Cyber Resilience Act

Seiteninhalt

VERORDNUNG (EU) 2024/2847 über Cybersicherheitsanforderungen

Zum Volltext der Verordnung (EU) 2024/2847 über Cybersicherheitsanforderungen siehe:

VERORDNUNG (EU) 2024/2847 DES EUROPÄISCHEN PARLAMENTS UND DES RATES
vom 23. Oktober 2024
über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnungen (EU) Nr. 168/2013 und (EU) 2019/1020 und der Richtlinie (EU) 2020/1828 (Cyberresilienz-Verordnung)

Die Verordnung (EU) 2024/2847 über horizontale Cybersicherheitsanforderungen (Cyber Resilience Act) muss ggf. bei Maschinen / Maschinenanlagen zusätzlich zur EG-Maschinenrichtlinie bzw. ab dem 20. Januar 2027 der EU-Maschinenverordnung angewendet werden.

Der Anwendungsbereich des Cyber Resilience Acts ergibt sich aus:

"Artikel 2
Anwendungsbereich

(1) Diese Verordnung gilt für auf dem Markt bereitgestellte Produkte mit digitalen Elementen, deren bestimmungsgemäßer Zweck oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt.

(2) Diese Verordnung gilt nicht für Produkte mit digitalen Elementen, auf die folgende Rechtsakte der Union Anwendung finden:

a) […]

(6) Diese Verordnung gilt nicht für Ersatzteile, die auf dem Markt bereitgestellt werden, um identische Komponenten in Produkten mit digitalen Elementen zu ersetzen, und die nach denselben Spezifikationen hergestellt werden wie die Bauteile, die sie ersetzen sollen."

Artikel 3 legt fest, was ein “Produkt mit digitalen Elementen” im Sinne der Verordnung ist:

"Artikel 3
Begriffsbestimmungen

Für die Zwecke dieser Verordnung bezeichnet der Ausdruck

1. „Produkt mit digitalen Elementen“ ein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden;

2. […]"

Hierunter fallen damit auch Maschinen und Anlagen, soweit sie ein „Produkt mit digitalen Elementen“ sind.

Das “Inkrafttreten und Geltungsbeginn” ist festgelegt in Artikel 71 der Verordnung.

Artikel 71
Inkrafttreten und Geltungsbeginn

(1) Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

(2) Diese Verordnung gilt ab dem 11. Dezember 2027.

Artikel 14 gilt jedoch ab dem 11. September 2026, und Kapitel IV (Artikel 35 bis 51) gilt ab dem 11. Juni 2026."

Zeitpunkt der Veröffentlichung im Amtsblatt der Europäischen Union war der 20.11.2024.

Artikel 14 regelt die “Meldepflichten der Hersteller”.

Meldepflichten des Herstellers

Artikel 14 “Meldepflichten der Hersteller” ist bereits ab dem 11. September 2026 anzuwenden.

“(1) Ein Hersteller meldet jede aktiv ausgenutzte Schwachstelle, die in dem Produkt mit digitalen Elementen enthalten ist und von der er Kenntnis erlangt, gleichzeitig dem gemäß Absatz 7 als Koordinator benannten CSIRT und der ENISA. Der Hersteller meldet diese aktiv ausgenutzte Schwachstelle über die gemäß Artikel 16 eingerichtete einheitliche Meldeplattform.

(2) Für die Zwecke der Mitteilung gemäß Absatz 1 legt der Hersteller Folgendes vor:

a) […]

(3) Ein Hersteller meldet jeden schwerwiegenden Sicherheitsvorfall, der sich auf die Sicherheit des Produkts mit digitalen Elementen auswirkt und von der er Kenntnis erlangt, gleichzeitig dem gemäß Absatz 7 als Koordinator benannten CSIRT und der ENISA. Der Hersteller meldet diesen Sicherheitsvorfall über die gemäß Artikel 16 eingerichtete einheitliche Meldeplattform.

(4) Für die Zwecke der Mitteilung gemäß Absatz 3 legt der Hersteller Folgendes vor:

a) […]”

Umsetzung des Cyber Resilience Act im Unternehmen

Informationen der EU-Kommission zur Umsetzung finden sich hier:

Cyber Resilienz Act – Umsetzung

FAQ zum Cyber Resilence Act