Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Summaries of EU Legislation

Horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (Cyberresilienz-Verordnung)

ZUSAMMENFASSUNG DES DOKUMENTS:

Verordnung (EU) 2024/2847 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen

WAS IST DER ZWECK DER VERORDNUNG?

Mit Verordnung (EU) 2024/2847, der Cyberresilienz-Verordnung, wird die Cybersicherheit in der Europäischen Union (EU) gestärkt. Sie stellt einen umfassenden Rahmen dar, damit digitale Produkte und Dienstleistungen:

  • mit einer sicheren Standardkonfiguration bereitgestellt werden;
  • Sicher vor Cyberbedrohungen sind und
  • im Laufe der Nutzungsdauer fortlaufenden Schutz bieten.

Dabei werden die wachsenden Herausforderungen der Cybersicherheit durch die zunehmende Vernetzung von Geräten und den Anstieg an Cyberangriffen angegangen, die erhebliche wirtschaftliche und gesellschaftliche Auswirkungen haben.

WICHTIGE ECKPUNKTE

Die Verordnung enthält mehrere zentrale Ziele.

  • Mehr Cybersicherheit in der EU durch verbindliche Anforderungen an die Cybersicherheit für Produkte mit digitalen Elementen.
  • Förderung sicherer Praktiken, indem Hersteller angeregt werden, Cybersicherheit in das Produktdesign und die Entwicklungsphase einzubinden.
  • Transparenz und Rechenschaftspflicht durch die Pflicht für Hersteller, klare Informationen über die Cybersicherheitsmerkmale ihrer Produkte anzugeben und die Verantwortung für Schwachstellen zu übernehmen.
  • Förderung eines Binnenmarktes für Cybersicherheit durch Harmonisierung der Vorschriften in den Mitgliedstaaten der EU, um die Fragmentierung zu beseitigen und gleiche Wettbewerbsbedingungen zu schaffen.

Geltungsbereich

Die Verordnung gilt für eine Reihe an Produkten mit digitalen Elementen, die auf den EU-Markt gebracht werden, ungeachtet des Sitzes der Herstellers, die sich direkt oder indirekt mit anderen Geräten oder Netzwerken verbinden können, darunter:

  • Hardware-Produkte (z. B. Geräte im Internet der Dinge (IoT), intelligente Haushaltsgeräte, industrielle Steuerungssysteme, Mikrochips);
  • Software-Produkte (z. B. Videospiele, Apps, Anwendungssoftware).

Bestimmte Produkte sind ausgeschlossen, darunter:

  • Medizinprodukte, die über spezifische EU-Verordnungen abgedeckt werden;
  • Produkte für die Luftfahrt und Automobilbranche, die unter branchenspezifische Verordnungen fallen;
  • Schiffsausrüstung.

Wichtige Anforderungen für Hersteller

Sicheren Standardkonfiguration

Hersteller müssen Cybersicherheit in das Produktdesign und die Entwicklung integrieren. Das umfasst unter anderem eine sichere Standardkonfiguration, angemessene Verschlüsselungen und Zugang zu Kontrollmechanismen.

Bewertung und Minderung von Risiken

  • Hersteller müssen eine Risikobewertung durchführen und diese aktualisieren. Sie müssen ferner Maßnahmen umsetzen, um Schwachstellen im Produktlebenszyklus zu identifizieren.
  • Wenn Hersteller Komponenten oder Dienstleistungen Dritter verarbeiten, muss bei der Integration in Produkte die Sorgfaltspflicht geachtet werden.

Transparenz und Dokumentation

Hersteller müssen klare und verständliche Dokumentation bereitstellen, darunter:

  • eine Beschreibung der Cybersicherheitsmerkmale;
  • Anweisungen zur sicheren Installation, Konfiguration und Nutzung;
  • Informationen zur Meldung von Schwachstellen;
  • eine Konformitätserklärung, um die Einhaltung der Verordnung zu bestätigen.

Meldung von Vorfällen

Die Hersteller müssen:

  • schwerwiegende Cybersicherheitsvorfälle und aktiv genutzte Schwachstellen unverzüglich bei nationalen zuständigen Behörden und der Agentur der Europäischen Union für Cybersicherheit (ENISA) melden;
  • Nutzer über mögliche Risiken unterrichten und Anleitungen zur Risikominderung bereitstellen.

Software-Updates und Support

  • Hersteller müssen im Unterstützungszeitraum Sicherheitsaktualisierungen des Produkts bereitstellen. Der Unterstützungszeitraum muss der erwarteten Nutzungsdauer des Produkts entsprechen.
  • Mit den Aktualisierungen müssen Schwachstellen behoben und die fortlaufende Sicherheit des Produkts sichergestellt werden.

Pflichten der Einführer und Händler

In der Verordnungen sind auch Pflichten für Einführer und Händler enthalten, um sicherzustellen, dass Produkte den Anforderungen an die Cybersicherheit entsprechen.

  • Einführer müssen verifizieren, dass die Hersteller die Verordnung eingehalten haben, und sicherstellen, dass die Produkte korrekt gekennzeichnet und dokumentiert sind.
  • Händler müssen sicherstellen, dass Produkte die CE-Kennzeichnung tragen und dass die Informationen und Anweisungen für den Nutzer enthalten sind, bevor sie die Produkte auf den Markt bringen.
  • Die Produkte tragen die CE-Kennzeichnung, um anzuzeigen, dass die Anforderungen der Verordnungen erfüllt werden.
  • Nicht-EU-Hersteller müssen die Verordnung einhalten, um Zugang zum EU-Markt zu erhalten. So werden potenziell globale Cybersicherheitsnormen beeinflusst.

Durchsetzung

Um die Einhaltung sicherzustellen, wird mit der Verordnung ein solider Durchsetzungsrahmen eingerichtet.

  • Die nationalen Marktüberwachungsbehörden überwachen die Einhaltung und führen Kontrollen durch.
  • Nichtkonformität kann zu erheblichen Sanktionen führen, darunter:
    • Geldbußen in Höhe von bis zu 2,5 % des weltweiten Jahresumsatzes des Herstellers;
    • Verbot oder Einschränkung der Verfügbarkeit eines Produkts;
    • Anordnung, das Produkt vom Markt zu nehmen oder zurückzurufen.
  • Die Behörden der Mitgliedstaaten werden Informationen austauschen und Durchsetzungsmaßnahmen koordinieren.

WANN TRITT DIE VERORDNUNG IN KRAFT?

Die Verordnung tritt am in Kraft, mit einigen Ausnahmen:

  • Die Meldepflichten zu aktiv genutzten Schwachstellen und schwerwiegenden Vorfällen gelten ab dem ;
  • Die Unterrichtung der Konformitätsbewertungsstellen gilt ab dem .

HINTERGRUND

Weiterführende Informationen:

HAUPTDOKUMENT

Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnungen (EU) Nr. 168/2013 und (EU) 2019/1020 und der Richtlinie (EU) 2020/1828 (Cyberresilienz-Verordnung) (ABl. L, 2024/2847 vom ).

Nachfolgende Änderungen der Richtlinie (EU) 2024/2847 wurden in den Originaltext eingefügt. Diese konsolidierte Fassung hat ausschließlich dokumentarischen Charakter.

Letzte Aktualisierung:

Top