Gültigkeit des Gesetzes:Der Cyber Resilience Act ist eine EU-Verordnung, die am 9. Januar 2024 (20 Tage nach der Veröffentlichung im Amtsblatt vom 27.12.2023) in Kraft getreten ist. Die vollständige Anwendbarkeit beginnt am 11. Dezember 2027.Wesentliche Prozesse (z.B. Meldungspflichten und deren Voraussetzungen) greifen bereits ab dem 11. September 2026.“Ziel:Sicherstellung eines hohen Cybersicherheitsniveaus für Produkte mit digitalen Elementen auf dem EU-Binnenmarkt durch Einführung verbindlicher Sicherheitsanforderungen. Wesentliche Punkte:•Anwendung auf alle Produkte mit digitalen Elementen (d.h. „irgendwie vernetzt“), einschließlich Software und Hardware.•Klassifizierung der Produkte mit digitalen Elementen werden in mehrere Risikoklassen „Klasse I Produkte“ = Standardprodukte und „Klasse II Produkte“ = kritische Produkte unterteilt. Die Einstufung richtet sich nach dem potenziellen Schaden, den eine Schwachstelle verursachen könnte.•Verpflichtung der Hersteller zur Durchführung von Risikobewertungen und Implementierung von Sicherheitsmaßnahmen.•Einführung einer dokumentierten Komponentenlisten (Bill of Material für Software = SBOM = Softwarestückliste)•Einführung von Meldepflichten für Sicherheitsvorfälle und Schwachstellen.•Strenge Sanktionen bei Nichteinhaltung, einschließlich Bußgeldern von bis zu 15 Mio. EUR oder 2,5 % des weltweiten Jahresumsatzes. Wer ist betroffen (Unternehmensgröße und Umsatz):•Alle Hersteller, Importeure und Händler von Produkten (Hardware und Software) mit digitalen Elementen, unabhängig von der Unternehmensgröße, innerhalb der EU oder für die EU.•Kleine und mittlere Unternehmen (KMU) erhalten Unterstützung durch Leitlinien und vereinfachte Verfahren. To-Do-Liste für Unternehmen:1.Identifikation der betroffenen Produkte und deren Klassifizierung gemäß CRA.2.Durchführung von Risikobewertungen für die Produkte.3.Implementierung der erforderlichen Sicherheitsmaßnahmen und -funktionen.4.Einrichtung von Prozessen zur Schwachstellenmanagement und -meldungen.5.Schulung der Mitarbeiter in Bezug auf die Anforderungen des CRA. Erste Schritte:•Analyse des Produktportfolios zur Identifikation betroffener Produkte.•Beginn der Implementierung von Sicherheitsmaßnahmen und Dokumentation der Prozesse.•Identifizieren des Bedarfs von externer Unterstützung.•Bei Bedarf:Kontaktaufnahme mit zuständigen Behörden oder Fachberatern für Unterstützung bei der Umsetzung.
Expertise für die digitale EU-RegulierungBeratung, Unterstützung, Umsetzungsbegleitung, Projektmanagement zuDSGVO + KI, AI Act, Cyber Resilience Act (CRA), Data Act, NIS-2, Digitale Märktezu Organisation, Prozess/Abläufen, Anforderungen an IT-Systeme
Cyber Resilience Act (CRA)
Gültigkeit des Gesetzes:Der Cyber Resilience Act ist eine EU-Verordnung, die am 9. Januar 2024 (20 Tage nach der Veröffentlichung im Amtsblatt vom 27.12.2023) in Kraft getreten ist. Die vollständige Anwendbarkeit beginnt am 11. Dezember 2027.Wesentliche Prozesse (z.B. Meldungspflichten und deren Voraussetzungen) greifen bereits ab dem 11. September 2026.“Ziel:Sicherstellung eines hohen Cybersicherheitsniveaus für Produkte mit digitalen Elementen auf dem EU-Binnenmarkt durch Einführung verbindlicher Sicherheitsanforderungen. Wesentliche Punkte:•Anwendung auf alle Produkte mit digitalen Elementen (d.h. „irgendwie vernetzt“), einschließlich Software und Hardware.•Klassifizierung der Produkte mit digitalen Elementen werden in mehrere Risikoklassen „Klasse I Produkte“ = Standardprodukte und „Klasse II Produkte“ = kritische Produkte unterteilt. Die Einstufung richtet sich nach dem potenziellen Schaden, den eine Schwachstelle verursachen könnte.•Verpflichtung der Hersteller zur Durchführung von Risikobewertungen und Implementierung von Sicherheitsmaßnahmen.•Einführung einer dokumentierten Komponentenlisten (Bill of Material für Software = SBOM = Softwarestückliste)•Einführung von Meldepflichten für Sicherheitsvorfälle und Schwachstellen.•Strenge Sanktionen bei Nichteinhaltung, einschließlich Bußgeldern von bis zu 15 Mio. EUR oder 2,5 % des weltweiten Jahresumsatzes. Wer ist betroffen (Unternehmensgröße und Umsatz):•Alle Hersteller, Importeure und Händler von Produkten (Hardware und Software) mit digitalen Elementen, unabhängig von der Unternehmensgröße, innerhalb der EU oder für die EU.•Kleine und mittlere Unternehmen (KMU) erhalten Unterstützung durch Leitlinien und vereinfachte Verfahren. To-Do-Liste für Unternehmen:1.Identifikation der betroffenen Produkte und deren Klassifizierung gemäß CRA.2.Durchführung von Risikobewertungen für die Produkte.3.Implementierung der erforderlichen Sicherheitsmaßnahmen und -funktionen.4.Einrichtung von Prozessen zur Schwachstellenmanagement und -meldungen.5.Schulung der Mitarbeiter in Bezug auf die Anforderungen des CRA. Erste Schritte:•Analyse des Produktportfolios zur Identifikation betroffener Produkte.•Beginn der Implementierung von Sicherheitsmaßnahmen und Dokumentation der Prozesse.•Identifizieren des Bedarfs von externer Unterstützung.•Bei Bedarf:Kontaktaufnahme mit zuständigen Behörden oder Fachberatern für Unterstützung bei der Umsetzung.
Expertise für die digitale EU-RegulierungBeratung, Unterstützung, Umsetzungsbegleitung,Projektmanagement zu DSGVO + KI, AI Act, Cyber Resilience Act (CRA), Data Act, NIS-2, Digitale Märktezu Organisation, Prozess/Abläufen, Anforderungenan IT-Systeme
Datenschutzgrundverordnung & KIUmgang mit personenbezogenen Daten
Cyber Resilience ActProduktsicherheit gegen digitaleGefahren
Data ActVerwendung und Weitergabedigitaler, nicht personen-bezogener Daten
Beratungsleistungen
Umgang mit Anwendungen künstlicher Intelligenz und autonomen Systemen
Cybersicherheit für kritischeund wichtige Unternehmensowie für Firmen deren Kundenkritisch oder wichtig sind
Digitale Marktregeln für die Giganten der digitalen Märke
•Über 20 Jahre Erfahrung in der Beratung zu Compliance-Themen, Umsetzung und Projekten•Mit dem Blick für das Wesentliche, das Umsetzbare,die Synergien sowie die Situation des Kunden und der Unternehmensebene•Vom Management, den Fachbereichen bis tief in die Technik•Von der Finanzdienstleistung bis zur Fertigung mit einem Faible für Medizin-Technik
