glossaryDefinedTermmaschinenlesbar

Cyber Resilience Act: Definition und rechtliche Bedeutung (AI Act / Data Act)

MenschMarkdown öffnen

Der Cyber Resilience Act (CRA, Verordnung (EU) 2024/2847, anwendbar schrittweise ab Ende 2025/voll 2027) regelt Cybersecurity-Anforderungen für „Produkte mit digitalen Elementen" (Hardware/Software, die digitale Elemente enthalten — IoT, Smart-Home, Connected Vehicles, Software, AI-Systeme). Pflichten: Sicherheitsentwicklung (Art. 13 — by design, by default), Schwachstellen-Transparenz, Vorfallsmeldung (24 h серьезна + 72 h vollständig an ENISA/CSIRT), CE-Kennzeichnung für kritische Produkte, Lebenszyklus-Sicherheit (Updates/Support). Bedeutung für AI Act: CRA überlagert den AI Act bei Cybersecurity (Art. 15 AI Act) — AI-Systeme sind „Produkte mit digitalen Elementen", so dass die CRA-Pflichten kumulativ gelten; Art. 15 AI Act verweist auf CRA-Standards. Aufsichtlich: Marktüberwachungsbehörden (KI-Schnittstelle). Der CRA sichert digitale Produkte über den gesamten Lebenszyklus.

Rechtliche Klarheit entsteht, wenn Definition, Artikelbezug, Quelle und eigene Einordnung zusammenkommen.
Steve Baka
pflichten

Pflichten und CE (CRA)

Der CRA (Verordnung (EU) 2024/2847) regelt Cybersecurity-Anforderungen für „Produkte mit digitalen Elementen" (PDE — Hardware/Software mit digitalen Komponenten). Pflichten: (1) Sicherheitsentwicklung nach Art. 13 — Security by Design und by Default (keine bekannten Schwachstellen, Sicherheits-Default-Konfiguration, Verschlüsselung, Zugangskontrolle); (2) Schwachstellen-/Vorfall-Transparenz — Meldepflicht bei schweren Schwachstellen/Vorfällen (24 h ernsthafte Anzeichen + 72 h vollständig an ENISA/CSIRT); (3) CE-Kennzeichnung für kritische Produkte (Anhang I/II); (4) Lebenszyklus-Sicherheit — Sicherheitsupdates/Support für die erwartete Nutzungsdauer; (5) technische Dokumentation, Konformitätserklärung. Anwendbarkeit: schrittweise ab Ende 2025 (Meldepflichten) bis voll 2027. Aufsichtlich: nationale Marktüberwachungsbehörden, ENISA-Koordination.

ai act

Schnittstelle zum AI Act

Der CRA überlagert den AI Act bei Cybersecurity. AI-Systeme sind „Produkte mit digitalen Elementen" — die CRA-Pflichten gelten kumulativ zu den AI-Act-Pflichten. Insb.: (1) Art. 15 AI Act (Genauigkeit, Robustheit, Cybersecurity) verweist auf CRA-Standards/Methoden; (2) Vorfallsmeldung — AI Act Art. 73 (15/60 Tage) und CRA (24/72 h) sind kumulativ; (3) CE-Kennzeichnung — bei KI als Sicherheitskomponente regulierter Produkte müssen AI-Act-CE und CRA-CE kohärent sein; (4) technische Dokumentation — kombinierte Anforderungen; (5) Lebenszyklus-Sicherheit — CRA ergänzt AI Act Art. 72 (Post-Market-Monitoring) mit Cybersecurity-Fokus. Die Schnittstelle ist im Aufbau; die Kommission veröffentlicht Leitlinien zur Vermeidung doppelter Anforderungen. Eine integrierte Compliance-Architektur kombiniert CRA + AI Act + produktspezifische Regelungen.

praxis

Praxis: Cybersecurity-Architektur und Versicherung

Praktisch relevant für Anbieter AI-/digitaler Produkte: CRA-Pflichten sind Cybersecurity-Kernanforderungen, die mit AI Act, GPSR, produktspezifischen Regimen koordiniert werden müssen. Cybersecurity-Architektur: Security by Design (Threat Modeling, Secure Coding, Verschlüsselung, Authentifizierung, Logging), Vulnerability Management (Bug Bounty, Patch-Management, Schwachstellen-Datenbank), Incident Response (CSIRT, Meldepipelines, Forensik), Update-/Support-Strategie (Lebenszyklus). Überlagert: ISO/IEC 27001 (Information Security), IEC 62443 (Industrial Cybersecurity), NIST Cybersecurity Framework. Aufsichtlich: Marktüberwachungsbehörden koordinieren mit AI-Act-Behörden; ENISA koordiniert. Versicherbarkeit: Cyber-Versicherungen setzen CRA-Konformität voraus; zertifizierte Anbieter haben Deckungsvorteile. Eine proaktive Cybersecurity-/CRA-Kompliance schützt vor Sanktionen (Bußgelder nach nationalem Recht), Haftungsansprüchen (AILD, Produkthaftung), Reputationsschäden und Sicherheitsvorfällen.

Sources

Quellen

FAQ

Häufige Fragen

Was regelt der Cyber Resilience Act (CRA)?

Verordnung (EU) 2024/2847: Cybersecurity-Anforderungen für Produkte mit digitalen Elementen (Hardware/Software). Security by Design, Schwachstellen-Meldung (24/72 h), CE für kritische Produkte, Lebenszyklus-Sicherheit.

Wie überlappt der CRA mit dem AI Act?

AI-Systeme sind Produkte mit digitalen Elementen — CRA-Pflichten gelten kumulativ. Art. 15 AI Act verweist auf CRA-Standards. Vorfallsmeldungen (CRA 24/72 h + AI Act 15/60 Tage) kumulativ. CE kohärent.

Welche Normen/Standards helfen?

ISO/IEC 27001 (Information Security), IEC 62443 (Industrial Cybersecurity), NIST CSF. Plus produktspezifisch (MDR, Maschinen-VO). Cyber-Versicherungen setzen CRA-Konformität voraus.

KI-Compliance umsetzen

Du willst EU AI Act und Data Act praktisch umsetzen?

Ich helfe dir, aus Konzepten, Pflichten, Use-Cases und Nachweisen ein Compliance-System zu bauen, das für Menschen verständlich und für Aufsichten nachvollziehbar ist.

Jetzt beraten lassen
Related