DATEV Informationsbüro Brüssel, Mitteilung vom 21.11.2024
Der Cyber Resilience Act (CRA) wurde am 20.11.2024 im Amtsblatt der EU veröffentlicht und gilt ab dem 11.12.2027, wobei die Meldepflichten bereits am 11.09.2026 greifen.
Ziel der Verordnung ist es, Voraussetzungen für die Entwicklung sicherer Produkte mit digitalen Elementen (Hardware und Software) über den gesamten Lebenszyklus zu schaffen.
Die Verordnung gilt für Hardware und Software, deren bestimmungsgemäße oder vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netz umfasst. So wird jede Software erfasst sein, die Schnittstellen (wie z. B. APIs) beinhaltet und keine reine SaaS Anwendung ist.
Softwarehersteller müssen sich zukünftig an bestimmte Sicherheitsanforderungen (z. B. Mitigation Mechanisms), an spezifische Anforderungen für den Umgang mit Schwachstellen (z. B. Implementierung eines Software Bill of Materials, SBoM), an Meldepflichten und an bestimmte technische Dokumentationen halten. Darüber hinaus ist eine interne Konformitätsbewertung für nicht-kritische Produkte oder eine externe Konformitätsbewertung für kritische Produkte (z. B. Smart Cards) notwendig.
Quelle: DATEV eG Informationsbüro Brüssel