Wenn das BSI hinreichende Gründe zur Annahme hat, dass ein Produkt ein erhebliches Cybersicherheitsrisiko darstellt, startet es einen Prozess. Damit adressiert es die Cyber-Risiken in diesen Produkten.

Die vier Schritte hierbei sind:

• Bewertung einleiten
• Non-Compliance identifizieren
• Korrekturen durchsetzen
• Relevante Stellen informieren

Im ersten Schritt bewertet das BSI umgehend, ob ein Produkt den Cyber Resilience Act erfüllt.

Im zweiten Schritt identifiziert es die Non-Compliance. Hier stellt das BSI fest, dass ein Produkt mit digitalen Elementen die Anforderungen des CRA nicht erfüllt. 

Im dritten Schritt setzt das BSI Korrekturen durch. Dabei sind wirtschaftliche Akteure sind verpflichtet, in einer angemessenen Frist alle geeigneten Maßnahmen zu ergreifen. Sie können die Konformität wieder her-stellen, das Produkt vom Markt nehmen oder zurückrufen.

Im letzten Schritt informiert das BSI entsprechend alle relevanten Stellen. 

Das BSI trifft dann alle geeigneten Maßnahmen, um die Markteinführung des Produkts zu verbieten oder einzuschränken, es von diesem Markt zu nehmen oder zurückzurufen.

Eine solche Entscheidung gilt nicht unmittelbar. Sie gilt aber als gerechtfertigt, wenn weder ein Mitgliedstaat noch die Kommission innerhalb von drei Monaten nach Eingang der Mitteilung einen Einwand erhebt.

Das BSI kann Hersteller zu Maßnahmen verpflichten, auch wenn ihr Produkt CRA-konform ist. Dazu müssen Cyber-Risiken einen der folgende Bereiche bedrohen: 

• Unversehrtheit von Personen
• Grundlegende Rechte
• Services mit elektrischer IS
• Öffentliches Interesse

Was ist der Cyber Resilience Act?

Hier erfahren Sie mehr zu den Hintergründen des Cyber Resilience Acts, seiner Ziele und über die Herausforderungen, die er innerhalb der Europäischen Union adressieren soll. 

Was sind die Ziele des Cyber Resilience Acts?

Was möchte die Europäische Union überhaupt verändern und wo möchte sie in Sachen Cybersicherheit hin? Erfahren Sie mehr über die übergeordneten Ziele des CRA. 

Was sind die Vorteile des Cyber Resilience Acts?

Erfahren Sie mehr zu den prognostizierten Vorteilen des CRA für Hersteller und Nutzer in der Europäischen Union. Und warum KMUs vom CRA profitieren könnten.

Timeline des CRA - wann kommt der Cyber Resilience Act?

Das Europäischen Parlament hat den CRA zwar bereits verabschiedet. Allerdings muss der Europäische Rat ihn noch verabschieden. Ab diesem Tag läuft die Übergangsfrist. Aber wie lang geht diese und was passiert währenddessen?

Was sind Produkte mit digitalen Elementen?

Der CRA verweist immer wieder auf diesen Begriff. Hier erfahren Sie, was er bedeutet. Und welche Produkte der CRA  betrifft oder nicht betrifft.

Was sind die CRA Requirements?

Welche Anforderungen stellt der Cyber Resilience Act an die Cybersicherheit von Produkten in der Europäischen Union?

Wie CRA-konform mit Schwachstellen umgehen?

Schwachstellen sind unvermeidlich. Deshalb gibt der CRA auch vor, wie Hersteller bei der Entdeckung von Schwachstellen handeln sollten. 

Welche Produktkategorien kennt der CRA?

Wie Hersteller die Konformität ihrer Produkte mit den Anforderungen des CRA sicherstellen, hängt auch davon ab, in welche Kategorie sie fallen.

Was ist ein Conformity Assessment und wie führt man es durch?

Es gibt verschiedene Verfahren, wie Hersteller die Konformität ihrer Produkte bestätigen können. Das hängt auch von der Produktkategorie ab.

Wie reguliert der CRA Free und Open Source Software?

FOSS fällt unter den CRA, wenn sie in einem wichtigen Produkt integriert ist und kommerziell genutzt wird. 

Wie reguliert der CRA Fremdkomponenten?

Kein Hersteller baut alles selbst. So geht der Cyber Resilience Act mit Komponenten von Drittanbietern um. 

Was müssen Hersteller laut CRA tun, wenn sie ihr Produkt verändern?

Viele moderne Produkte werden regelmäßig durch Software Updates erweitert. Aber wirken sich diese Veränderungen auch darauf aus, ob ein Produkt CRA-konform ist?

Support-Zeitraum - was müssen Hersteller laut CRA beachten?

Hersteller müssen mit dem CRA einen gewissen Support-Zeitraum zusichern. Lesen Sie hier, wie lange dieser sein muss und welche Ausnahmen es gibt. 

Wer sind die handelnden Akteure im CRA?

Der Cyber Resilience Act betrifft nicht nur Hersteller. Auch viele andere Akteure müssen gemäß der neuen Richtlinien handeln wie Behörden oder Prüfstellen. 

Wie interagieren Hersteller mit anderen Akteuren im CRA?

Hersteller müssen gewisse Prozesse einhalten. lesen Sie hier drei dieser Interaktionen, in denen der Hersteller handlungspflichtig ist. 

Wie melden Hersteller CRA-konform eine ausgenutzte Schwachstelle?

Aktiv ausgenutzte Schwachstellen zu melden ist eine wichtige Verpflichtung von Herstellern. Hier lesen Sie, wie der Prozess abläuft und welche Fristen Hersteller einhalten müssen. 

Wie melden Hersteller einen Cybersicherheitsvorfall?

Ein Cybersicherheitsvorfall im CRA ereignet beim Hersteller oder innerhalb seiner Lieferketten. So melden Sie den Vorfall und halten sich an die entsprechenden Pflichten. 

Wie unterstützt der CRA kleine und mittlere Unternehmen bei der Umsetzung?

Der CRA steckt nicht nur voller Vorschriften. Vielmehr verlangt er von den einzelnen EU-Staaten auch Unterstützung für den Mittelstand. Erfahren Sie mehr zu den geplanten Maßnahmen.

Was passiert, wenn ein Produkt nicht mehr dem CRA entspricht?

Ein Produkt, das ehemals den Vorgaben des CRA entsprach, kann diesem unter Umständen nicht mehr entsprechen. Wie es dazu kommt und wie die weiteren Schritte aussehen, lesen Sie hier. 

Welche Aufgaben hat das BSI laut CRA?

Das BSI erhält durch den CRA bestimmte Aufgaben. Dafür erhält es Befugnisse, aber auch Pflichten. Lesen Sie hier mehr.