Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Cybersicherheit: Prozesse für neue Pflichten implementieren
Der Cyber Resilience Act (CRA) legt insbesondere Herstellern, aber auch Importeuren und Händlern von Produkten mit digitalen Elementen umfassende neue Pflichten auf, um die Cybersicherheit zu verbessern.
Im ersten Teil haben wir die grundlegenden Anforderungen des CRA beschrieben (siehe Cybersicherheit: Rechtzeitig auf neue Pflichten vorbereiten). Nun geht es um die konkreten Pflichten, die die Adressaten des CRA erfüllen müssen. Der Schwerpunkt der Pflichten liegt naturgemäß bei den Herstellern der betreffenden Produkte.
Wesentliche Pflichten der Hersteller
Die wesentlichen Pflichten der Hersteller im Hinblick auf die Eigenschaften eines Produkts mit digitalen Elementen sind in Art. 13 CRA festgeschrieben:
- Hersteller gewährleisten, dass die Produkte nach grundlegenden Cybersicherheitsanforderungen entsprechend Anhang I Teil 1 CRA konzipiert, entwickelt und hergestellt sind. Dazu gehört z.B., dass keine ausnutzbaren Schwachstellen vorhanden sind, Sicherheitsaktualisierungen später auftauchende Schwachstellen beheben, die Vertraulichkeit und Integrität personenbezogener Daten gewährleistet ist und grundlegende Funktionen des Produkts auch nach einem Sicherheitsvorfall noch vorhanden sind.
- Hersteller nehmen Risikobewertungen im Hinblick auf die Cybersicherheit während des gesamten Produktlebenszyklus vor und dokumentieren sie.
- Dies gilt auch für im Produkt enthaltene Softwarekomponenten von Zulieferern. Der Hersteller führt eine Dokumentation aller im Produkt enthaltenen Software (Software Bill of Materials, siehe Anhang I Teil 2 CRA).
- Hersteller müssen ein Konformitätsbewertungsverfahren für das Produkt gemäß Art. 32 CRA durchführen. Bei positivem Ausgang erhält das Produkt ein CE-Kennzeichen.
- Die Konformität is…
Weiterlesen mit DP+
Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?