„Aus Sicht der EU-Kommission stellt der CRA den vorerst letzten Schlussstein der europäischen Produktvorgaben dar. Für eine belastbare Aussage, ob damit sprichwörtlich “das Beste zum Schluss” kommt, ist es in dem aktuellen Entwurfsstadium jedoch noch zu früh. Bereits jetzt ist jedoch festzuhalten, dass der CRA viele gute Ansätze enthält und die EU-Kommission über den weiten Anwendungsbereich erkennbar eine größtmögliche Cybersicherheit von Produkten anstrebt. Gleichzeitig stellt der CRA eine weitere Belastung für – mit Blick auf die vielfältigen und zuletzt umfassend verschärften Vorgaben für Cybersicherheit – ohnehin schon “belasteten” Unternehmen dar. Nunmehr werden sich zunächst das EU-Parlament und der Europäische Rat mit dem Entwurf der EU-Kommission befassen. Nach einer Einigung der Institutionen und der Veröffentlichung im Amtsblatt der EU wird der CRA dann mit Übergangsfristen von 12 bzw. 24 Monaten in Kraft treten. Mit Blick auf die bereits heute bestehenden rechtlichen Risiken bei unzureichender Cybersicherheit von digitalen Produkten sollten Unternehmen dies jedoch nicht zum Anlass nehmen, das Thema auf die lange Bank zu schieben, sondern ein produktbezogenes Cybersecurity Compliance Management aufbauen.“
Stefan Hessel und Christoph Callewaert in der aktuellen “Kommunikation & Recht”, 25. Jahrgang, Dezember 2022, S. 789ff. Der vollständige Artikel steht hier zum Download bereit.
Hausnachricht
Für den 15.–16. Juni 2023 laden wir Sie ein, auf unserer Hybrid-Veranstaltung Digital Business Conference mit uns und mit Vertreterinnen und Vertretern aus der Wirtschaft, den Aufsichtsbehörden und der Wissenschaft über technische und rechtliche Herausforderungen und Lösungen für Cybersicherheit zu diskutieren. Neben Trends und Zukunftsthemen, wie Software-Lieferketten, Künstliche Intelligenz oder cyberphysische Ökosysteme, stehen auch die Bezüge zum Datenschutz und IT-Recht auf der Agenda. Jetzt anmelden!