Vorschlag der EU-Kommission eines Cyber Resilience Act (CRA) betrifft Hersteller von Produkten mit digitalen Elementen.

Vorschlag der EU-Kommission eines Cyber Resilience Act (CRA) betrifft Hersteller von Produkten mit digitalen Elementen.

Die EU-Kommission hat am 15.09.2022 ihren Vorschlag des Cyber Resilience Act veröffentlicht. Dieser wird Hersteller von „Produkten mit digitalen Elementen" (Software und Hardware) zu mehr Sorgfalt im Umgang mit Sicherheit vor Cyberkriminalität verpflichten.

In der praktischen Umsetzung müssen Hersteller für ihre Produkte je nach Einordnung in Klasse I oder II eine EU-Konformitätserklärung ausstellen oder eine Zertifizierung durch eine dritte Partei durchführen lassen, sowie eine CE Kennzeichnung auf dem Produkt aufbringen. In jedem Fall müssen die essenziellen Anforderungen in Annex I eingehalten werden und es bestehen konkrete Anforderungen an das Design, die Entwicklung und an den Fertigungsprozess.

Mit diesem Entwurf sollen aktuell existierende Lücken geschlossen werden, da die Cybersicherheit der gesamten Lieferkette nur gewährleistet ist, wenn alle ihre Komponenten entsprechend sicher sind. Die vorhergehenden EU-Rechtsvorschriften (NIS2, Cyber Security Act) weisen in dieser Hinsicht jedoch erhebliche Lücken auf, da sie keine verbindlichen Anforderungen an die Sicherheit von Produkten mit digitalen Elementen enthalten.
ENISA (European Union Agency for Cybersecurity) wird als zuständige Behörde für die Umsetzung dieser Verordnung agieren.
Produkte die ausgenommen sind, weil sie bereits durch andere Richtlinien vollumfänglich abgedeckt sind:

  • Regulation (EU) 2017/745 - verschiedene Medizinprodukte für Menschen
  • Regulation (EU) 2017/746 - verschiedene Produkte im Zusammenhang mit in vitro Diagnostik
  • (EU) 2019/2144 - Kraftfahrzeuge und Kraftfahrzeuganhänger und Systeme, Bauteile und selbstständige technische Einheiten für diese Fahrzeuge, die der Typgenehmigung unterliegen.

Annex III definiert die beiden Klassen I und II (Klasse der „kritischen Produkte mit digitalen Elementen"); wobei Klasse II Produkte mit höherem Risiko beinhaltet. Diese unterliegen einer Zertifizierung durch eine dritte Partei.
Beispiele eines Klasse I Produkts:

  • Passwortmanager
  • Standalone und embedded Browser
  • Netzwerkmanagementsysteme
  • Fernzugangssoftware
  • Mikroprozessoren
  • Router, Modems, Switches
  • Industrielle Automatisierungs- und Kontrollsysteme
  • Industrielle IoT Produkte

Beispiele eines Klasse II Produkts:

  • Operationssysteme für Server, Desktops, Handys
  • Firewalls
  • Smartcards und Smartcard reader
  • Bestimmte industrielle IoT Produkte
  • Intelligente Zähler

Hersteller betroffener Produkte sollten sich bereits jetzt mit den Grundlagen auseinandersetzen. Zunächst sollte eine Identifikation der betroffenen Produkte vorgenommen und relevante Akteure informiert werden. Wenn es zur Verabschiedung kommt, raten wir zu einer schnellen Umsetzung, denn als Folgen der Nichteinhaltung können Rückrufaktionen oder Bußgelder in Millionenhöhe veranlasst werden.

Zu Product Compliance

Mehr Insights.

Produkt­sicherheit auf Online-Marktplätzen:
Das neue Marktüberwa­chungsgesetz.

Am 16. Juli 2021 tritt die neue Marktüberwachunsgverordnung (MÜ VO) in Kraft. Schon seit Beginn des Jahres gelten einige Teil-Bestimmungen, wie beispielsweise das Unionsnetzwerk für die Produktkonformität in der EU (EU single window). Ziel der neuen Verordnung ist es, Konformitätskontrollen für Produkte, die durch E-Commerce (online) oder den stationären Handel (offline) auf den EU-Markt gebracht werden, zu stärken. Neben der Kontrolle stationärer Geschäfte (offline) werden auch Online-Plattformen wie z.B. Amazon überwacht.

Weiterlesen

REACH-Verordnung (EG) Nr. 1907/2006.
Teil 2: Zulassung und Beschränkung besonders besorgnis­erregender Stoffe.

Was bedeuten Kandidatenliste, das Verzeichnis der zulassungspflichtigen Stoffe (Anhang XIV) sowie die Beschränkungen der Herstellung, des Inverkehrbringens und der Verwendung bestimmter gefährlicher Stoffe, Gemische und Erzeugnisse (Anhang XVII)? Lesen Sie unter anderem über den Aufbau und das Schadstoffmanagement der REACH-Verordnung (EG) Nr. 1907/2006. Dabei besonders im Fokus: Die Zulassung und Beschränkung besorgniserregender Stoffe.

Weiterlesen

Marktzugangsbeschränkungen in Südkorea – Ein Überblick zur KC-Zertifizierung.

Die weite Verbreitung internationaler Normen und flexible Genehmigungsverfahren sind Schlüsselelemente für die Industrie, um die globalen Lieferketten, Skaleneffekte und rasante Innovationen optimal zu nutzen. Die EU und Korea wenden im Allgemeinen ähnliche Anforderungen an, die sich weitgehend auf internationale Normen stützen. Der Marktzugang mit bestimmten Produkten setzt die korrekte KC-Zertifizierung voraus.

Weiterlesen
Alle anzeigen

Get in touch.

Womit können wir Sie und Ihr Unternehmen unterstützen? Kontaktieren Sie uns!

Ihr direkter Draht zur MCG

Baran Kerkez

Baran Kerkez
Product Compliance

Telefon: +49 89 383 46 89 0
E-Mail:

Bitte Anrede wählen.
Bitte Nachnamen angeben.
Bitte E-Mail-Adresse angeben.
Bitte Nachricht eingeben.
Bitte Sicherheitsfrage beantworten.
Bitte Checkbox anwählen.

Die mit * gekennzeichneten Felder sind Pflichtangaben.