Der EU Cyber Resilience Act (CRA) legt verbindliche Cybersicherheitsstandards für fast jedes Hardware- oder Softwareprodukt fest, das mit einem Netzwerk verbunden ist. Man kann sich das als "CE-Kennzeichnung für Sicherheit" vorstellen: Bevor ein Produkt mit digitalen Elementen (PDE) in der EU verkauft werden kann, muss der Hersteller nachweisen, dass es sicher gebaut wurde, ohne bekannte ausnutzbare Schwachstellen ausgeliefert wird und während seiner gesamten Lebensdauer sicher gehalten werden kann. 

Überblick über die CRA

Die CRA ist eine EU-Verordnung (Verordnung (EU) 2024/2847), die am 10. Dezember 2024 in Kraft trat und ab dem 11. Dezember 2027 in vollem Umfang gelten wird. Da es sich um eine Verordnung handelt, ist sie in jedem Mitgliedstaat ohne nationale Umsetzung unmittelbar verbindlich.

Ziel: Schließung der Sicherheitslücke bei vernetzten Produkten durch Verlagerung der Verantwortung auf die Wirtschaftsakteure, die von ihnen profitieren.

Anwendungsbereich: Alle "Produkte mit digitalen Elementen" (Hardware, Software und ihre dezentralen Datenverarbeitungskomponenten), die in der EU in Verkehr gebracht werden, es sei denn, sie fallen unter eine andere sektorspezifische Regelung wie Medizinprodukte oder die Typgenehmigung für Kraftfahrzeuge. Open-Source-Software, die kostenlos zur Verfügung gestellt und nicht vermarktet wird, fällt nicht in den Anwendungsbereich.

Behörde: Die Marktaufsichtsbehörden in den einzelnen Mitgliedstaaten werden die Einhaltung der Vorschriften überprüfen; bei Nichteinhaltung können Rückrufe und Geldbußen von bis zu 15 Millionen Euro oder 2 Prozent des weltweiten Umsatzes verhängt werden.

Lesen Sie weiter: Was ist der Cyber Resilience Act?

Was sind die wichtigsten Anforderungen der Ratingagentur?

Der Cyber Resilience Act legt klare Sicherheits- und Compliance-Erwartungen für alle Unternehmen fest, die digitale Produkte auf den EU-Markt bringen. Diese Anforderungen betreffen die Produktgestaltung, die Dokumentation, die Verantwortlichkeiten in der Lieferkette und die Meldung von Vorfällen.

Wenn Sie verstehen, wie diese Verpflichtungen gruppiert sind, können Sie die Umsetzungsarbeit besser planen, Verantwortlichkeiten zuweisen und vermeiden, dass bei Prüfungen Anforderungen übersehen werden. Im Folgenden finden Sie eine praktische Aufschlüsselung der wichtigsten Anforderungskategorien der CRA, die der Struktur der offiziellen Verordnung folgt.

Den vollständigen Gesetzestext finden Sie auf der offiziellen EU-Website.

1. Sicheres Design, Entwicklung und Produktion (Anhang I Teil I)

• Auslieferung des Produkts ohne bekannte ausnutzbare Schwachstellen.
• Bieten Sie eine sichere Standardkonfiguration und ermöglichen Sie einen sicheren Werksreset.
• Schutz der Vertraulichkeit und Integrität von Daten bei der Übertragung und im Ruhezustand (z. B. Verschlüsselung, Integritätsprüfungen).
• Implementierung einer soliden Authentifizierung und Zugangskontrolle.
• Begrenzung der Angriffsfläche und Einbeziehung von Techniken zur Verhinderung von Angriffen.
• Protokollieren Sie sicherheitsrelevante Ereignisse und lassen Sie die Benutzer persönliche Daten sicher löschen.

2. Umgang mit Schwachstellen und Unterstützung des Lebenszyklus (Anhang I Teil II)

• Ein internes Verfahren zum Management von Schwachstellen, das durch eine Risikobewertung gestützt wird, sollte eingeführt werden.
• Behebung der gemeldeten Schwachstellen "ohne unangemessene Verzögerung" und Bereitstellung von Sicherheitsupdates für den angegebenen Unterstützungszeitraum.
• Veröffentlichung einer Kontaktstelle und einer koordinierten Politik zur Offenlegung von Schwachstellen (CVD).
• Innerhalb von 24 Stunden nach Bekanntwerden einer aktiv ausgenutzten Schwachstelle oder eines Vorfalls die ENISA über die europäische Schwachstellendatenbank benachrichtigen und Informationen zur Schadensbegrenzung an die Nutzer herausgeben.

