Der Cyber Resi­li­ence Act der EU-Kommission

„Aus Sicht der EU-Kommission stellt der CRA den vor­erst letz­ten Schluss­stein der euro­päi­schen Pro­dukt­vor­ga­ben dar. Für eine belast­ba­re Aus­sa­ge, ob damit sprich­wört­lich “das Bes­te zum Schluss” kommt, ist es in dem aktu­el­len Ent­wurfs­sta­di­um jedoch noch zu früh. Bereits jetzt ist jedoch fest­zu­hal­ten, dass der CRA vie­le gute Ansät­ze ent­hält und die EU-Kommission über den wei­ten Anwen­dungs­be­reich erkenn­bar eine größt­mög­li­che Cyber­si­cher­heit von Pro­duk­ten anstrebt. Gleich­zei­tig stellt der CRA eine wei­te­re Belas­tung für – mit Blick auf die viel­fäl­ti­gen und zuletzt umfas­send ver­schärf­ten Vor­ga­ben für Cyber­si­cher­heit – ohne­hin schon “belas­te­ten” Unter­neh­men dar. Nun­mehr wer­den sich zunächst das EU-Parlament und der Euro­päi­sche Rat mit dem Ent­wurf der EU-Kommission befas­sen. Nach einer Eini­gung der Insti­tu­tio­nen und der Ver­öf­fent­li­chung im Amts­blatt der EU wird der CRA dann mit Über­gangs­fris­ten von 12 bzw. 24 Mona­ten in Kraft tre­ten. Mit Blick auf die bereits heu­te bestehen­den recht­li­chen Risi­ken bei unzu­rei­chen­der Cyber­si­cher­heit von digi­ta­len Pro­duk­ten soll­ten Unter­neh­men dies jedoch nicht zum Anlass neh­men, das The­ma auf die lan­ge Bank zu schie­ben, son­dern ein pro­dukt­be­zo­ge­nes Cyber­se­cu­ri­ty Com­pli­ance Manage­ment aufbauen.“

Ste­fan Hes­sel und Chris­toph Cal­le­waert in der aktu­el­len “Kom­mu­ni­ka­ti­on & Recht”, 25. Jahr­gang, Dezem­ber 2022, S. 789ff. Der voll­stän­di­ge Arti­kel steht hier zum Down­load bereit.