Von https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act.
Was ist der European Cyber Resilience Act (CRA)?
Der European Cyber Resilience Act ist ein Rechtsrahmen, der die Cybersicherheitsanforderungen für Hardware- und Softwareprodukte beschreibt, die in der Europäischen Union auf den Markt gebracht werden. Hersteller sind nun verpflichtet, die Sicherheit während des gesamten Lebenszyklus eines Produkts ernst zu nehmen.
Vor dem European Cyber Resilience Act gingen die verschiedenen Gesetze und Initiativen auf Unions- und nationaler Ebene nur teilweise auf die identifizierten Probleme und Risiken der Cybersicherheit ein, wodurch ein legislativer Flickenteppich innerhalb des Binnenmarkts entstand.
Dies erhöhte die Rechtsunsicherheit sowohl für Hersteller als auch für Benutzer dieser Produkte und stellte eine unnötige Belastung für Unternehmen dar, eine Reihe von Anforderungen für ähnliche Produkttypen zu erfüllen.
Die Cybersicherheit dieser Produkte hat eine besonders starke grenzüberschreitende Dimension, da Produkte, die in einem Land hergestellt werden, oft von Organisationen und Verbrauchern im gesamten Binnenmarkt verwendet werden.
Dabei werden zwei Hauptprobleme angesprochen:
1. Die geringe Cybersicherheit von Produkten mit digitalen Elementen, die sich in weit verbreiteten Schwachstellen und der unzureichenden und inkonsistenten Bereitstellung von Sicherheitsupdates zu deren Behebung widerspiegelt.
2. Das unzureichende Verständnis und der unzureichende Zugang der Benutzer zu Informationen, was sie daran hindert, Produkte mit angemessenen Cybersicherheitseigenschaften auszuwählen oder diese auf sichere Weise zu verwenden.
Unter bestimmten Bedingungen können alle Produkte mit digitalen Elementen, die in ein größeres elektronisches Informationssystem integriert oder mit diesem verbunden sind, als Angriffsvektor für böswillige Akteure dienen.
Infolgedessen können selbst als weniger kritisch erachtete Hardware und Software den anfänglichen Angriff auf ein Gerät oder Netzwerk erleichtern, sodass böswillige Akteure privilegierten Zugriff auf ein System erhalten oder sich seitlich zwischen Systemen bewegen können.