28. März 2024 Mag. Andreas Schütz und Mag. Tereza Grünvaldska*

Cyber Resiliance Act

Laut Agentur der Europäischen Union für Cybersicherheit wurden zwischen Mai 2021 und Juni 2022 in der EU, UK und USA 10 TB an Daten pro Monat gestohlen. In der Studie waren nur gemeldete Vorfälle berücksichtigt – die Spitze des Eisbergs also. [...]

Mag. Andreas Schütz und Mag. Tereza Grünvaldska sind Juristen der Kanzlei Taylor-Wessing. (c) Taylor-Wessing
Mag. Andreas Schütz und Mag. Tereza Grünvaldska sind Juristen der Kanzlei Taylor-Wessing. (c) Taylor-Wessing

Um die Cybersicherheit entlang der Lieferkette künftig sicherzustellen, wurde im Europäischen Parlament am 12. März 2024 der Cyber Resilience Act (CRA) angenommen. Damit das erste europaweite Gesetz zu Cybersicherheit in Kraft treten kann, bedarf es nur noch der Billigung des Rats. Der CRA wird neue Verpflichtungen für Hersteller, Importeure und Vertreiber mit sich bringen. Er gilt für sämtliche vernetzte Hardware- und Softwareprodukte sowie ihre Datenverarbeitungslösungen. Die erfassten Produkte werden in normale (z. B. smarte Alltagsgeräte), wichtige (z. B. Passwortmanager, gewisse Smart-Home-Geräte) und kritische (etwa Smartkarten oder bestimmte Smart-Meter-Schnittstellen) unterteilt. Für die letzten zwei sind erhöhte Anforderungen zu erfüllen.

Hersteller haben die Cybersicherheit bereits bei Entwicklung und Gestaltung der Produkte zu berücksichtigen. Cyberrisiken sind zu bewerten, dokumentieren und in die technische Dokumentation aufzunehmen. Im Falle eines Bezugs von Komponenten von Dritten, sowie von Open-Source-Komponenten müssen die Hersteller eine Due Diligence durchführen, um das Produkt durch deren Einbau nicht zu gefährden.

Im Zusammenhang mit festgestellten Schwachstellen werden Melde- und Dokumentationspflichten eingeführt. Im Rahmen der Dokumentationspflichten haben die Hersteller künftig auch die sog. Software Bill of Materials, also eine Gesamtliste an verwendeten Softwarekomponenten, zu führen. Zudem werden die Hersteller verpflichtet, für die gesamte Lebensdauer des Produkts bzw. für mindestens fünf Jahre, Sicherheitsupdates bereitzustellen.

Zum Nachweis der Compliance mit dem CRA ist ein Konformitätsverfahren durchzuführen oder durch Dritte durchführen zu lassen. Die Konformität des Produkts wird über die CE-Kennzeichnung bestätigt. Für Importeure gilt, dass diese nur solche Produkte in die EU einführen dürfen, die den Sicherheitsanforderungen des CRA entsprechen. Hierüber müssen sich auch die Distributoren beim Vertrieb der betroffenen Produkte vergewissern.

Nach Inkrafttreten des CRA müssen die Unternehmen die Vorgaben binnen 36 Monaten umsetzen. Die Einhaltung soll durch entsprechende Marktüberwachungsmechanismen, sowie sog. Market Sweeps sichergestellt werden. Nichteinhaltung kann Geldbußen von bis zu 15 Mio. EUR oder bis zu 2,5 Prozent Jahresumsatz zur Folge haben. Somit sollten die Unternehmen schon frühzeitig prüfen, ob sie von den Vorgaben betroffen sind und allenfalls entsprechende interne Mechanismen einführen.

*Mag. Andreas Schütz und Mag. Tereza Grünvaldska sind Juristen der Kanzlei Taylor-Wessing.


Mehr Artikel

News

Produktionsplanung 2026: Worauf es ankommt

4. Dezember 2025

Resilienz gilt als das neue Patentrezept, um aktuelle und kommende Krisen nicht nur zu meistern, sondern sogar gestärkt daraus hervorzugehen. Doch Investitionen in die Krisenprävention können zu Lasten der Effizienz gehen. Ein Dilemma, das sich in den Griff bekommen lässt. […]

Maximilian Schirmer (rechts) übergibt zu Jahresende die Geschäftsführung von tarife.at an Michael Kreil. (c) tarife.at
News

tarife.at ab 2026 mit neuer Geschäftsführung

3. Dezember 2025 pi/cb

Beim österreichischen Vergleichsportal tarife.at kommt es mit Jahresbeginn zu einem planmäßigen Führungswechsel. Michael Kreil übernimmt mit 1. Jänner 2026 die Geschäftsführung. Maximilian Schirmer, der das Unternehmen gegründet hat, scheidet per 14. April 2026 aus der Gesellschaft aus. […]

News

Warum Unternehmen ihren Technologie-Stack und ihre Datenarchitektur überdenken sollten

3. Dezember 2025 Matthias Ingerfeld *

Seit Jahren sehen sich Unternehmen mit einem grundlegenden Datenproblem konfrontiert: Systeme, die alltägliche Anwendungen ausführen (OLTP), und Analysesysteme, die Erkenntnisse liefern (OLAP). Diese Trennung entstand aufgrund traditioneller Beschränkungen der Infrastruktur, prägte aber auch die Arbeitsweise von Unternehmen.  Sie führte zu doppelt gepflegten Daten, isolierten Teams und langsameren Entscheidungsprozessen. […]

News

Windows 11 im Außendienst: Plattform für stabile Prozesse

3. Dezember 2025 Simon Müller *

Das Betriebssystem Windows 11 bildet im technischen Außendienst die zentrale Arbeitsumgebung für Service, Wartung und Inspektionen. Es verbindet robuste Geräte, klare Abläufe und schnelle Entscheidungswege mit einer einheitlichen Basis für Anwendungen. Sicherheitsfunktionen, Updates und Unternehmensrichtlinien greifen konsistent und schaffen eine vertrauenswürdige Plattform, auf der sowohl Management als auch Nutzer im Feld arbeiten können. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*