor Schwachstellen bei “smarten” Geräten des Internet of Things zu schützen. Darüber hinaus zielt der CRA darauf ab, Schutzmaßnahmen gegen Schwachstellen in der Lieferkette zu entwickeln und die Verantwortung für Cyber-Sicherheit von Herstellern zu betonen. Viele Jahre wurde die IT-Sicherheit von angebotenen Produkten vieler Hersteller sehr stiefmütterlich behandelt. IT-Sicherheit der Produkte wird damit nun zur Verpflichtung für die Hersteller – und zwar nicht nur zum Zeitpunkt der Veröffentlichung des Produkts, sondern über den gesamten Lebenszeitraum des Produkts.

Die Einhaltung des CRA ist von entscheidender Bedeutung, da bei Nichteinhaltung Geldstrafen von bis zu 15 Millionen US-Dollar oder 2,5% des weltweiten Umsatzes des Verstoßes drohen. Ähnliche Strafrahmen kennen wir bereits durch vergangene Rechtsakte wie z.B. der DSGVO und der NIS2-Richtlinie.

Implikationen für Unternehmen

Compliance-Anforderungen: Unternehmen müssen sich auf neue Anforderungen einstellen, die sich aus dem CRA ergeben. Dazu gehören Meldepflichten für ausgenutzte Schwachstellen und Vorfälle, sowie regelmäßige Überprüfungen und Berichterstattung.
Risikobewertung und -management: Unternehmen müssen ihre Cyber-Resilienz verbessern und sich verstärkt mit der Risikobewertung und dem Risikomanagement im Zusammenhang mit Cyber-Sicherheit auseinandersetzen, um den Anforderungen des CRA gerecht zu werden.
Kostenreduktion und Umsatzsteigerung: Obwohl die Einhaltung des CRA mit zusätzlichen Kosten für die Unternehmen verbunden sein wird, wird erwartet, dass die Initiative gesamtwirtschaftlich zu einer erheblichen Reduzierung der Kosten durch Cyber-Vorfälle führt.
Globale Auswirkungen: Die Verpflichtung zur Umsetzung des CRA kann die globale Reputation von Unternehmen verbessern und zu einer verstärkten Nachfrage von außerhalb der EU führen, da die EU beabsichtigt, eine führende Rolle im Bereich der Cyber-Sicherheit einzunehmen. Die EU versucht durch den starken Fokus der Gesetzgebung auf Cybersicherheit in den letzten Jahren auch die globalen Spielregeln dahingehend zu beeinflussen.

Negative Implikationen des Cyber Resilience Act

Kosten und Compliance-Belastung: Die Einhaltung der neuen Cyber-Sicherheitsanforderungen gemäß dem CRA erfordert erhebliche Investitionen in die Sicherheit von PDEs. Dies kann zu Problemen für Unternehmen führen, insbesondere für kleinere Hersteller und Importeure, die möglicherweise nicht über die Ressourcen verfügen, um die erforderlichen Sicherheitsmaßnahmen zu implementieren.
Komplexität der Konformität: Die Anforderungen des CRA können die Komplexität der Produktkonformität erhöhen, insbesondere für Unternehmen, die eine Vielzahl von PDEs auf dem Markt anbieten. Die Notwendigkeit, Risikobewertungen, Konformitätsbewertungen und die Meldung von Sicherheitsvorfällen durchzuführen, kann zu einer erhöhten administrativen Belastung führen.
Wettbewerbsnachteile: Unternehmen, die Schwierigkeiten haben, die Anforderungen des CRA zu erfüllen, könnten im Wettbewerb benachteiligt sein, insbesondere wenn sie mit ausländischen Anbietern konkurrieren, die nicht denselben Vorschriften unterliegen.
Strafen bei Nichteinhaltung: Der CRA sieht hohe Geldstrafen für Unternehmen vor, die die Sicherheitsanforderungen nicht erfüllen. Dies kann zu erheblichen finanziellen Belastungen führen.

Fazit

Der Cyber Resilience Act der Europäischen Union bringt zweifellos positive Aspekte hinsichtlich der Stärkung der Cyber-Sicherheit und des Verbraucherschutzes mit sich. Allerdings ist es wichtig, auch die potenziellen negativen Auswirkungen auf die betroffenen Unternehmen zu berücksichtigen. Unternehmen, die PDEs bereitstellen, müssen sich auf zusätzliche Kosten, erhöhte Komplexität der Konformität und potenzielle Wettbewerbsnachteile vorbereiten, um den Anforderungen des CRA gerecht zu werden. Der CRA hat wie auch die DSGVO und die NIS2-Richtlinie das Bestreben, die Cyber-Sicherheit in der EU zu stärken und Unternehmen dazu zu veranlassen, ihre Cyber-Resilienz zu verbessern. Die Einhaltung des Gesetzes erfordert eine proaktive Herangehensweise an die Cyber-Sicherheit und kann langfristig zu positiven Auswirkungen auf die Kosten, den Umsatz und die globale Reputation von Unternehmen führen.

offizielle Links zum Cyber Resiliance Act:

Übersicht:
https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act

Vorschlagstext 2022:
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:52022PC0454

Unsere Produkte

D&O

Für Unternehmen, Stiftungen, Vereine, einzelne Personen & D&O mit Strafrechtschutz

CYBER

Für Dienstleister & Gewerbe, Versicherungs-Vermitttler, Produktions-Unternehmen etc.

SPEZIAL STRAF-RECHTSSCHUTZ

Strafrechtsschutz, Manager-Rechtsschutz, Steuerberater & Wirtschaftsprüfer

CRIME

Finanzinstitutionen,
Kommerzielle Kunden

VERMÖGENSSCHADEN-HAFTPFLICHT

Finanzinstitute, Private Equity, Werbung & Medien etc.

Lesen Sie hier weiter

News

Ein perfekter Angriff: Wie ich fast mein GMail-Konto verloren hätte

Die Zeit, in der man Cyberkriminelle an schlechter Grammatik oder offensichtlichen technischen Fehlern erkennen konnte, ist vorbei. Die neue Generation von KI-gestützten Angriffen ist raffiniert, überzeugend und hochprofessionell.

News

Der EU AI Act: Regulierung für Künstliche Intelligenz

Am 1. August 2024 trat der "AI Act" der Europäischen Union in Kraft.

News

Fehleinschätzungen zu NIS2: Wie Unternehmen die Richtlinie unterschätzen!

Über die EU-Richtlinie NIS2 wurde in den letzten Monaten viel berichtet. Sie stellt viele Unternehmen vor große Herausforderungen und zahlreiche Fehleinschätzungen und Missverständnisse erschweren die effektive Umsetzung.

← ZURÜCK ZUR ÜBERSICHT

Versicherungsvermittler in der Form
Versicherungsmakler und Berater in Versicherungsangelegenheiten

ÖFFNUNGSZEITEN

Montag bis Donnerstag
8:30 - 17:30 Uhr
Freitag
8:30 - 13 Uhr

KONTAKT

T: +43 512 588580-88
T: +43 1 3618056 (Wien)
F: +43 512 588580-15
E: finlines@infinco.com

SITEMAP

Kontakt Impressum Datenschutz Nachhaltigkeit

ADRESSE

Fallmerayerstraße 12
6020 Innsbruck

Marokkanergasse 7
1030 Wien