Am 17. September veranstaltete der FEEI ein Webinar mit dem Titel “Cyber Resilience Act erklärt: So bereiten sich Hersteller von Elektro- und Elektronikprodukten optimal vor”. Der CRA legt horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen fest und zielt darauf ab, gemeinsame Cybersicherheitsstandards für vernetzte Geräte festzulegen. Robert Lamprecht, Cybersicherheitsexperte bei KPMG, erläuterte die wichtigsten Elemente des CRA, die Hersteller im Umgang mit der Verordnung beachten müssen.
Lamprecht eröffnete mit einer Erläuterung des europäischen Rechtsrahmens für Cybersicherheit und der Stellung des CRA innerhalb dieses Rahmens. Anschließend skizzierte er die wichtigsten Säulen des CRA: Schutz der Nutzer; Anwendung auf alle Produkte mit digitalen Elementen; Geltung in der gesamten EU; Einrichtung einer zentralen EU-Meldestelle bei der Agentur der Europäischen Union für Cybersicherheit (ENISA). Produkte mit digitalen Elementen umfassen sowohl Hardware als auch Software. Der CRA schreibt eine Reihe von Cybersicherheitsanforderungen vor, die das Produkt erfüllen muss – diese sind in Anhang I zu finden.
Weiters enthält der CRA eine Risikoklassifizierung, die festlegt, wie Unternehmen die Konformität ihrer Produkte nachweisen müssen. Darüber hinaus muss ein Hersteller einen Unterstützungszeitraum von mindestens fünf Jahren für das Produkt gewähren und ist verpflichtet, einen Cybersicherheitsvorfall zu melden, sobald er davon Kenntnis erlangt. Schließlich besteht die Verpflichtung, eine technische Dokumentation des Produkts zu erstellen.
Der Workshop endete mit einer Fragerunde, in der konkrete Beispiele für Produkte und deren Risikokategorien sowie die Auswirkungen des CRA auf Altprodukte diskutiert wurden.