Cyber Resilience Act - letzter formaler Trilog abgeschlossen

Es wurde eine sinnvolle, auf kritischen Einsatzzwecken basierende, Klassifizierungslogik für kritische Produkte gefunden und die Liste kritischer Produkte entsprechend angepasst. Die Möglichkeit Ersatzteile für einen Austausch identischer Produkte in langlebige Infrastrukturen liefern zu können ist sehr wichtig, nicht zuletzt für die Versorgungssicherheit.

Aber: 

• Die beschlossene Umsetzungsfrist von 36 Monaten sehen wir kritisch. Auch wenn diese das Maximum innerhalb der Verhandlungsmandate darstellte, so ist sie überambitioniert für die Komplexität der umzusetzenden Anforderungen.
• Hinsichtlich der Produktanforderungen wurden nicht alle Aspekte in einer Form gelöst, die auch in unterschiedlichen Geschäftsbereichen und für unterschiedliche Geschäftsmodelle eine adäquate Umsetzung erlauben. Die Besonderheiten von Geschäftsmodellen und Kundenbeziehungen im B2B-Bereich hätten hier umfangreicher berücksichtig werden müssen.
• Die gefundenen Kompromisse zu den Berichtspflichten werfen Fragen auf: Doppelte Berichtspflichten bedeuten unnötige Mehraufwände auf Seiten der Unternehmen, sinnvollerweise sollte der als erforderlich angesehene Informationsaustausch auf Seiten der Behörden organisiert werden, also zwischen ENISA und den jeweiligen nationalen CSIRTs (Computer Security Incident Response Teams).

Wie sich diese Aspekte in der Umsetzung auswirken, bleibt abzuwarten. Angesichts der Breite der betroffenen Produkte und Komponenten hat schließlich nahezu jeder Aspekt des CRA Milliarden schwere Auswirkungen. Gleichzeitig ist die mit dem CRA vorangetriebene Erhöhung der Resilienz von Produkten und Komponenten mit digitalen Elementen insgesamt im Sinne der Wirtschaft und Gesellschaft, sofern die Umsetzung effizient und effektiv erfolgen kann.