Cyber Resilience Act: BSI bewirbt sich um Marktaufsicht für vernetzte Produkte

Ort Bonn
Datum 11.12.2024

Am heutigen Tag ist die europäische Regulierung Cyber Resilience Act (CRA) in Kraft getreten. Diese gesetzliche Neuerung gibt ein Mindestmaß an Cybersicherheit für vernetzte Produkte auf dem EU-Markt vor. Hersteller haben nun 36 Monate Zeit, ihre Produkte an die neuen Anforderungen anzupassen.

Ab Dezember 2027 muss jedes Produkt mit digitalen Elementen, das in der EU in Verkehr gebracht wird, die im CRA formulierten Cybersicherheitsanforderungen erfüllen. Der CRA erhöht die Transparenz bezüglich der Produktinformationen und schreibt die Einhaltung von Mindestanforderungen an Cybersicherheit vor. Diese kann man künftig am bekannten CE-Kennzeichen erkennen. Bereits ab September 2026 müssen EU-Hersteller aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle im Zusammenhang mit ihren digitalen Produkten den zuständigen Behörden wie dem CSIRT (Computer Security Incident Response Team) des BSI melden.

Was in Deutschland noch aussteht, ist die Benennung einer nationalen Marktaufsichtsbehörde, die die Einhaltung der im CRA formulierten Anforderungen durch Hersteller und Händler gewährleistet. Zum Aufgabenspektrum gehört zudem die Koordination zwischen Behörden auf nationaler und europäischer Ebene. Eine zentrale, leistungsfähige Marktüberwachung sorgt verlässlich für die Sicherheit vernetzter Produkte, ist damit integraler Bestandteil des digitalen Verbraucherschutzes und trägt dazu bei, die Wettbewerbsbedingungen innerhalb der EU zu vereinheitlichen.

BSI-Vizepräsident Dr. Gerhard Schabhüser: "Das BSI strebt die Übernahme der Marktüberwachung im Rahmen des CRA an: Als zentrale Cybersicherheitsbehörde des Bundes verfügen wir über umfassende Erfahrung mit Blick auf die Absicherung digitaler Produkte und Prozesse. Bereits heute fungieren wir in diesem Zusammenhang als Aufsichtsbehörde, etwa für Betreiber Kritischer Infrastrukturen. Ebenso, wie unsere aus dieser Aufgabe gewonnenen Erkenntnisse in das von uns herausgegebene Cybersicherheitslagebild einfließen, würde die CRA-Marktaufsicht beim BSI den Blick auf die Lage der IT-Sicherheit in Deutschland schärfen und damit die Cyberresilienz unseres Landes erhöhen. Als nationale Stelle für Zertifizierung und Standardisierung von Cybersicherheitsmaßnahmen verfügen wir über etablierte Strukturen, die schnell für die Marktüberwachung im Sinne des CRA nutzbar gemacht werden können. Eine strikte Trennung zwischen Vorgabenentwicklung, Zertifizierung und Marktaufsicht unter Einhaltung von Regulierungs- und Akkreditierungsvorgaben ist für das BSI seit jeher gelebte Praxis - etwa im Rahmen des europäischen Cyber-Sicherheitsschemas EUCC."

Um die Anforderungen des CRA greifbarer zu machen, hat das BSI die technische Richtlinie TR-03183 erarbeitet, in der die im CRA formulierten Anforderungen an Hersteller und Produkte übersichtlich beschrieben und erklärt werden. Die Behörde leistet damit bereits heute einen herstellerneutralen, verbraucherorientierten Beitrag zur europäischen Standardisierung.

Durch das vom BSI herausgegebene IT-Sicherheitskennzeichen hat die Behörde bereits Erfahrungen mit der Überwachung des nationalen Verbrauchermarktes und damit einhergehenden Schwachstellenmeldepflichten gesammelt: Das IT-Sicherheitskennzeichen ist ein Angebot des BSI, mit dem sich Hersteller auf die Umsetzung des CRA gezielt vorbereiten und gleichzeitig das Vertrauen in ihre Produkte stärken können. Die produktbezogenen Anforderungen des CRA und des IT-Sicherheitskennzeichens decken sich schon heute zu großen Teilen. Das IT-Sicherheitskennzeichen wird derzeit in enger Zusammenarbeit mit Wirtschaft und Zivilgesellschaft weiterentwickelt.

Pressekontakt:

Bundesamt für Sicherheit in der Informationstechnik
Pressestelle
Tel.: 0228-999582-5777
E-Mail: [email protected]
Internet: www.bsi.bund.de

BSI in Social Media