Cyber Resilience Act (CRA)
Neue EU-Verordnung zur Cybersicherheit – was Hersteller jetzt wissen sollten
Worum geht es beim Cyber Resilience Act?
Der Cyber Resilience Act (CRA) ist eine Verordnung der Europäischen Union, die erstmals umfassende Anforderungen an die Cybersicherheit von Produkten mit digitalen Funktionen stellt. Ziel ist es, ein einheitliches Schutzniveau im gesamten Binnenmarkt zu schaffen und damit sowohl Verbraucher:innen als auch Unternehmen besser vor digitalen Bedrohungen zu schützen.
Betroffen sind Produkte, die Software enthalten und mit Netzwerken oder anderen Produkten kommunizieren – darunter viele elektronische Komponenten, wie sie auch in der Industrie oder im privaten Bereich eingesetzt werden. Der CRA wurde im März 2024 verabschiedet und wird nach einer Übergangszeit voraussichtlich ab Dezember 2027 vollständig anwendbar sein.
Wen betrifft der CRA konkret?
Die Verordnung richtet sich an Hersteller, Importeure und Händler von digitalen Produkten und Komponenten – also praktisch an alle Unternehmen, die Software oder vernetzte Geräte entwickeln, fertigen oder in Verkehr bringen. Dazu gehören zum Beispiel:
- Industrielle Steuer- und Regelungstechnik
- Eingebettete Systeme mit Netzwerkverbindung
- Firmware und Betriebssysteme
- Smart-Home- und IoT-Geräte
- Softwareprogramme mit Cloud- oder App-Anbindung
- uvm.
Was fordert der Cyber Resilience Act?
Kern des CRA ist die Gewährleistung der Cybersicherheit während des gesamten Produktlebenszyklus. Sicherheitsaspekte sollen schon beim Produktdesign einfließen (Security by Design) und während des Produktlebens kontinuierlich betrachtet werden. Unter anderem schreibt der CRA vor:
- Die Durchführung von Risikobewertungen für jedes Produkt
- Maßnahmen zum Schutz vor bekannten Schwachstellen
- Eine sichere Standardkonfiguration ohne unnötige Zugänge
- Die Bereitstellung von Sicherheitsupdates, auch nach der Markteinführung
- Ein Prozess zum Management von Sicherheitslücken (Vulnerability Management)
- Die Meldung aktiv ausgenutzter Schwachstellen innerhalb von 24 Stunden an die EU-Agentur ENISA
Der Nachweis der CRA-Konformität erfolgt über die CE-Kennzeichnung des Produktes
Was bedeutet das für die Praxis?
Für Hersteller elektronischer Produkte bedeutet der CRA einen zusätzlichen Fokus auf Sicherheit – und das bereits ab der frühen Entwicklungsphase. Die Anforderungen betreffen nicht nur die Produkttechnik, sondern auch interne Prozesse, Dokumentation und den langfristigen Support.
Unternehmen müssen sicherstellen, dass Sicherheitsaspekte im gesamten Lebenszyklus eines Produkts berücksichtigt werden – von der Entwicklung über die Markteinführung bis hin zur Bereitstellung von Updates und dem Umgang mit potenziellen Schwachstellen.
Wann tritt der CRA in Kraft?
- Verabschiedung durch EU-Parlament: März 2024
- Veröffentlichung im EU-Amtsblatt: 2024
- Übergangsfrist: 36 Monate
- Verbindliche Anwendung: ab 2027
