Die EU-Verordnung Cyber Resilience Act / CRA (EU) 2024/2847) soll die Cybersicherheit von digitalen Produkten und Dienstleistungen in der EU gewährleisten. Sie legt verbindliche, strenge Anforderungen für Hersteller, Importeure und Händler fest. Möchten Unternehmen ein elektronisches Produkt in der EU auf den Markt bringen, müssen sie für dessen Widerstandsfähigkeit gegen Cyberattacken sorgen – über den gesamten Lebenszyklus hinweg. Kritische Produkte, die für die Cybersicherheit von besonderer Bedeutung sind, müssen vor ihrem Verkauf auf dem EU-Markt auch von einer zugelassenen Stelle einer Bewertung durch Dritte unterzogen werden.
In Kraft getreten ist das Gesetz am 10. Dezember 2024, die wichtigsten mit dem Gesetz eingeführten Verpflichtungen gelten ab dem 11. Dezember 2027. Bis dahin gibt es verschiedene Übergangsfristen, die eine sorgfältige Vorbereitung erfordern:
11. Juni 2026: Kapitel IV (Benennung von Konformitätsbewertungsstellen) tritt in Kraft
11. September 2026: Artikel 14 (Meldepflicht der Hersteller) verpflichtet die Hersteller, die nationalen Behörden und die ENISA über aktiv ausgenutzte Sicherheitslücken in ihren Produkten zu informieren
11. Dezember 2027: Ab diesem Datum gelten alle Anforderungen der CRA, das heißt kein „Produkt mit digitalen Elementen“ darf ohne CE-Kennzeichnung in der EU verkauft werden
Der FBDi empfiehlt, sich auf alle Fälle frühzeitig mit den anstehenden Verpflichtungen auseinanderzusetzen, nicht zuletzt wegen kurzer Fristen, Haftungsrisiken und empfindlicher Geldbußen bei Missachtung. Dazu bietet der Verband ab September Hilfestellung für Distributoren in Form eines neu eingerichteten Competence Teams CRA, wo sie sich gezielt austauschen können und wertvolle Tipps für die Umsetzung erhalten.
Andreas Falke, Geschäftsführer, sagt: „Wir brauchen eine starke Struktur als Basis der Cybersicherheit, dazu ist eine Europäische Verordnung unerlässlich. Der Cyber Resilience Act bringt für die Marktteilnehmer neue große Herausforderungen mit sich. Unser neu gegründetes Competence Team CRA wird sich zunächst auf Betroffenheitsanalysen für elektronische Komponenten und Module konzentrieren. Mit diesen Analysen können die Mitglieder, basierend auf ihrer jeweiligen Akteursrolle, Verpflichtungen erkennen und aktiv wahrnehmen. Darauf basierend werden auch Prozesse zu Informations- und Dokumentationspflichten intensiv beleuchtet, um unsere Mitglieder in der Umsetzung dieser komplexen Verordnung bestmöglich zu unterstützen.“
Eckdaten des CRA
CE-Kennzeichnung als Nachweis der Konformität
Klarer Anwendungsbereich
Detaillierte Sicherheitsanforderungen – inklusive Updates und Meldepflichten bei Schwachstellen und Sicherheitsvorfällen
Verantwortung für Hersteller, Importeure & Händler – mit 10 Jahren Dokumentationspflicht für technische Unterlagen, Sicherheitsinformationen und EU-Konformitätserklärungen
Risikoklassifizierung – höhere Anforderungen für Produkte mit mittlerem oder erheblichem Risiko
Strenge Bußgelder – bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes für Hersteller, bis zu 10 Millionen Euro oder 2 Prozent für Importeure
