Jedes uns bekannte Industrie- und Schwellenland regelt bereits die Cybersicherheit von kritischen Infrastrukturen. Die Regelungen sind selten so umfassend und weitreichend wie die NIS-2 Richtlinie (EU) 2022/2555 der Europäischen Union, aber häufig vergleichbar mit deren Vorgängerrichtlinie NIS (EU) 2016/1148.
Auch was die Cybersicherheit von Produkten anbelangt, ist die EU in einer Vorreiterrolle. Als prominentestes Beispiel sei hier die Cyberresilienz-Verordnung (EU) 2024/2847 genannt (kurz: EU-CRA). Der EU-CRA ist die weltweit erste horizontale Regelung für Produkte in diesem Umfang. Er verlangt nicht nur Transparenz und grundlegende Anforderungen, sondern ein umfassenderes Sicherheitsregime über den gesamten Produktlebenszyklus, einschließlich „Secure-by-Design“, Risikobewertung, Sorgfaltspflichten für Drittkomponenten und Behandlung von Schwachstellen („Vulnerability Handling“).
Uns sind bisher keine mit dem EU-CRA vergleichbaren Regelungen in anderen Staaten bekannt. Es gibt reduzierte Vorhaben, oder auch freiwillige Zertifizierungsverfahren, und natürlich zahlreiche sektorale Regelungen (bspw. in der Medizinproduktebranche).
Jetzt mischt auch Australien mit: “Cyber Security (Security Standards for Smart Devices) Rules 2025”. Das Wichtigste ist, die Vorschrift gilt bereits seit dem 4. März 2026. Die 12-monatige Übergangsfrist ist bereits beendet.
Die neue australische Vorschrift liegt inhaltlich deutlich näher am UK-PSTI-Gesetz als am EU-CRA. Australien erfasst die meisten „Smart Devices“ für den haushaltsbezogenen Gebrauch in Australien („for personal, domestic or household use or consumption“), ganz ähnlich dem UK-PSTI-Gesetz. „Smart Devices“ sind beschrieben als Produkte, die direkt oder indirekt mit dem Internet verbunden werden können (sogenannte relevante internetfähige Produkte).
Anders sind jedoch die Ausnahmen gelagert: Ausgenommen sind unter anderem Desktop-PCs, Laptops, Smartphones, Tablets, außerdem bestimmte therapeutische Güter und Straßenfahrzeuge bzw. Fahrzeugkomponenten. Operative Schwerpunkte sind Passwörter, die Offenlegung von Schwachstellen („Vulnerability Disclosure“), definierte Support-/Update-Zeiträume und das „Statement of Compliance“ durch den Hersteller.
Sie möchten mehr zum Thema Cybersicherheit für Produkte in erfahren? Dann lesen Sie auch:
→ Der neue Cyber Resilience Act, 02.2025
→ PSTI-Gesetz in UK, 13.02.2024
→ Cyber Trust Mark und das FCC-IoT-Label für Verbraucherprodukte in den USA, 09.08.2024
Autor
Benjamin Kerger (B. Eng.)
Product Compliance Consultant
Das britische Product Security and Telecommunications Infrastructure Act 2022 (PSTI-Gesetz), in Kraft seit April 2024, verpflichtet Hersteller, Importeure und Händler von vernetzten IoT-Verbraucherprodukten im Vereinigten Königreich zur Einhaltung neuer Cybersicherheitsstandards.
