Der 2024 verabschiedete Cyber Resilience Act (CRA) ist eine EU-Verordnung, die Cybersicherheitsanforderungen für jedes Hardware- oder Softwareprodukt, das auf den europäischen Markt gebracht wird, während seines gesamten Lebenszyklus vorschreibt. Außerdem führt es eine Meldepflicht für Schwachstellen ein und erhöht die Transparenz gegenüber den Nutzern.
Sie gilt für Hersteller, Importeure und Händler von digitalen Produkten, die auf dem europäischen Markt in Verkehr gebracht werden.
Das ARC wird 2027 vollständig in Kraft treten, mit einer Übergangszeit von 36 Monaten.
Die ARC-Verordnung baut auf der im Jahr 2020 verabschiedeten EU-Strategie für Cybersicherheit und der Strategie für eine Sicherheitsunion auf. Sie ergänzt andere wichtige Rechtsinstrumente, insbesondere die NIS-Richtlinie2.
Das ARC verfolgt zwei Ziele: Es soll den Schutz von Verbrauchern und Unternehmen angesichts der zunehmenden Zahl von Vorfällen im Bereich der Cybersicherheit verbessern und gleichzeitig die Anforderungen harmonisieren, um einen sichereren und wettbewerbsfähigeren Binnenmarkt zu schaffen.
[FC1]Link zum Regelblatt
| SCHLÜSSELPUNKTE | CLARIFIKATION |
|---|---|
| "Security by design" und "Security by default". | Digitale Produkte sollten von Anfang an mit eingebauten Cybersicherheitsmaßnahmen konzipiert werden (Sicherheit durch Design) und standardmäßig aktivierte sichere Einstellungen (Standardsicherheit). |
| Verwaltung von Schwachstellen | Die Hersteller müssen ein Verfahren zur Erkennung, Behebung und Verfolgung von Schwachstellen einführen und während der gesamten Lebensdauer des Produkts Sicherheitsupdates veröffentlichen. |
| Transparenz und Information | : Die Nutzer sollten über die Risiken der Cybersicherheit, bewährte Verfahren und die Dauer der Sicherheitsaktualisierungen informiert werden. |
| Compliance und Überwachung | Das Produkt muss einer Konformitätsbewertung unterzogen werden (Selbsterklärung oder Drittpartei), mit einer technischen Dokumentation versehen sein und Meldepflichten im Falle eines Vorfalls erfüllen. |
Der Cyber Resilience Act markiert einen großen Einschnitt: Cybersicherheit ist nicht länger eine Option, sondern eine wesentliche Eigenschaft, die bereits bei der Konzeption erwartet wird. Indem der Text die Kontrolle über jede integrierte Komponente verlangt, trifft er den Kern des Cloud-Modells, das auf miteinander verbundenen Softwareketten beruht, in denen das Vertrauen auf Transparenz beruht. Europa sendet ein starkes Signal: Cybersicherheit wird zu einem Hebel für Wettbewerbsfähigkeit und technologische Souveränität.
Obwohl die ARC Ausnahmen für nicht gewinnorientierte und nicht kommerzielle Open-Source-Projekte vorsieht, wird ihre Anwendung verbindlich, sobald Open-Source-Software in Produkte oder Dienstleistungen integriert wird, die in einem wirtschaftlichen Rahmen angeboten werden.
Zu diesen Anforderungen gehören unter anderem die Bereitstellung einer vollständigen technischen Dokumentation, proaktives Schwachstellenmanagement, Konformitätserklärung, Kennzeichnung sowie die Bereitstellung einer Software-Stückliste.
Dies bedeutet eine tiefgreifende Umgestaltung der Entwicklungs-, Überwachungs- und Wartungsprozesse mit erheblichen betrieblichen und finanziellen Auswirkungen.