Das Bundesamt für Sicherheit in der Informationstechnik (BSI) übernimmt im Rahmen des neuen Cyber Resilience Act (CRA) eine zentrale Rolle als marktüberwachende und notifizierende Behörde in Deutschland. Ziel des CRA ist es, die Cybersicherheit von IT-Produkten mit digitalen Komponenten in der EU deutlich zu verbessern.
Wichtige Punkte sind damit:
- BSI als notifizierende Behörde:
- Bewertet und notifiziert Drittstellen, die Produkte auf CRA-Konformität prüfen.
- BSI als marktüberwachende Behörde:
- Führt stichprobenartige und gezielte Sicherheitsprüfungen durch.
- Kann Sanktionen bis zu 15 Mio. EUR oder 2,5 % des weltweiten Umsatzes verhängen.
- Hat die Befugnis, unsichere Produkte vom Markt zu nehmen.
- Aktive und reaktive Marktüberwachung:
- Aktiv: Anlasslose Prüfungen im Rahmen einer Strategie.
- Reaktiv: Maßnahmen nach Hinweisen von Dritten zu Schwachstellen oder Vorfällen.
- Konformitätsbewertungsstellen:
- Müssen Anforderungen gemäß Artikel 39 CRA erfüllen.
- BSI entwickelt die Verfahren zur Notifizierung in den kommenden Monaten.
- Informationsbereitstellung:
- Auf der IT-Sicherheitsmesse it-sa (7.–9. Oktober in Nürnberg) informiert das BSI umfassend über den CRA.
- Weitere Themen: NIS-2-Richtlinie, Grundschutz++, u.v.m.
Zitat von BSI-Präsidentin Claudia Plattner:
„Der CRA ist ein Gamechanger für die Sicherheit digitaler Produkte!“