EU-Kommission, EU-Parlament und der Rat der Europäischen Union haben sich in der Nacht zum 1. Dezember vorläufig über den Cyber Resilience Act (CRA) geeinigt. Der TÜV-Verband begrüßt die Einigung, wünscht sich aber ein ambitionierteres Regelwerk. Die EU-Mitgliedsstaaten und das EU-Parlament haben die Liste der kritischen Produkte, für die eine unabhängige Konformitätsbewertung erforderlich ist, massiv auf nur noch vier Produktkategorien gekürzt. So sollen z.B. Betriebssysteme für Server, Desktops und Mobilgeräte, Router oder Chipkartenleser künftig mit einer reinen Herstellerselbsterklärung auf den Markt kommen. Der TÜV sieht diesen Umstand kritisch. Angesichts der hohen Gefährdungslage und des zu erfüllenden Schutzauftrages des Gesetzgebers sei dieser Beschluss nicht nachvollziehbar und unangemessen. Positiv sei hingegen, dass nun auch internetfähige Spielzeuge und persönliche Wearables in die Liste der kritischen Produkte aufgenommen wurden. Gerade vernetzte Verbraucherprodukte bergen ein hohes Risikopotenzial und können leicht zum Einfallstor für Cyberangriffe werden. Angesichts der enormen Zahl von Cybersicherheitsvorfällen und der damit verbundenen Schäden sei es wichtig, dass die neuen Regelungen schnell greifen. Die Verlängerung der Übergangszeit von 24 auf 36 Monate und damit auf voraussichtlich erst 2027 sei aus der Sicht des TÜVs nicht nachvollziehbar.
Mit dem CRA werden erstmals grundlegende Anforderungen an die Cybersicherheit für alle Produkte mit digitalen Elementen festgelegt. Dies umfasst sowohl physische Produkte als auch Software. Die Anforderungen umfassen u.a. die Berücksichtigung der Cybersicherheit über den gesamten Produktlebenszyklus, die Dokumentation aller Cybersicherheitsrisiken, die Meldung und Behebung aktiv ausnutzbarer Schwachstellen sowie eine Updatepflicht der Hersteller.
