Mehr Sicherheit für digitale Produkte in Europa
Mit dem Cyber Resilience Act (CRA) schafft die Europäische Union erstmals ein einheitliches Sicherheitsniveau für Produkte mit digitalen Elementen. Ziel ist es, Hersteller stärker in die Verantwortung zu nehmen und Cyberrisiken bereits bei der Entwicklung zu minimieren.
Der Cyber Resilience Act betrifft nicht nur große Technologieunternehmen. Auch viele mittelständische Hersteller, Softwareentwickler, Importeure und Händler müssen künftig neue Anforderungen erfüllen.
Wer digitale Produkte innerhalb der EU entwickelt oder vertreibt, sollte sich frühzeitig mit den Vorgaben beschäftigen.
Was ist der Cyber Resilience Act?
Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die verbindliche Cybersecurity-Anforderungen für Produkte mit digitalen Elementen festlegt.
Dazu zählen unter anderem:
- Software
- Hardware
- IoT-Geräte (Internet of Things)
- Netzwerkkomponenten
- Industriesteuerungen
- Smart-Home-Produkte
- Cloud-verbundene Geräte
- Betriebssysteme
- Anwendungen und Apps
Ziel ist es, bereits während der Entwicklung („Security by Design“) ein hohes Sicherheitsniveau sicherzustellen und bekannte Schwachstellen während des gesamten Produktlebenszyklus zu beheben.
Warum wurde der Cyber Resilience Act eingeführt?
Viele Cyberangriffe nutzen bekannte Sicherheitslücken aus, für die bereits Updates verfügbar wären oder die bei der Entwicklung hätten vermieden werden können.
Bislang existierten innerhalb Europas unterschiedliche Sicherheitsstandards.
Der CRA soll deshalb:
- die Cybersicherheit digitaler Produkte erhöhen
- Verbraucher und Unternehmen besser schützen
- einheitliche Anforderungen innerhalb der EU schaffen
- Sicherheitsupdates verpflichtend machen
- Hersteller stärker in die Verantwortung nehmen
Dadurch soll das allgemeine Sicherheitsniveau digitaler Produkte langfristig steigen.
Welche Unternehmen sind betroffen?
Der Cyber Resilience Act betrifft grundsätzlich alle Unternehmen, die Produkte mit digitalen Elementen auf dem europäischen Markt bereitstellen.
Dazu gehören insbesondere:
- Softwarehersteller
- Hardwarehersteller
- IoT-Hersteller
- Maschinenbauer mit vernetzter Technik
- Hersteller von Medizintechnik
- Anbieter industrieller Steuerungssysteme
- Cloud-nahe Softwareanbieter
- Importeure
- Händler
- Distributoren
Auch kleine und mittlere Unternehmen (KMU) können betroffen sein.
Welche Anforderungen stellt der CRA?
Der Cyber Resilience Act fordert unter anderem:
Security by Design
Sicherheitsanforderungen müssen bereits während der Produktentwicklung berücksichtigt werden.
Security by Default
Produkte sollen bereits im Auslieferungszustand möglichst sicher konfiguriert sein.
Schwachstellenmanagement
Hersteller müssen Sicherheitslücken systematisch erfassen, bewerten und beheben.
Sicherheitsupdates
Während des vorgesehenen Produktlebenszyklus müssen notwendige Updates bereitgestellt werden.
Dokumentation
Die Einhaltung der Sicherheitsanforderungen muss nachvollziehbar dokumentiert werden.
Risikobewertung
Für jedes Produkt muss eine Cyber-Risikoanalyse durchgeführt werden.
Meldepflichten
Aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle müssen innerhalb der vorgeschriebenen Fristen an die zuständigen Behörden gemeldet werden.
Welche Produkte gelten als besonders kritisch?
Für bestimmte Produktgruppen gelten strengere Anforderungen.
Dazu gehören beispielsweise:
- Firewalls
- Netzwerkgeräte
- Betriebssysteme
- Identitätsmanagement-Systeme
- VPN-Lösungen
- Industrielle Steuerungssysteme
- Sicherheitssoftware
Für diese Produkte können zusätzliche Konformitätsbewertungen erforderlich sein.
Welche Vorteile bringt der Cyber Resilience Act?
Der CRA schafft nicht nur neue Pflichten.
Unternehmen profitieren auch von:
- höherer Produktsicherheit
- mehr Vertrauen bei Kunden
- geringeren Cyberrisiken
- einheitlichen EU-Regeln
- besserer Wettbewerbsfähigkeit
- höherer Transparenz über Sicherheitsprozesse
Cybersecurity wird dadurch zu einem echten Qualitätsmerkmal.
Zusammenhang mit NIS2 und ISO 27001
Der Cyber Resilience Act ergänzt bestehende Regelwerke.
Während
- NIS2 Unternehmen zum Schutz ihrer IT-Infrastruktur verpflichtet,
- ISO 27001 Anforderungen an Informationssicherheits-Managementsysteme definiert,
konzentriert sich der CRA auf die Sicherheit der Produkte selbst.
Gemeinsam bilden diese Regelwerke einen wichtigen Bestandteil der europäischen Cybersecurity-Strategie.
Was sollten Unternehmen jetzt tun?
Auch wenn viele Anforderungen schrittweise wirksam werden, lohnt sich eine frühzeitige Vorbereitung.
Empfehlenswert sind unter anderem:
- Entwicklung sicherer Softwareprozesse
- Einführung eines Vulnerability-Managements
- Aufbau eines Patch-Managements
- Dokumentation der Entwicklungsprozesse
- Durchführung von Risikoanalysen
- Prüfung bestehender Produkte auf CRA-Konformität
- Schulung von Entwicklungs- und Sicherheitsteams
Eine frühzeitige Umsetzung reduziert spätere Anpassungsaufwände erheblich.
Fazit
Der Cyber Resilience Act verändert die Anforderungen an digitale Produkte in Europa grundlegend. Hersteller und Anbieter müssen Sicherheit künftig über den gesamten Produktlebenszyklus hinweg nachweisen und kontinuierlich gewährleisten.
Unternehmen, die sich frühzeitig mit den neuen Vorgaben auseinandersetzen, erfüllen nicht nur gesetzliche Anforderungen, sondern stärken auch das Vertrauen ihrer Kunden und erhöhen die Qualität ihrer Produkte. Cybersecurity wird damit zu einem festen Bestandteil moderner Produktentwicklung und zu einem entscheidenden Wettbewerbsvorteil.
Quellen
Für den Artikel kannst du folgende seriöse Quellen angeben:
- Europäische Union: Verordnung (EU) 2024/2847 – Cyber Resilience Act (CRA) (Amtsblatt der Europäischen Union)
- Europäische Kommission: Cyber Resilience Act – https://digital-strategy.ec.europa.eu/
- Bundesamt für Sicherheit in der Informationstechnik (BSI): https://www.bsi.bund.de
- ENISA – European Union Agency for Cybersecurity: https://www.enisa.europa.eu
- EUR-Lex – EU-Rechtsdatenbank: https://eur-lex.europa.eu