3. Technische Unterlagen und Konformitätsbewertung (Anhang II + Artikel 23-29)

• Erstellung eines risikobasierten technischen Dossiers mit Bedrohungsmodell, Nachweisen für die sichere Entwicklung und Software Bill of Materials (SBOM).
• Produkte mit Standardrisiko können eine Selbstbewertung vornehmen; "wichtige" Produkte der Klasse I/II (z. B. Firewalls, Identitätsanbieter) erfordern eine Zertifizierung durch Dritte.
• Bringen Sie die CE-Kennzeichnung an und stellen Sie eine EU-Konformitätserklärung aus, sobald die Bewertung abgeschlossen ist.

4. Pflichten der Wirtschaftsbeteiligten (Artikel 13-20)

• Hersteller: Durchführung der Bewertung, Aufbewahrung der Dokumentation für 10 Jahre, Bereitstellung von Aktualisierungen mindestens für den in der EU-DoC angegebenen Unterstützungszeitraum und Zusammenarbeit mit den Behörden.
• Importeure: Überprüfen Sie, ob das Produkt die CE-Kennzeichnung trägt und ob Unterlagen und Aktualisierungen verfügbar sind.
• Händler: stellen sicher, dass die Kennzeichnung und das CE-Zeichen unversehrt sind, und stoppen den Verkauf, wenn sie den Verdacht haben, dass die Vorschriften nicht eingehalten werden.

5. Marktüberwachung und Meldung von Zwischenfällen (Artikel 30-35)

• Führen Sie ein Register der Vorfälle und Schwachstellen; stellen Sie den Behörden auf Anfrage SBOMs zur Verfügung.
• Melden Sie die Ausnutzung einer nicht gepatchten Sicherheitslücke innerhalb von 24 Stunden und erstellen Sie innerhalb von zwei Wochen einen abschließenden Bericht über den Vorfall.

Sind die Anforderungen für alle verbindlich?

Die CRA ist umfassend, aber nicht universell. Für Organisationen, die in den Anwendungsbereich fallen, ist sie obligatorisch, für andere ist sie fakultativ.

• Vollständige Abdeckung: Jede Organisation, die ein Produkt mit digitalen Elementen zu kommerziellen Zwecken auf dem EU-Markt in Verkehr bringt, unabhängig von Größe oder Standort.
• Wichtige Ausnahmen:
  • Open-Source-Software, die kostenlos zur Verfügung gestellt und nicht monetarisiert wird.
  • PDEs, die bereits durch strengere sektorale Gesetze geregelt sind (Medizinprodukte, Luftfahrt, Automobilindustrie, qualifizierte eID-Geldbörsen usw.).
  • Ersatzteile für ältere Produkte.
• Weniger strenge Regelung: "Open-Source-Verantwortliche", die nachhaltige Unterstützung für OSS-Komponenten bieten, die für die kommerzielle Nutzung bestimmt sind, unterliegen geringeren Verpflichtungen (Sicherheitsbescheinigung anstelle eines vollständigen CE-Prozesses).

Lesen Sie weiter: Für wen gilt der Cyber Resilience Act?

Gemeinsame Herausforderungen bei der Erfüllung der CRA-Anforderungen

1. Generierung einer genauen SBOM. Viele Teams arbeiten mit mehreren Paketmanagern und privaten Repositories, so dass vollständige Abhängigkeitslisten schwer zu erstellen sind.
2. Koordinierte Offenlegung von Sicherheitslücken. Die Einrichtung eines öffentlichen Verfahrens, eines sicheren Eingangskanals und eines 24-Stunden-Reaktionsworkflows ist für viele KMU neu.
3. Langfristige Update-Verpflichtung. Wenn Sie einen Support-Zeitraum festlegen, müssen Sie mehr als drei Jahre für Patches einplanen, einschließlich älterer Major-Versionen.
4. Sammlung von Beweisen. Die Entwickler müssen Bedrohungsmodelle, Testergebnisse und Aufzeichnungen zur sicheren Kodierung für die technische Akte aufbewahren.
5. Bestimmung der Klasse. Die Entscheidung, ob ein Produkt in die Standardklasse, die wichtige Klasse I oder die wichtige Klasse II fällt, verändert den Weg der Konformitätsbewertung und die Fristen.

Wie Cyberday die Anforderungen der CRA erfüllt

Cyberday verwandelt die Einhaltung der CRA-Richtlinien in überschaubare Aufgaben. Alle Rahmenanforderungen werden in umsetzbare Kontrollen und Richtlinien umgewandelt. Mit Cyberday ist es einfach, Multi-Compliance zu verwalten, mit Dashboards, die den aktuellen CRA-Compliance-Status zusammen mit NIS2, ISO 27001 oder jedem anderen Rahmenwerk oder jeder anderen Vorschrift, die für Sie wichtig sein könnte, anzeigen.

Müssen Sie Ihren Produktplan, Ihre Sicherheitstechnik und Ihre Rechtsteams aufeinander abstimmen? Cyberday bietet die Struktur, die Vorlagen und die automatisierten Prüfungen, die Sie für eine effiziente, beweisgestützte CRA-Compliance benötigen.

Starten Sie Ihr kostenlose Cyberday heute!