Achtung – Neue Vorgaben zur Cybersicherheit auch für Vergaben
Vergabe 1550
Verordnung (EU) 2024/2847
Öffentliche Auftraggeber sind ab dem 11.12.2027 verpflichtet, den Cyber Resilience Act (CRA) und die Fähigkeit der Hersteller, Schwachstellen wirksam zu bewältigen, im Vergabeverfahren zu berücksichtigen.
Neue Cybersicherheitsstandards
Der CRA ist die erste europäische Verordnung, die branchenunabhängig ein Mindestmaß an Cybersicherheit für vernetzte Produkte auf dem EU-Markt festlegt. Ziel sind verbesserte Cybersicherheitsstandards und die Garantie der Cybersicherheit von Produkten während ihres gesamten Lebenszyklus.
CRA bereits jetzt relevant
Der CRA ist am 10.12.2024 in Kraft getreten. Die Hauptpflichten sind – nach einer Übergangsfrist – ab dem 11.12.2027 zu beachten. Auftraggeber müssen bereits jetzt, für Produkte mit sehr langen Produktionszeiten (Liefertermin nach dem 11.12.2027), auf die Einhaltung des CRA hinwirken.
Digitale Produkte
Die Verordnung gilt für alle Produkte, die direkt oder indirekt mit einem anderen Gerät oder Netzwerk verbunden sind, z. B. Smartwatches oder Smart Home Geräte. Verpflichtet sind alle Wirtschaftsakteure (Hersteller, Händler und Einführer), die Produkte mit digitalen Elementen auf dem Binnenmarkt bereitstellen. Wer die Konformität seines Produktes mit dem CRA selbst bewerten darf, muss ein CE-Kennzeichen auf seinem Produkt anbringen. Kritische oder wichtige Produkte mit digitalen Elementen müssen von noch zubestimmenden notifizierenden Stellen geprüft werden.
