Cyber Resilience Act (CRA) – alles was du zur EU-Verordnung für sichere digitale Produkte wissen musst

Icon Good to know

Was ist der Cyber Resilience Act (CRA)?

Cyber Resilience Act Definiton
Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die die Sicherheit von digitalen Produkten und vernetzten Geräten in Europa stärkt. Ziel ist es, einheitliche Standards für die Produkt-Cybersicherheit zu schaffen – von der Entwicklung über die Markteinführung bis zum gesamten Lebenszyklus. Mit dem CRA reagiert die EU auf die wachsenden Risiken durch unsichere Hard- und Software. Damit ergänzt der CRA bestehende Konzepte rund um IT-Sicherheit.

Entstehung und Hintergrund
Die Verordnung wurde 2024 verabschiedet und ist Teil der EU-Cybersicherheitsstrategie. Sie schließt eine Lücke, da bisher vor allem branchenspezifische Gesetze existierten (z. B. DORA für Finanzunternehmen, NIS-2 für kritische Infrastrukturen). Für europäische Hersteller von Produkten mit digitalen Elementen bedeutet dies einheitliche Anforderungen an Entwicklung und Marktzugang.

Zeitplan und Fristen

10.12.2024

Inkrafttreten

 

a

Übergangsfrist 36 Monate

ab 11.12.2027

Volle Anwendung

Sonderregelungen: Für besonders kritische Produkte (z. B. sicherheitsrelevante loT-Geräte) gelten verkürzte Fristen.

 

Zentrale Anforderungen
Europäische Hersteller, Händler und Importeure müssen künftig sicherstellen, dass Produkte mit digitalen Elementen grundlegende digitale Produktanforderungen erfüllen. Dazu gehören unter anderem:

  • Lebenszyklus-Cybersicherheit: Sicherheit muss während der gesamten Nutzungsdauer gewährleistet sein.
  • CE-Kennzeichnung für IT-Produkte: Nur konforme Produkte dürfen auf den EU-Markt gebracht werden.
  • Schwachstellenmanagement: Hersteller müssen Updates bereitstellen und Schwachstellen zeitnah schließen.
  • Meldepflicht bei Cybersicherheitsvorfällen: Sicherheitsvorfälle sind zeitnah an Behörden zu melden.
  • Marktüberwachung: Nationale Behörden kontrollieren die Einhaltung der Vorgaben.

Zusätzlich fordert der CRA, dass digitale Produkte klare Dokumentationen enthalten, damit die Cybersecurity-Anforderungen transparent nachvollzogen werden können.

Was ist der Unterschied zwischen NIS-2 und Cyber Resilience Act?

Der Cyber Resilience Act und die NIS-2-Richtlinie verfolgen ähnliche Ziele, unterscheiden sich aber im Anwendungsbereich:

  • NIS-2: Regelt die Cybersicherheit von Unternehmen, die kritische Dienstleistungen oder Infrastrukturen betreiben (z. B. Energie, Gesundheit, Verkehr, Verwaltung).
  • CRA: Regelt die Sicherheit von Produkten mit digitalen Elementen (z. B. Smart-Home-Geräte, Software, IoT-Systeme).

Kurz gesagt: NIS-2 betrifft Betreiber, CRA betrifft Hersteller.
Mehr Details dazu bietet der Glossarartikel NIS-2 – Wer ist betroffen?

Was fällt unter den Cyber Resilience Act?

Der Cyber Resilience Act gilt für alle Produkte mit digitalen Elementen, die direkt oder indirekt mit einem Netzwerk oder dem Internet verbunden sind. Dazu zählen unter anderem:

  • Betriebssysteme und Standardsoftware
  • Endgeräte wie Smartphones, Router oder Laptops
  • Vernetzte IoT-Geräte (z. B. Smart-Home-Anwendungen, Wearables)
  • Industrielle Steuerungssysteme
  • Cloud- und Virtualisierungssoftware

Ausgenommen sind einige sicherheitskritische Systeme, die bereits durch andere EU-Verordnungen reguliert sind. Für europäische Hersteller bedeutet dies, dass sie prüfen müssen, ob ihre Produkte unter den CRA oder unter andere Gesetze fallen.

Konformitätsbewertung und CE-Kennzeichnung: So funktioniert der CRA-Nachweis

Der CRA schreibt eine Konformitätsbewertung für Produkte mit digitalen Elementen vor. Ziel ist es sicherzustellen, dass alle Anforderungen an die Cybersecurity eingehalten werden.

