Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die verbindliche Cybersicherheitsanforderungen für digitale Produkte und vernetzte Geräte auf dem EU-Markt festlegt. Ihr Ziel ist es, die Lücke zu schließen, in der viele Produkte mit wenig oder gar keiner eingebauten Sicherheit ausgeliefert werden, wodurch die Nutzer einem Missbrauch ausgesetzt sind.

Die CRA gilt für den gesamten Produktlebenszyklus, von der Entwicklung und dem Design bis hin zur Überwachung, Wartung und Aktualisierung nach dem Inverkehrbringen. Sie richtet sich direkt an Hersteller, Importeure und Händler und verlagert die Verantwortung für die Cybersicherheit auf diejenigen, die digitale Produkte auf den Markt bringen. Damit unterscheidet sich die CRA von Verordnungen wie GDPR oder NIS2, die sich auf den Datenschutz und die Sicherheit auf Dienstebene konzentrieren.

Wofür steht die CRA?

CRA steht für Cyber Resilience Act, eine verbindliche EU-Verordnung, die im Jahr 2024 verabschiedet wird. Sie soll sicherstellen, dass alle Hard- und Software mit digitalen Elementen mit eingebauter Cybersicherheit ausgestattet ist und dass die Hersteller langfristig für die Produktsicherheit verantwortlich bleiben. Mit der Verordnung wird ein EU-weit harmonisiertes Regelwerk geschaffen, das die fragmentierten nationalen Ansätze ersetzt.

Was verlangt die CRA?

Die CRA führt Cybersicherheitsverpflichtungen für den gesamten Produktlebenszyklus ein, mit einer Mischung aus Kontrollen vor und nach dem Inverkehrbringen. Zu den wichtigsten Anforderungen der CRA gehören:

• Sicherheit durch Design und Standardeinstellungen: Produkte müssen Schwachstellen minimieren und von Haus aus sicher sein, mit starken Standardkonfigurationen.
• Umgang mit Schwachstellen: Die Hersteller müssen klare Prozesse für die Entgegennahme, Bewertung und Behebung von Schwachstellen einrichten, einschließlich der Koordination mit Sicherheitsforschern.
• Sicherheitsaktualisierungen: Für den erwarteten Lebenszyklus des Produkts ist kontinuierlicher Support erforderlich, einschließlich der rechtzeitigen Bereitstellung von Patches.
• Meldung von Zwischenfällen: Ausgenutzte Schwachstellen und Sicherheitsvorfälle müssen der ENISA innerhalb von 24 Stunden gemeldet werden.
• Technische Dokumentation: Enthält eine Risikobewertung, eine Konformitätsbewertung und eine Konformitätserklärung.
• Überwachung nach der Markteinführung: Die Anbieter müssen aufkommende Bedrohungen und das Produktverhalten nach dem Verkauf verfolgen und bei Bedarf Maßnahmen ergreifen.
• CE-Kennzeichnung für Cybersicherheit: Die Produkte müssen eine CE-Kennzeichnung tragen, die bestätigt, dass sie die CRA-Cybersicherheitsstandards erfüllen.
• Konformitätsbewertungen:
  • Klasse I (Standardprodukte): Selbsteinschätzung erlaubt.
  • Klasse II (kritische Produkte): Audits durch Dritte sind erforderlich (z. B. Betriebssysteme, Passwortmanager, Firewalls).

Beispiele für die CRA-Produktklassifizierung

Die CRA führt zwei Produktklassen ein, die auf dem Cybersicherheitsrisiko basieren:

• Klasse I (Standardprodukte): Geringere Kritikalität. Selbsteinschätzung erlaubt.
• Klasse II (kritische Produkte): Höheres Risiko. Konformitätsbewertung durch Dritte erforderlich.

Nachfolgend finden Sie Beispiele für Klassifizierungen, die Unternehmen dabei helfen sollen, zu verstehen, in welche Kategorie ihre Produkte fallen könnten:

Tipp: Auch Produkte der Klasse I müssen immer noch alle grundlegenden CRA-Anforderungen erfüllen, nur mit einem einfacheren Bewertungsverfahren. Kritische Produkte der Klasse II erfordern strengere Schritte zur Einhaltung der Anforderungen.

Wie CRA die Produktsicherheit verbessert und warum dies wichtig ist

Der Cyber Resilience Act verbessert die Produktsicherheit, indem er die Cybersicherheit während des gesamten Produktlebenszyklus in die Verantwortung nimmt. Es verlangt von den Herstellern, dass sie "Secure-by-design"- und Standardpraktiken anwenden, Schwachstellen systematisch verwalten und schnell auf Sicherheitsvorfälle reagieren. Diese Verpflichtungen verringern die Wahrscheinlichkeit, dass unsichere Produkte zu den Nutzern gelangen, und tragen dazu bei, zu verhindern, dass isolierte Schwachstellen zu groß angelegten Ausbeutungsrisiken werden.

