Das Problem der Cyberkriminalität verursacht jährlich Kosten von 5,5 Billionen Euro, wie beispielsweise der Angriff auf eine Netzverwaltersoftware, der 500 Supermarktfilialen zur Schließung zwang, oder der Ransomware-Wurm WannaCry, der 200.000 Computer in 150 Ländern infizierte. Solche Cyberangriffe können den gesamten Binnenmarkt innerhalb von Minuten lahmlegen.
Die Lösung ist der Cyber Resilience Act (CRA), dessen Entwurf im September 2022 von der Europäischen Kommission angenommen wurde. Im Juni 2023 werden die Mitgliedstaaten im Rat der Telekommunikation darüber beraten, und eine Abstimmung im Plenum wird nach der Sommerpause erwartet. Um die Anforderungen des CRA erfolgreich umzusetzen, ist es ratsam, sich bereits jetzt darauf vorzubereiten.
Die Verordnung zielt darauf ab, Produkte mit digitalen Elementen sicherer zu gestalten und Hersteller dazu zu verpflichten, sich während des gesamten Lebenszyklus eines Produkts um dessen Sicherheit zu kümmern. Zudem sollen Bedingungen geschaffen werden, die es Nutzern ermöglichen, Cybersicherheit bei der Auswahl und Verwendung solcher Produkte zu berücksichtigen. Die Verordnung betrifft alle Software- oder Hardwareprodukte und deren Datenfernverarbeitungslösungen sowie deren Komponenten, die getrennt in Verkehr gebracht werden sollen.
Alle Hersteller, Bevollmächtigten, Einführer, Händler und natürliche oder juristische Personen, die das Produkt unter eigenem Namen oder Marke oder nach wesentlichen Änderungen in Verkehr bringen, müssen die Pflichten der Verordnung erfüllen.
Produkte mit digitalen Elementen dürfen nur auf den Markt gebracht werden, wenn sie den in Anhang I Abschnitt 1 der Verordnung aufgeführten Cybersicherheitsanforderungen entsprechen und ordnungsgemäß installiert, gewartet, verwendet und aktualisiert werden. Hersteller, Einführer und Händler haben unterschiedliche Pflichten in Bezug auf die Konformitätsbewertung, technische Dokumentation, CE-Kennzeichnung, Informationsbereitstellung und Überwachung. Darüber hinaus sind sie verpflichtet, bei festgestellten Schwachstellen oder Zwischenfällen entsprechende Maßnahmen zu ergreifen und diese innerhalb von 24 Stunden an die ENISA zu melden.
Bei Nichteinhaltung der Pflichten drohen Geldbußen von bis zu 15.000.000 Euro oder 2,5 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres. Bei Verstößen gegen andere Pflichten aus der Verordnung können Geldbußen von bis zu 10.000.000 Euro oder 2 % des weltweiten Jahresumsatzes verhängt werden. Bei der Mitteilung falscher, unvollständiger oder irreführender Angaben drohen Geldbußen von bis zu 5.000.000 Euro oder 1 % des weltweiten Jahresumsatzes.