Hersteller müssen prüfen, ob ihre Produkte die CRA-Vorgaben erfüllen. Je nach Risikoklasse erfolgt dies durch interne Verfahren oder externe Prüfungen. Für weniger kritische digitale Elemente genügt oft ein Self-Assessment, während für hochkritische Produkte wie sicherheitsrelevante IoT-Systeme ein unabhängiges Audit durch Dritte erforderlich ist. Nur Produkte, die den CRA-Anforderungen entsprechen, dürfen die CE-Kennzeichnung tragen. Zusätzlich ist eine umfassende technische Dokumentation Pflicht, um die Einhaltung nachweisen zu können.

Open Source und SBOM im CRA – Chancen & Herausforderungen

Ein besonderes Thema ist der Umgang mit Open Source Software (OSS). Der CRA bringt hier Chancen, aber auch Herausforderungen:

Non-Profit- und Community-Projekte sind in der Regel von den Pflichten des CRA ausgenommen. Anders ist es bei kommerziellen Anbietern: Unternehmen, die Open Source-Komponenten in ihren Produkten einsetzen, tragen die volle Verantwortung für deren Sicherheit und müssen die Anforderungen vollständig erfüllen. Ein zentrales Element ist dabei die Software Bill of Materials (SBOM). Diese Stückliste dokumentiert alle eingesetzten Software-Bausteine und erhöht Transparenz und Nachvollziehbarkeit. Für reine Open-Source-Projekte ohne kommerziellen Vertrieb gilt der CRA nicht. Sobald OSS jedoch in ein Produkt integriert und vermarktet wird, greifen die CRA-Vorgaben.

Wer muss die Anforderungen aus der CRA-Verordnung umsetzen?

Der CRA betrifft eine breite Gruppe von Marktteilnehmern. Die Verantwortung für die Umsetzung liegt bei allen Wirtschaftsakteuren, die digitale Produkte auf den EU-Markt bringen:

  • Hersteller und Entwickler digitaler Produkte: müssen Cybersicherheitsstandards umsetzen und über den gesamten Produktlebenszyklus gewährleisten.
  • Distributoren und Importeure von Software und Hardware: dürfen nur konforme Produkte in die EU einführen.
  • Händler, die vernetzte Geräte in der EU vertreiben: müssen sicherstellen, dass Produkte mit gültiger CE-Kennzeichnung vertrieben werden.

Auch Aspekte wie Compliance und Datenschutz in Unternehmen spielen dabei eine wichtige Rolle. Zusätzlich werden Cybersecurity-Audits und Gap-Analysen notwendig, um Anforderungen lückenlos zu erfüllen.

 

Einheitliche Standard für digitale Sicherheit und stärkeres Vertrauen durch den CRA

Der Cyber Resilience Act ist ein entscheidender Schritt für mehr digitale Sicherheit im Binnenmarkt. Er sorgt dafür, dass Cybersecurity bereits von Beginn an in die Produktentwicklung integriert wird und über den gesamten Lebenszyklus hinweg Bestand hat.

Für Unternehmen bedeutet das: Wer digitale Produkte herstellt oder vertreibt, muss künftig strenge Anforderungen erfüllen. Besonders europäische Hersteller profitieren von einem klaren, einheitlichen Rahmen, der Wettbewerbsverzerrungen verringert. Gleichzeitig profitieren Nutzer:innen von sichereren Produkten, die besser vor Angriffen geschützt sind. Das stärkt langfristig Vertrauen in digitale Technologien und fördert Innovation und Wettbewerb.

Ein weiterer Mehrwert liegt in der globalen Wettbewerbsfähigkeit: Produkte, die den CRA erfüllen, gelten als cybersecurity-konform und erhöhen damit ihre Marktchancen auch außerhalb Europas.

Was Unternehmen jetzt tun müssen

Unternehmen, die Produkte mit digitalen Elementen herstellen oder vertreiben, müssen jetzt aktiv werden, um die neuen Anforderungen umzusetzen. Diese Schritte sollten Unternehmen jetzt einleiten:

  1. Anwendbarkeits-Check: Prüfen, ob Produkte unter den CRA fallen.
  2. Gap-Analyse: Unterschiede zwischen Ist-Stand und Soll-Anforderungen identifizieren.
  3. Maßnahmenplan: Konkrete Aufgaben zur Erfüllung der cybersecurity-Vorgaben definieren.
  4. Prozesse & Dokumentation: Sicherheitsprozesse und Nachweise aufbauen.
  5. Regelmäßige Audits: Sicherstellen, dass alle digitalen Elemente dauerhaft den CRA-Anforderungen entsprechen.
Zurück zur Übersicht