Cyber Resilience Act (CRA)
Verpflichtende Sicherheitsstandards für digitale Produkte
Verpflichtende Sicherheitsstandards für digitale Produkte
Mit der zunehmenden Digitalisierung wächst auch die Angriffsfläche für Cyberbedrohungen. Um die Sicherheit von Produkten mit digitalen Elementen zu gewährleisten, hat die Europäische Union den Cyber Resilience Act (CRA) verabschiedet. Diese neue Verordnung setzt europaweit einheitliche Sicherheitsstandards und legt umfassende Anforderungen an Hersteller, Importeure und Händler digitaler Produkte fest. Als zentraler Baustein der EU-Cybersicherheitsstrategie soll der CRA die Sicherheitslandschaft stärken, und durch seine einheitlichen Standards für alle Marktteilnehmer für fairere Wettbewerbsbedingungen in Europa sorgen.
Der Cyber Resilience Act ist eine Verordnung der EU, die Cybersicherheitsstandards für Produkte mit digitalen Elementen definiert. Ziel ist es, die Widerstandsfähigkeit gegen Cyberangriffe zu erhöhen und die Sicherheit digitaler Produkte während ihres gesamten Lebenszyklus zu gewährleisten. Dies betrifft sowohl Hardware als auch Software, die mit Netzwerken oder anderen Geräten verbunden sind, oder generell Produkte mit digitalen Elementen.
Ein zentraler Aspekt des CRA ist die Einführung eines „Security-by-Design-Ansatzes“, bei dem Sicherheitsaspekte bereits in der Entwicklungsphase berücksichtigt werden. Damit soll das Risiko von Sicherheitslücken minimiert und das Vertrauen in digitale Produkte gestärkt werden.
Der CRA ist ein Teil der EU-Cybersicherheitsstrategie, zu dem unter anderem auch die NIS-Richtlinie (Richtlinie zur Netzwerk- und Informationssicherheit) gehört:
Der CRA setzt klare Vorgaben, um Cybersicherheit von Produkten mit digitalen Elementen in Europa zu standardisieren:
Es gibt jedoch auch Ausnahmen für Produkte die bereits speziellen EU-Vorschriften unterliegen, wie zum Beispiel medizinische Geräte, Automobiltechnologie, Schiffsausrüstung, Luftfahrt oder Verteidigung.
Der CRA betrifft alle Unternehmen, die Produkte mit digitalen Elementen in der EU herstellen, importieren oder vertreiben. Besonders im Fokus stehen:
Nicht betroffen sind Produkte für militärische Anwendungen, nicht-kommerzielle Open-Source-Software und reine Software-as-a-Service-Lösungen (sofern diese nicht essenziell für ein Produkt sind).
Der Cyber Resilience Act wird die Cybersicherheitslandschaft grundlegend verändern – und Unternehmen die Möglichkeit bieten, sich durch innovative Sicherheitslösungen zu profilieren.
Die Verordnung wurde 20. November 2024 im Amtsblatt der EU veröffentlicht und tritt am 09. Dezember 2024 in Kraft. Unternehmen haben 36 Monate Zeit, die Anforderungen umzusetzen. Ab November 2027 müssen alle Bestimmungen erfüllt sein. Erste Meldepflichten gelten bereits ab August 2026.
Um die Anforderungen des CRA zu erfüllen, sollten Unternehmen folgende Schritte einleiten:
Frühzeitiges Handeln ist entscheidend, um mögliche Sanktionen und Marktausschlüsse zu vermeiden. Die Umsetzung benötigt Zeit.
Unternehmen, die die Vorgaben des CRA nicht erfüllen, müssen mit empfindlichen Strafen rechnen:
Bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes können verhängt werden.
Betroffener | Mögliche Sanktionen |
Hersteller | Geldbußen von bis zu EUR 15 Mio. oder bis zu 2,5 % des gesamten weltweiten Jahresumsatzes |
Einführer und Händler | Geldbußen von bis zu EUR 10 Mio. oder bis zu 2 % des gesamten weltweiten Jahresumsatzes |
Falsche, unvollständige oder irreführende Angaben ggü. Marktüberwachungsbehörden | Geldbußen von bis zu EUR 5 Mio. oder bis zu 1 % des gesamten weltweiten Jahresumsatzes |
Produkte, die nicht den Anforderungen entsprechen, dürfen in der EU nicht verkauft werden. Darüber hinaus können Behörden Produkte zurückrufen oder den Vertrieb untersagen, wenn Sicherheitslücken nicht behoben werden.
Der Cyber Resilience Act stellt Unternehmen vor neue Herausforderungen, bietet jedoch auch Chancen: Wer frühzeitig handelt, kann nicht nur die Compliance sicherstellen, sondern sich auch Wettbewerbsvorteile sichern. Cybersicherheit wird damit nicht nur zur Pflicht, sondern zu einem Qualitätsmerkmal, das Kundenvertrauen stärkt und europäische Anbieter mit hohen Standards bei neuen Marktchancen unterstützt.
Falls Sie Unterstützung bei der Umsetzung des CRA benötigen, stehen wir Ihnen gern beratend zur Seite.
Dazu passende Artikel