Cyber Resilience Act: BSI wird marktüberwachende Behörde

Der Cyber Resilience Act (CRA) wird den Markt für IT-Produkte und Geräte mit digitalen Elementen grundlegend verändern. Denn die IT-Sicherheitseigenschaften der Produkte werden künftig ein entscheidendes Kriterium für den Marktzugang in der EU. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde nun von der Bundesregierung als notifizierende und marktüberwachende Behörde gegenüber der Europäischen Kommission benannt. Damit kommen dem BSI neue Aufgaben zu: Als notifizierende Behörde wird das BSI Drittstellen bewerten und notifizieren, damit diese IT-Produkte unabhängig auf die Anforderungen des CRA prüfen können. Als marktüberwachende Behörde kann das BSI stichprobenartig oder gezielt IT-Produkte auf Cybersicherheit überprüfen und bei Verstößen Sanktionen und Bußgelder (bis zu 15 Mio. € bzw. 2,5 % des weltweiten Umsatzes vom vorangegangenen Geschäftsjahres) verhängen. Dem BSI wird in dieser Rolle auch die Möglichkeit eingeräumt, Produkte mit digitalen Elementen vom Markt zu nehmen, wenn sie den Anforderungen des CRA nicht gerecht werden.

BSI-Präsidentin Claudia Plattner auf der IT-Sicherheitsmesse it-sa.
Bild: BSI

BSI-Präsidentin Claudia Plattner: „Der CRA ist ein Gamechanger für die Sicherheit digitaler Produkte. Wir steigern damit das Cybersicherheitsniveau zahlreicher Geräte in Europa. Das BSI wird seine Rolle sehr gewissenhaft ausfüllen und darauf achten, dass die Bürgerinnen und Bürger ihre IT-Produkte mit einem sicheren Gefühl nutzen können.“ Als marktüberwachende Behörde kann das BSI im Rahmen des CRA aktiv und reaktiv tätig werden. Aktiv bedeutet, dass im Rahmen der Marktüberwachungsstrategie Produkte anlasslos überprüft werden können. Reaktiv kann das BSI auf Informationen durch Dritte eingehen und Ursachen und Auswirkungen von Vorfällen, Mängeln oder Schwachstellen analysieren und geeignete Maßnahmen ergreifen.

Um unter dem CRA als Konformitätsbewertungsstelle tätig werden und Produkte prüfen zu dürfen, müssen Prüfstellen die in Art. 39 des CRA gelisteten Anforderungen erfüllen. Die notwendigen Verfahren für die CRA-Notifizierung werden durch das BSI in den kommenden Monaten erarbeitet. Für den CRA hat das BSI weitreichende Informationen zur Verfügung gestellt. Diese werden kontinuierlich ausgebaut.