Cyber Resilience Act (CRA)

Verpflichtende Sicherheitsstandards für digitale Produkte

icon arrow down white

Das Wichtigste auf einen Blick

  • Der EU Cyber Resilience Act (CRA) definiert erstmals einheitliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen.
  • Für Unternehmen, die solche Produkte herstellen, importieren oder vertreiben, ist die Einhaltung der Regeln essenziell, um Marktchancen in der EU zu sichern.
  • Mit frühzeitigen Maßnahmen zur Erfüllung der Vorschriften können Unternehmen Strafen und oder im schlimmsten Fall Marktverboten vorbeugen.
Artikel teilen

Mit der zunehmenden Digitalisierung wächst auch die Angriffsfläche für Cyberbedrohungen. Um die Sicherheit von Produkten mit digitalen Elementen zu gewährleisten, hat die Europäische Union den Cyber Resilience Act (CRA) verabschiedet. Diese neue Verordnung setzt europaweit einheitliche Sicherheitsstandards und legt umfassende Anforderungen an Hersteller, Importeure und Händler digitaler Produkte fest. Als zentraler Baustein der EU-Cybersicherheitsstrategie soll der CRA die Sicherheitslandschaft stärken, und durch seine einheitlichen Standards für alle Marktteilnehmer für fairere Wettbewerbsbedingungen in Europa sorgen.

Was ist der Cyber Resilience Act?

Der Cyber Resilience Act ist eine Verordnung der EU, die Cybersicherheitsstandards für Produkte mit digitalen Elementen definiert. Ziel ist es, die Widerstandsfähigkeit gegen Cyberangriffe zu erhöhen und die Sicherheit digitaler Produkte während ihres gesamten Lebenszyklus zu gewährleisten. Dies betrifft sowohl Hardware als auch Software, die mit Netzwerken oder anderen Geräten verbunden sind, oder generell Produkte mit digitalen Elementen.

Ein zentraler Aspekt des CRA ist die Einführung eines „Security-by-Design-Ansatzes“, bei dem Sicherheitsaspekte bereits in der Entwicklungsphase berücksichtigt werden. Damit soll das Risiko von Sicherheitslücken minimiert und das Vertrauen in digitale Produkte gestärkt werden.

Der CRA ist ein Teil der EU-Cybersicherheitsstrategie, zu dem unter anderem auch die NIS-Richtlinie (Richtlinie zur Netzwerk- und Informationssicherheit) gehört:

Der Cyber Resilience Act als Teil der EU-Sicherheitsstrategie

Was sieht der CRA vor?

Der CRA setzt klare Vorgaben, um Cybersicherheit von Produkten mit digitalen Elementen in Europa zu standardisieren:

  • Risikobewertung: Produkte mit digitalen Elementen müssen einer umfassenden Cybersicherheitsbewertung unterzogen werden.
  • Sicherheitsupdates: Es müssen kostenfreie Sicherheitsupdates während der gesamten Lebensdauer des Produkts bereitgestellt werden.
  • Dokumentation: Hersteller müssen eine Software-Stückliste (SBOM) erstellen, die alle Komponenten eines Produkts auflistet, einschließlich verwendeter Open-Source-Software.
  • Meldepflichten: Unternehmen müssen schwerwiegende Sicherheitsvorfälle und Schwachstellen innerhalb von 24 Stunden melden.

Es gibt jedoch auch Ausnahmen für Produkte die bereits speziellen EU-Vorschriften unterliegen, wie zum Beispiel medizinische Geräte, Automobiltechnologie, Schiffsausrüstung, Luftfahrt oder Verteidigung.

Wer ist vom CRA betroffen?

Der CRA betrifft alle Unternehmen, die Produkte mit digitalen Elementen in der EU herstellen, importieren oder vertreiben. Besonders im Fokus stehen:

  • Hardware und/oder Software mit Verbindungsmöglichkeiten zu Netzwerken oder anderen Geräten.
  • Komponenten, die in andere Produkte integriert werden.

Nicht betroffen sind Produkte für militärische Anwendungen, nicht-kommerzielle Open-Source-Software und reine Software-as-a-Service-Lösungen (sofern diese nicht essenziell für ein Produkt sind).

Der Cyber Resilience Act wird die Cybersicherheitslandschaft grundlegend verändern – und Unternehmen die Möglichkeit bieten, sich durch innovative Sicherheitslösungen zu profilieren.

Ingo Köhne, Geschäftsführer IT-Consulting

Wann tritt der Cyber Resilience Act in Kraft?

Die Verordnung wurde 20. November 2024 im Amtsblatt der EU veröffentlicht und tritt am 09. Dezember 2024 in Kraft. Unternehmen haben 36 Monate Zeit, die Anforderungen umzusetzen. Ab November 2027 müssen alle Bestimmungen erfüllt sein. Erste Meldepflichten gelten bereits ab August 2026.

Was müssen Unternehmen tun?

Um die Anforderungen des CRA zu erfüllen, sollten Unternehmen folgende Schritte einleiten:

  1. Produktportfolio prüfen: Identifizieren Sie Produkte, die vom CRA betroffen sind.
  2. Sicherheitsbewertungen durchführen: Stellen Sie sicher, dass Produkte risikobasiert bewertet werden.
  3. Dokumentation erstellen: Legen Sie eine detaillierte technische Dokumentation einschließlich SBOM an.
  4. Prozesse etablieren: Entwickeln Sie Prozesse für Sicherheitsupdates und die schnelle Meldung von Vorfällen. Richten Sie sich an Best Practices wie dem Secure Software
    Development Life Cycle und integrieren Sie die Anforderungen in allen Phasen.

Frühzeitiges Handeln ist entscheidend, um mögliche Sanktionen und Marktausschlüsse zu vermeiden. Die Umsetzung benötigt Zeit.

Wegweiser für den Cyber Resilience Act

Was passiert bei Verstößen?

Unternehmen, die die Vorgaben des CRA nicht erfüllen, müssen mit empfindlichen Strafen rechnen:

Bußgelder

Bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes können verhängt werden.

Betroffener Mögliche Sanktionen
Hersteller Geldbußen von bis zu EUR 15 Mio. oder bis zu 2,5 % des gesamten weltweiten Jahresumsatzes
Einführer und Händler Geldbußen von bis zu EUR 10 Mio. oder bis zu 2 % des gesamten weltweiten Jahresumsatzes
Falsche, unvollständige oder irreführende Angaben ggü. Marktüberwachungsbehörden Geldbußen von bis zu EUR 5 Mio. oder bis zu 1 % des gesamten weltweiten Jahresumsatzes

Marktverbot

Produkte, die nicht den Anforderungen entsprechen, dürfen in der EU nicht verkauft werden. Darüber hinaus können Behörden Produkte zurückrufen oder den Vertrieb untersagen, wenn Sicherheitslücken nicht behoben werden.

CRA unterstützt europäische Anbieter mit hohen Standards bei neuen Marktchancen

Der Cyber Resilience Act stellt Unternehmen vor neue Herausforderungen, bietet jedoch auch Chancen: Wer frühzeitig handelt, kann nicht nur die Compliance sicherstellen, sondern sich auch Wettbewerbsvorteile sichern. Cybersicherheit wird damit nicht nur zur Pflicht, sondern zu einem Qualitätsmerkmal, das Kundenvertrauen stärkt und europäische Anbieter mit hohen Standards bei neuen Marktchancen unterstützt.

Falls Sie Unterstützung bei der Umsetzung des CRA benötigen, stehen wir Ihnen gern beratend zur Seite.

Über das Symbol diesen Artikel weiterempfehlen

Dazu passende Artikel