Berghof Logo Automation Berghof Logo Automation
Cyber Resilience Act EU

Cyber Resilience Act (CRA)

Neue EU-Verordnung zur Cybersicherheit – was Hersteller jetzt wissen sollten

Worum geht es beim Cyber Resilience Act?

Der Cyber Resilience Act (CRA) ist eine Verordnung der Europäischen Union, die erstmals umfassende Anforderungen an die Cybersicherheit von Produkten mit digitalen Funktionen stellt. Ziel ist es, ein einheitliches Schutzniveau im gesamten Binnenmarkt zu schaffen und damit sowohl Verbraucher:innen als auch Unternehmen besser vor digitalen Bedrohungen zu schützen.

Betroffen sind Produkte, die Software enthalten und mit Netzwerken oder anderen Produkten kommunizieren – darunter viele elektronische Komponenten, wie sie auch in der Industrie oder im privaten Bereich eingesetzt werden. Der CRA wurde im März 2024 verabschiedet und wird nach einer Übergangszeit voraussichtlich ab Dezember 2027 vollständig anwendbar sein.

Wen betrifft der CRA konkret?

Die Verordnung richtet sich an Hersteller, Importeure und Händler von digitalen Produkten und Komponenten – also praktisch an alle Unternehmen, die Software oder vernetzte Geräte entwickeln, fertigen oder in Verkehr bringen. Dazu gehören zum Beispiel:

  • Industrielle Steuer- und Regelungstechnik
  • Eingebettete Systeme mit Netzwerkverbindung
  • Firmware und Betriebssysteme
  • Smart-Home- und IoT-Geräte
  • Softwareprogramme mit Cloud- oder App-Anbindung
  • uvm.

Was fordert der Cyber Resilience Act?

Kern des CRA ist die Gewährleistung der Cybersicherheit während des gesamten Produktlebenszyklus. Sicherheitsaspekte sollen schon beim Produktdesign einfließen (Security by Design) und während des Produktlebens kontinuierlich betrachtet werden. Unter anderem schreibt der CRA vor:

  • Die Durchführung von Risikobewertungen für jedes Produkt
  • Maßnahmen zum Schutz vor bekannten Schwachstellen
  • Eine sichere Standardkonfiguration ohne unnötige Zugänge
  • Die Bereitstellung von Sicherheitsupdates, auch nach der Markteinführung
  • Ein Prozess zum Management von Sicherheitslücken (Vulnerability Management)
  • Die Meldung aktiv ausgenutzter Schwachstellen innerhalb von 24 Stunden an die EU-Agentur ENISA

Der Nachweis der CRA-Konformität erfolgt über die CE-Kennzeichnung des Produktes

Was bedeutet das für die Praxis?

Für Hersteller elektronischer Produkte bedeutet der CRA einen zusätzlichen Fokus auf Sicherheit – und das bereits ab der frühen Entwicklungsphase. Die Anforderungen betreffen nicht nur die Produkttechnik, sondern auch interne Prozesse, Dokumentation und den langfristigen Support.

Unternehmen müssen sicherstellen, dass Sicherheitsaspekte im gesamten Lebenszyklus eines Produkts berücksichtigt werden – von der Entwicklung über die Markteinführung bis hin zur Bereitstellung von Updates und dem Umgang mit potenziellen Schwachstellen.

Wann tritt der CRA in Kraft?

  • Verabschiedung durch EU-Parlament: März 2024
  • Veröffentlichung im EU-Amtsblatt: 2024
  • Übergangsfrist: 36 Monate
  • Verbindliche Anwendung: ab 2027

Diese Seite dient ausschließlich zur Information – insbesondere für Kunden, Partner und alle, die sich über die kommenden Veränderungen im Bereich Cybersicherheit informieren möchten.

Hinweis: Die bereitgestellten Inhalte stellen keine rechtliche Beratung dar.

 

Sie haben Fragen?

Wir freuen uns auf Ihren Anruf oder Ihre E-Mail. Gerne können Sie uns auch über unser Kontaktformular eine Nachricht zukommen lassen. Wir sind schnellstmöglich für Sie da.

Zum Kontaktformular

Diese Seite nutzt Website Tracking-Technologien von Dritten, um ihre Dienste anzubieten. Ich bin damit einverstanden und kann meine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen oder ändern.

Auswählen Impressum Datenschutz

Cookie Management

Cookie Management

Notwendig

Diese werden für die Grundfunktionen der Website benötigt und helfen dabei, unsere Website nutzbar zu machen sowie Zugriffe auf sichere Bereiche unserer Website ermöglichen.

Cookie Informationen anzeigen

Titel: PHPSESSID
Anbieter: Berghof
Cookies:
Cookie Name: PHPSESSID
Dauer: Session
Beschreibung: Dieses Cookie ist nativ für PHP-Anwendungen. Das Cookie wird verwendet, um die eindeutige Sitzungs-ID eines Benutzers zu speichern und zu identifizieren, um die Benutzersitzung auf der Website zu verwalten. Das Cookie ist ein Session-Cookie und wird gelöscht, wenn alle Browserfenster geschlossen sind.
Externer Datenschutz: https://www.berghof-process-control.com/de/datenschutzerklaerung
Titel: dpconsentmanagement
Anbieter: Berghof
Cookies:
Cookie Name: dpconsentmanagement
Dauer: 12 Monate
Beschreibung: Das Cookie wird von DER PUNKT Consent Management gesetzt und wird verwendet, um zu speichern, ob der Benutzer der Verwendung von Cookies zugestimmt hat oder nicht. Es werden keine personenbezogenen Daten gespeichert.
Externer Datenschutz: https://www.berghof-process-control.com/de/datenschutzerklaerung
Titel: fe_typo_user
Anbieter: Berghof
Cookies:
Cookie Name: fe_typo_user
Dauer: Session
Beschreibung: Speichert den aktuellen Login-Status der Session.
Externer Datenschutz: https://www.berghof-process-control.com/de/datenschutzerklaerung

Marketing und Statistik

Marketing und Statistik Cookies werden verwendet, um anonymes Tracking zu aktivieren. Hierbei werden können anonymisierte Daten an eventuelle Drittanbieter weitergeleitet.

Cookie Informationen anzeigen

Titel: Google Tag Manager & Analytics
Anbieter: Google Ireland Limited
Beschreibung: Dieses Google Analytics Cookie wird verwendet, um die Nutzer bei der Erfassung von Informationen über ihre Seitenaufrufe zu unterscheiden. Es sammelt Informationen für Besucherstatistiken.
Cookies:
Cookie Name: _ga
Dauer: 1 Jahr
Beschreibung:
Cookie Name: _gcl_au
Dauer: 4 Monate
Beschreibung:
Cookie Name: _gid
Dauer: 1 Tag
Beschreibung:
Cookie Name: _gat_gtag_{Property ID}
Dauer: 1 Tag
Beschreibung:
Externer Datenschutz: https://policies.google.com/privacy?hl=de
Externer Anbieter: google.de
Impressum Datenschutz