Cyber Resilience Act Neues FBDi-Competence-Team unterstützt beim Cyber Resilience Act

Anbieter zum Thema

CSA Group Bayern GmbH

Treston Deutschland GmbH

RECOM Power GmbH

Die EU-Verordnung Cyber Resilience Act / CRA (EU) 2024/2847) soll die Cybersicherheit von digitalen Produkten und Dienstleistungen in der EU gewährleisten. Die verbindlichen, strengen Anforderungen für Hersteller, Importeure und Händler sind oft undurchsichtig. Hier unterstützt FBDis neues CRA-Team.

Möchten Unternehmen ein elektronisches Produkt in der EU auf den Markt bringen, müssen sie für dessen Widerstandsfähigkeit gegen Cyberattacken sorgen – über den gesamten Lebenszyklus hinweg. Kritische Produkte, die für die Cybersicherheit von besonderer Bedeutung sind, müssen vor ihrem Verkauf auf dem EU-Markt auch von einer zugelassenen Stelle einer Bewertung durch Dritte unterzogen werden.

In Kraft getreten ist das Gesetz am 10. Dezember 2024, die wichtigsten mit dem Gesetz eingeführten Verpflichtungen gelten ab dem 11. Dezember 2027. Bis dahin gibt es verschiedene Übergangsfristen, die eine sorgfältige Vorbereitung erfordern:

• 11. Juni 2026: Kapitel IV (Benennung von Konformitätsbewertungsstellen) tritt in Kraft .

• 11. September 2026: Artikel 14 (Meldepflicht der Hersteller) verpflichtet die Hersteller, die nationalen Behörden und die ENISA über aktiv ausgenutzte Sicherheitslücken in ihren Produkten zu informieren.

• 11. Dezember 2027: Ab diesem Datum gelten alle Anforderungen der CRA, d.h. kein „Produkt mit digitalen Elementen“ darf ohne CE-Kennzeichnung in der EU verkauft werden.

Der FBDi empfiehlt, sich auf alle Fälle frühzeitig mit den anstehenden Verpflichtungen auseinanderzusetzen, nicht zuletzt wegen kurzer Fristen, Haftungsrisiken und empfindlicher Geldbußen bei Missachtung. Dazu bietet der Verband ab September Hilfestellung für Distributoren in Form eines neu eingerichteten Competence-Teams CRA, wo sie sich gezielt austauschen können und wertvolle Tipps für die Umsetzung erhalten.

Andreas Falke, Geschäftsführer: „Wir brauchen eine starke Struktur als Basis der Cybersicherheit, dazu ist eine Europäische Verordnung unerlässlich. Der Cyber Resilience Act bringt für die Marktteilnehmer neue große Herausforderungen mit sich. Unser neu gegründetes Competence Team CRA wird sich zunächst auf Betroffenheitsanalysen für elektronische Komponenten und Module konzentrieren. Mit diesen Analysen können die Mitglieder, basierend auf ihrer jeweiligen Akteursrolle, Verpflichtungen erkennen und aktiv wahrnehmen. Darauf basierend werden auch Prozesse zu Informations- und Dokumentationspflichten intensiv beleuchtet, um unsere Mitglieder in der Umsetzung dieser komplexen Verordnung bestmöglich zu unterstützen.“

Zu den Eckdaten des CRA gehören:

• CE-Kennzeichnung als Nachweis der Konformität,

• klarer Anwendungsbereich,

• detaillierte Sicherheitsanforderungen – inklusive Updates und Meldepflichten bei Schwachstellen und Sicherheitsvorfällen,

• Verantwortung für Hersteller, Importeure & Händler – mit zehn Jahren Dokumentationspflicht für technische Unterlagen, Sicherheitsinformationen und EU-Konformitätserklärungen,

• Risikoklassifizierung – höhere Anforderungen für Produkte mit mittlerem oder erheblichem Risiko,

• Strenge Bußgelder – bis zu 15 Mio. € oder 2,5 Prozent des weltweiten Jahresumsatzes für Hersteller, bis zu 10 Mio. € oder zwei Prozent für Importeure.

 (mk)

Lieferketten

Diese Hürden behindern die Digitalisierung der Supply Chain

FBDi-Quartalsbericht 2Q2025

Bauelemente-Distribution: Halbleiterumsatz sank um 20 Prozent

(ID:50522562)