Cyber Resilience Act (CRA)

Der Cyber Resilience Act (EU-Verordnung 2024/2847) legt verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen fest, die in der EU in Verkehr gebracht werden; er gilt ab Oktober 2027 vollständig. Hersteller müssen Security-by-Design nachweisen, Schwachstellen aktiv melden und Sicherheitsupdates über den gesamten Produktlebenszyklus bereitstellen. Öffentliche Auftraggeber können und sollten CRA-Konformitätsnachweise als Eignungskriterium oder Zuschlagskriterium in IT-Beschaffungen aufnehmen, sobald die Übergangsfrist abgelaufen ist.