Indem die CRA die Verantwortung auf die Hersteller, Importeure und Händler überträgt, stellt sie sicher, dass Sicherheit nicht länger optional ist oder aufgeschoben wird, sondern Teil der Produktqualität und der Einhaltung von Gesetzen wird.

Organisationen, die die CRA einhalten, profitieren davon:

• Weniger Schwachstellen durch strukturierte Entwicklungs- und Testverfahren
• Schnellere Reaktion auf Vorfälle durch obligatorische Behandlung von Schwachstellen und Berichterstattung
• Stärkeres Vertrauen in Anbieter und Lieferkette, insbesondere in regulierten Branchen
• Rechtliche Klarheit dank eines einheitlichen EU-weiten Konformitätsstandards
• Marktvorteil, da sichere, CRA-konforme Produkte bei B2B-Käufern und Kunden des öffentlichen Sektors immer beliebter werden

Insgesamt hebt die CRA die Cybersicherheitsgrundlagen für digitale Produkte an und schafft sowohl rechtliche Verantwortlichkeit als auch Wettbewerbschancen.

Globale Vergleiche

Die CRA verfolgt die gleichen Ziele wie andere globale Rahmenwerke, unterscheidet sich jedoch in Bezug auf den Geltungsbereich und die Durchsetzung:

Bewährte Praktiken der Ratingagenturen und gemeinsame Herausforderungen

Bewährte Praktiken von frühen Anwendern:

• Integration der sicheren Kodierung in den SDLC
• Automatisierung von Schwachstellen-Scans und Triage
• Aufbau von Teams zur Reaktion auf Produktsicherheitsvorfälle (PSIRTs)
• Erstellung wiederverwendbarer Vorlagen für technische Dokumentation
• Mit Plattformen wie Cyberday um Verantwortlichkeiten zuzuweisen und Beweise zu sammeln

Gemeinsame Herausforderungen:

• Nachrüstung älterer Produkte ohne Sicherheitsgrundlagen
• Budgetierung für langfristiges Patching und Support
• Verständnis der Überschneidung mit der CE-Kennzeichnung und der Funkanlagenrichtlinie
• Verwaltung mehrerer Konformitätsbewertungsverfahren

FAQs

Ist die CRA obligatorisch?

Ja. Die CRA ist eine verbindliche EU-Verordnung. Sobald die Durchsetzung beginnt, ist die Einhaltung für alle Produkte, die in der EU in Verkehr gebracht werden, verbindlich.

Warum sind Ratingagenturen wichtig?

Durch die CRA werden die Produkthersteller rechtlich zur Verantwortung gezogen und die seit langem bestehende Lücke in der Cybersicherheitsregelung für vernetzte Geräte und Software geschlossen. Sie trägt dazu bei, das EU-weite Risiko unsicherer Produkte zu verringern, und stellt sicher, dass die Hersteller von Anfang an auf Sicherheit setzen.

Wer muss sich an die CRA halten?

Die CRA gilt für:

• Hersteller, Importeure und Vertreiber von digitalen Produkten
• Produkte mit digitalen Elementen, einschließlich:
  • IoT-Geräte
  • Mobile und Desktop-Anwendungen
  • Eingebettete Systeme
  • Betriebssysteme
  • Software für die industrielle Steuerung

Ausgeschlossen: Produkte, die bereits unter spezifische sektorale EU-Rechtsvorschriften fallen (z. B. Medizinprodukte, Kraftfahrzeuge, Luftfahrt).

Wann ist die CRA in Kraft?

Die CRA trat am 10. Dezember 2024 in Kraft. Wichtige Fristen:

• September 2025: ENISA erhält nationale Umsetzungspläne.
• September 2026: Die Meldepflicht für Vorfälle wird durchsetzbar.
• Dezember 2027: Es gelten die vollen Verpflichtungen. Danach müssen alle Produkte, die in den Geltungsbereich fallen, CRA-konform sein.

Wird die CRA beim Cyberday unterstützt?

Ja. Die CRA ist für die Arbeit in Cyberday verfügbar. Die Plattform umfasst:

• CRA-spezifische Aufgaben und Kontrollen
• Sichere Entwicklung und Update-Unterstützung
• Vorlagen für technische Dokumentation
• Arbeitsabläufe für die Reaktion auf Schwachstellen und Vorfälle
• Kontinuierliche Aktualisierungen je nach Entwicklung der Leitlinien