Cyber Resilience Act und DSGVO
Am 11. Dezember 2024 tritt der Cyber Resilience Act (CRA) in Kraft. In welchem Zusammenhang der CRA und die DSGVO stehen, erfahren Sie in diesem Beitrag.
Der Cyber Resilience Act (CRA) tritt am 11. Dezember 2024 in Kraft und gilt 36 Monate nach dem Inkrafttreten vollumfänglich.
Der CRA schafft eine neue, umfassende Rechtsgrundlage für die Cybersicherheit von Produkten mit digitalen Elementen innerhalb der Europäischen Union. Darunter fallen IoT-Geräte, IT-Hardware wie Router und Computer, Softwareprodukte und Cloud-Dienste. Die Verordnung stellt sicher, dass Produkte, die keine spezifischen Sicherheitsregelungen unterliegen, einen einheitlichen Schutzrahmen erhalten.
Der CRA dient der Harmonisierung der Sicherheitsstandards im digitalen Binnenmarkt und zielt darauf ab, Verbraucher und Unternehmen vor Cyberbedrohungen zu schützen, die durch vernetzte Geräte und Softwareprodukte entstehen können.
Die Verordnung setzt verbindliche Sicherheitsanforderungen, die für alle in der EU vertriebenen Produkte gelten, unabhängig davon, ob sie innerhalb oder außerhalb Europas hergestellt wurden. Ab dem 11. Dezember 2027 müssen alle Produkte mit digitalen Elementen den neuen Anforderungen vollständig entsprechen.
Die wesentlichen Ziele des CRA lassen sich in die folgenden Bereiche gliedern:
- Erhöhung der Cybersicherheit: Der CRA stellt sicher, dass alle betroffenen Produkte von Anfang an nach dem Prinzip „Security by Design“ entwickelt und standardmäßig sicher konfiguriert werden („Security by Default“). Dies umfasst auch die Verpflichtung zur Sicherheitsüberwachung und regelmäßigen Aktualisierung zur Abwehr neu auftretender Bedrohungen.
- Verbraucherschutz und Vertrauen: Durch die Einführung der CE-Kennzeichnung als Sicherheitsnachweis schafft der CRA Transparenz und Sicherheit für Verbraucher. Diese Kennzeichnung dient als Orientierungshilfe und stärkt das Vertrauen in die Sicherheit vernetzter Produkte.
- Vereinheitlichung des Binnenmarkts: Die einheitlichen Standards erleichtern den freien Warenverkehr innerhalb der EU, indem sie die Kompatibilität und Sicherheit der Produkte sicherstellen und so den fairen Wettbewerb fördern.
Verhältnis CRA zur DSGVO
Der Cyber Resilience Act (CRA) und die Datenschutz-Grundverordnung (DSGVO) verfolgen beide das Ziel, Sicherheit im digitalen Umfeld zu fördern. Während die DSGVO den Schutz personenbezogener Daten sicherstellt, konzentriert sich der CRA auf die Sicherheit digitaler Produkte. Trotz dieser unterschiedlichen Schwerpunkte gibt es zwischen beiden Verordnungen viele Gemeinsamkeiten, aber auch wesentliche Unterschiede. Zudem bieten sich Synergien, die zur Effizienz und Effektivität der Umsetzung beider Regelwerke beitragen können.
Anwendungsbereich und Ziele
- DSGVO: Schutz personenbezogener Daten in allen Datenverarbeitungsprozessen.
- CRA: Produktsicherheit für alle digitalen Produkte, unabhängig davon, ob personenbezogene Daten verarbeitet werden.
Zuständige Behörden und Strukturen
- DSGVO: Überwachung durch nationale Datenschutzbehörden.
- CRA: Überwachung durch die Europäische Agentur für Cybersicherheit (ENISA) und andere relevante Cybersicherheitsbehörden.
Meldesysteme und Meldepflichten bei Sicherheitsvorfällen
- DSGVO: Meldung von Datenschutzverletzungen innerhalb von 72 Stunden.
- CRA: Umgehende Meldung von Cybersicherheitsvorfällen und Schwachstellen an die ENISA.
Sicherheitsanforderungen und Risikomanagement als Kernelemente
- Beide Verordnungen fordern präventive Sicherheitsmaßnahmen und ein strukturiertes Risikomanagement.
- CRA und DSGVO verlangen von Unternehmen, Risiken zu bewerten und Sicherheitsmaßnahmen umzusetzen.
Transparenz- und Rechenschaftspflichten für Datenverarbeiter und Produkthersteller
- Unternehmen müssen die Einhaltung der Sicherheitsanforderungen dokumentieren und nachweisen.
- CRA und DSGVO fördern eine Kultur der Transparenz und Verantwortung.
Fazit
Der CRA und die DSGVO bieten einen umfassenden Sicherheits- und Datenschutzrahmen, der Unternehmen hilft, sich gegen Cyberbedrohungen zu wappnen und das Vertrauen der Nutzer zu stärken. Eine integrierte Compliance-Strategie, die sowohl Cybersicherheits- als auch Datenschutzanforderungen abdeckt, kann Ressourcen und Zeit sparen.
Die Cybersicherheits- und Datenschutzlandschaft entwickelt sich stetig weiter. Eine kontinuierliche Anpassung an neue regulatorische Vorgaben und Bedrohungen ist entscheidend. Unternehmen sollten sich auf zukünftige Entwicklungen vorbereiten, um Compliance auf Dauer sicherzustellen und ihre Sicherheitsstrategien weiter auszubauen.