Fokus liegt auf Open Source, Datenfernverarbeitungslösungen
Die EU-Kommission hat Anfang März den Entwurf einer ersten Leitlinie zur Umsetzungshilfe der Anforderungen aus dem Cyber Resilience Act vorgelegt. Der Leitlinienentwurf, der bis zum 31. März kommentiert werden konnte, konzentriert sich auf Lösungen für die Fernverarbeitung von Daten (z. B. ein IoT-Gerät, eine App oder ein vernetztes Industriesystem) und freie und quelloffene Software (Open Source Software; FOSS), den Begriff „Support-Zeiträume“ sowie das Zusammenspiel zwischen dem CRA und anderen EU-Rechtsvorschriften. Zur umfassenderen Vereinfachung befragte die Kommission daher Interessengruppen. Die Leitlinie bezweckt eine Übereinstimmung von Verordnung mit Umsetzungsbemühungen, praktischen Herausforderungen und Marktgegebenheiten.
Warum Leitlinien? Der Cyber Resilience Act schreibt in Artikel 26 (s. Vertiefend dazu Heckmann/Paschke/Bearbeiter CRA Art. 26 Rn. 3) vor, dass die Kommission sich dazu verpflichtet, Leitlinien zu veröffentlichen, die kleine und kleinste Unternehmen „bei der Anwendung der Verordnung unterstützen“. Diese Leitlinien sollen Herstellern, Entwicklern und anderen Interessengruppen helfen, ihre Verpflichtungen gemäß der Verordnung zu verstehen und einen einheitlichen Ansatz in der gesamten EU sicherzustellen. Sie sollen Klarheit darüber schaffen, wie die wichtigsten Bestimmungen des CRA auszulegen und umzusetzen sind. Interessengruppen werden gebeten, ihre Kommentare zu dieser Konsultation unter Verwendung der beigefügten Vorlage einzureichen, um die Zusammenführung der Rückmeldungen zu erleichtern.
Die Kommission arbeitet aktiv daran, die Widerstandsfähigkeit und die Fähigkeiten der EU im Bereich der Cybersicherheit zu stärken. Am 20. Januar 2026 wurde ein neues Cybersicherheitspaket vorgeschlagen. Der CRA trat am 10. Dezember 2024 in Kraft. Die wichtigsten durch das Gesetz eingeführten Verpflichtungen gelten ab dem 11. Dezember 2027, wobei die Meldepflichten vom 11. September 2026 an gelten.