Der Cyber Resilience Act (CRA) – eine weitere europäische Vorgabe, die von Unternehmen beachtet werden muss. Wer sie beachten muss, habe ich zweiten Teil meiner kurzen Serie zum CRA angerissen. Wenn Du den CRA beachten musst, sind damit – Überraschung – einige Pflichten verbunden. Doch welche sind das?
Die 𝗛𝗲𝗿𝘀𝘁𝗲𝗹𝗹𝗲𝗿 von Produkten mit digitalen Elementen treffen die größten Pflichten. Sie müssen vor allem
➡️ das Risiko zur Cybersicherheit ihres Produkts analysieren,
➡️ Schwachstellenmanagement betreiben
,➡️ die Konformität bewerten und entsprechende Verfahren implementieren,
➡️ die Produktüberwachung sicherstellen, wozu auch die Bereitstellung von Sicherheitsupdates gehört und
➡️ alle Maßnahmen dokumentieren.
Außerdem besteht die Pflicht, Schwachstellen, die aktiv ausgenutzt wurden, zu melden.
𝗜𝗺𝗽𝗼𝗿𝘁𝗲𝘂𝗿𝗲 müssen insbesondere
➡️ sicherstellen, dass sie nur solche Produkte mit digitalen Elementen importieren, die den Cybersicherheits-Anforderungen entsprechen,
➡️ kontrollieren, ob der Hersteller seinen Pflichten nachgekommen ist, insbesondere ob die Konformitätsbewertungsverfahren nach CRA durchgeführt wurden und die technische Dokumentation vorliegt und
➡️ prüfen, ob das europäische CE-Kennzeichen inklusive der erforderlichen Anweisungen vorhanden bzw. angebracht ist.
𝗛𝗮̈𝗻𝗱𝗹𝗲𝗿 haben vor allem Kontrollpflichten. So müssen sie zum Beispiel sicherstellen, dass dem Produkt bestimmte, im CRA genannte Informationen und ggf. auch Konformitätserklärungen beigefügt sind.
Wie es immer so ist bei Gesetzen und rechtlichen Vorgaben: der Teufel liegt im Detail und es kommt darauf an – um es mit des Juristen liebsten Satz zu sagen.
Die vorstehende Aufstellung kann in ihrer Kürze nur einen ersten, sehr groben Überblick geben. Wenn Du genauere Informationen benötigst oder eine Frage zu Deinen Pflichten hast… kontaktiere mich gerne.