Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde von der Bundesregierung als notifizierende und marktüberwachende Behörde für den Cyber reslience Act gegenüber der Europäischen Kommission benannt. Damit kommen dem BSI neue Aufgaben zu: Als notifizierende Behörde wird das BSI Drittstellen bewerten und notifizieren, damit diese IT-Produkte unabhängig auf die Anforderungen des CRA prüfen können. Als marktüberwachende Behörde kann das BSI stichprobenartig oder gezielt IT-Produkte auf Cybersicherheit überprüfen und bei Verstößen Sanktionen und Bußgelder (bis zu 15Mio.€ bzw 2,5% des weltweiten Umsatzes vom vorangegangenen Geschäftsjahres) verhängen. Dem BSI wird in dieser Rolle auch die Möglichkeit eingeräumt, Produkte mit digitalen Elementen vom Markt zu nehmen, wenn sie den Anforderungen des CRA nicht gerecht werden. Als marktüberwachende Behörde kann das BSI im Rahmen des CRA aktiv und reaktiv tätig werden. Aktiv bedeutet, dass im Rahmen der Marktüberwachungsstrategie Produkte anlasslos überprüft werden können. Reaktiv kann das BSI auf Informationen durch Dritte eingehen und Ursachen und Auswirkungen von Vorfällen, Mängeln oder Schwachstellen analysieren und geeignete Maßnahmen ergreifen.
www.bsi.bund.de
