„Aus Sicht der EU-Kommission stellt der CRA den vorerst letzten Schlussstein der europäischen Produktvorgaben dar. Für eine belastbare Aussage, ob damit sprichwörtlich “das Beste zum Schluss” kommt, ist es in dem aktuellen Entwurfsstadium jedoch noch zu früh. Bereits jetzt ist jedoch festzuhalten, dass der CRA viele gute Ansätze enthält und die EU-Kommission über den weiten Anwendungsbereich erkennbar eine größtmögliche Cybersicherheit von Produkten anstrebt. Gleichzeitig stellt der CRA eine weitere Belastung für – mit Blick auf die vielfältigen und zuletzt umfassend verschärften Vorgaben für Cybersicherheit – ohnehin schon “belasteten” Unternehmen dar. Nunmehr werden sich zunächst das EU-Parlament und der Europäische Rat mit dem Entwurf der EU-Kommission befassen. Nach einer Einigung der Institutionen und der Veröffentlichung im Amtsblatt der EU wird der CRA dann mit Übergangsfristen von 12 bzw. 24 Monaten in Kraft treten. Mit Blick auf die bereits heute bestehenden rechtlichen Risiken bei unzureichender Cybersicherheit von digitalen Produkten sollten Unternehmen dies jedoch nicht zum Anlass nehmen, das Thema auf die lange Bank zu schieben, sondern ein produktbezogenes Cybersecurity Compliance Management aufbauen.“
Stefan Hessel und Christoph Callewaert in der aktuellen “Kommunikation & Recht”, 25. Jahrgang, Dezember 2022, S. 789ff. Der vollständige Artikel steht hier zum Download bereit.
zurück