Cyber Resilience Act: Hersteller müssen u.a. mehrere Jahre Sicherheitsupdates anbieten

Quelle: Sven Hoppe/Fotolia

Das Europäischen Parlament und der Rat haben eine Einigung zum von der Kommission im September 2022 vorgeschlagenen Cyber Resilience Act erzielt. Damit sollen verbindliche Cybersicherheitsanforderungen für alle Hard- und Software einführt werden - von Babyfonen, Smartwatches und Computerspielen bis hin zu Firewalls und Routern. Mit der neuen Verordnung müssen alle Produkte, die in der EU auf den Markt gebracht werden, cybersicher sein. Sobald der Cyber Resilience Act in Kraft ist, müssen die Hersteller von Hardware und Software Cybersicherheitsmaßnahmen über den gesamten Lebenszyklus des Produkts hinweg umsetzen, vom Entwurf und der Entwicklung bis hin zum Inverkehrbringen des Produkts. Mit dem Gesetz wird auch eine gesetzliche Verpflichtung für die Hersteller eingeführt, den Verbraucher:innen während mehrerer Jahre nach dem Kauf rechtzeitig Sicherheitsupdates zur Verfügung zu stellen.

Die erzielte Einigung muss nun noch vom Europäischen Parlament und vom Rat formell genehmigt werden. Nach dem Inkrafttreten haben Hersteller, Importeure und Vertreiber von Hardware- und Softwareprodukten 36 Monate Zeit, um sich an die neuen Anforderungen anzupassen, mit Ausnahme einer begrenzten 21-monatigen Frist für die Meldepflicht der Hersteller bei Vorfällen und Schwachstellen.