Am 10. Dezember 2024 trat der Cyber Resilience Act (CRA) in Kraft. Die neue EU-Verordnung ist Teil der Cybersicherheitsstrategie der Europäischen Union, die Verbraucher und Unternehmen besser vor Cyberangriffen schützen soll. Der CRA gilt für alle Produkte, die digitale Komponenten enthalten, sofern sie nicht bereits durch andere Gesetze reguliert werden. Wer solche Produkte herstellt oder in der Europäischen Union in den Verkehr bringt, muss bei der Entwicklung und Produktion bestimmte Sicherheitsstandards einhalten, Updates und Security-Patches über dem gesamten Lebenszyklus zur Verfügung stellen und Verbraucher über die potenziellen Sicherheitsrisiken digitaler Komponenten informieren.
In diesem Whitepaper, das ich im Auftrag von heise geschrieben habe, stelle ich die Anforderungen des CRA und dessen Auswirkungen auf Hersteller, Verkäufer und Nutzer von Produkten mit digitalen Elementen dar und zeige, welche Produkte unter die neue Gesetzgebung fallen, wie Hersteller die geforderten Sicherheitselemente integrieren und wie sie die Konformität ihrer Produkte nachweisen können.