In der Europäischen Union sind Regeln zur Erhöhung der Sicherheit vernetzter Geräte in Kraft getreten.
Der Cyber Resilience Act (CRA) verpflichtet Produkthersteller, Verbrauchern Sicherheitsunterstützung zu bieten, beispielsweise durch die Aktualisierung ihrer Software, um Sicherheitslücken zu schließen. Obwohl die Frist für die Einhaltung der wichtigsten Verpflichtungen des Gesetzes noch drei Jahre entfernt ist – der 11. Dezember 2027 –, um den Geräteherstellern Zeit zur Einhaltung zu geben.
Das Gesetz wurde vor etwas mehr als zwei Jahren mit dem Ziel vorgeschlagen, die Sicherheit von Geräten wie Smartwatches, mit dem Internet verbundenen Spielzeugen und Haushaltsgeräten zu erhöhen, die über eine App gesteuert werden können.
Die Verbreitung vernetzter Geräte hat zu Besorgnis über steigende Hacking-Risiken geführt, wobei quasi regelmäßige Schlagzeilen über gehackte Babyphones und Kinderspielzeuge die Sorge verstärken, dass Gewinne über die Sicherheit der Verbraucher gestellt werden.
Das EU-weite Gesetz sieht verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen vor. Die Anforderungen gelten für den gesamten Lebenszyklus der betroffenen Produkte, vom Design über die Entwicklung bis zum Betrieb. Händler und Einzelhändler müssen außerdem sicherstellen, dass die von ihnen gelieferten oder gelagerten Waren den EU-Vorschriften entsprechen.
Das CRA gilt im Großen und Ganzen für vernetzte Geräte – also Produkte, die direkt oder indirekt mit einem anderen Gerät oder Netzwerk verbunden sind – mit Ausnahme von Produkten, die unter andere bestehende EU-Vorschriften fallen, wie z. B. medizinische Geräte, Autos und einige Open-Source-Software .
Geräte können die EU anzeigen CE-Kennzeichnung um mitzuteilen, dass sie sich an die CRA halten. Regionale Verbraucher sollen dann weniger Aufwand beim Kauf eines sichereren Produkts haben, wenn sie auf die CE-Kennzeichnung achten.
Der Block hat gesagt Sie möchte, dass das Gesetz die Verantwortung für die Cybersicherheit „neu ins Gleichgewicht bringt“ und den Herstellern zugutekommt, die sicherstellen müssen, dass Produkte mit digitalen Elementen den gesetzlichen Standards entsprechen, wenn sie Zugang zum EU-Markt erhalten möchten.
Die Strafen für die Nichteinhaltung der CRA-Standards werden von den Aufsichtsbehörden auf der Ebene der Mitgliedstaaten verhängt, die für die Überprüfung der Einhaltung verantwortlich sind. Das Gesetz sieht jedoch vor, dass Verstöße gegen „wesentliche Cybersicherheitsanforderungen“ mit Geldstrafen von bis zu 2,5 % des weltweiten Jahresumsatzes (oder bis zu 15 Millionen Euro, falls höher) geahndet werden können. Bei Verstößen gegen andere Vorschriften drohen Bußgelder in Höhe von 2 % (bis zu 10 Mio. €). Wenn auf behördliche Anfragen nicht ordnungsgemäß reagiert wird, besteht ein Risiko von 1 % (oder 5 Mio. €).