Cyber Resilience Act (CRA): Was Unternehmen jetzt wissen müssen

Mehr Sicherheit für digitale Produkte in Europa

Mit dem Cyber Resilience Act (CRA) schafft die Europäische Union erstmals ein einheitliches Sicherheitsniveau für Produkte mit digitalen Elementen. Ziel ist es, Hersteller stärker in die Verantwortung zu nehmen und Cyberrisiken bereits bei der Entwicklung zu minimieren.

Der Cyber Resilience Act betrifft nicht nur große Technologieunternehmen. Auch viele mittelständische Hersteller, Softwareentwickler, Importeure und Händler müssen künftig neue Anforderungen erfüllen.

Wer digitale Produkte innerhalb der EU entwickelt oder vertreibt, sollte sich frühzeitig mit den Vorgaben beschäftigen.


Was ist der Cyber Resilience Act?

Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die verbindliche Cybersecurity-Anforderungen für Produkte mit digitalen Elementen festlegt.

Dazu zählen unter anderem:

  • Software
  • Hardware
  • IoT-Geräte (Internet of Things)
  • Netzwerkkomponenten
  • Industriesteuerungen
  • Smart-Home-Produkte
  • Cloud-verbundene Geräte
  • Betriebssysteme
  • Anwendungen und Apps

Ziel ist es, bereits während der Entwicklung („Security by Design“) ein hohes Sicherheitsniveau sicherzustellen und bekannte Schwachstellen während des gesamten Produktlebenszyklus zu beheben.


Warum wurde der Cyber Resilience Act eingeführt?

Viele Cyberangriffe nutzen bekannte Sicherheitslücken aus, für die bereits Updates verfügbar wären oder die bei der Entwicklung hätten vermieden werden können.

Bislang existierten innerhalb Europas unterschiedliche Sicherheitsstandards.

Der CRA soll deshalb:

  • die Cybersicherheit digitaler Produkte erhöhen
  • Verbraucher und Unternehmen besser schützen
  • einheitliche Anforderungen innerhalb der EU schaffen
  • Sicherheitsupdates verpflichtend machen
  • Hersteller stärker in die Verantwortung nehmen

Dadurch soll das allgemeine Sicherheitsniveau digitaler Produkte langfristig steigen.


Welche Unternehmen sind betroffen?

Der Cyber Resilience Act betrifft grundsätzlich alle Unternehmen, die Produkte mit digitalen Elementen auf dem europäischen Markt bereitstellen.

Dazu gehören insbesondere:

  • Softwarehersteller
  • Hardwarehersteller
  • IoT-Hersteller
  • Maschinenbauer mit vernetzter Technik
  • Hersteller von Medizintechnik
  • Anbieter industrieller Steuerungssysteme
  • Cloud-nahe Softwareanbieter
  • Importeure
  • Händler
  • Distributoren

Auch kleine und mittlere Unternehmen (KMU) können betroffen sein.


Welche Anforderungen stellt der CRA?

Der Cyber Resilience Act fordert unter anderem:

Security by Design

Sicherheitsanforderungen müssen bereits während der Produktentwicklung berücksichtigt werden.

Security by Default

Produkte sollen bereits im Auslieferungszustand möglichst sicher konfiguriert sein.

Schwachstellenmanagement

Hersteller müssen Sicherheitslücken systematisch erfassen, bewerten und beheben.

Sicherheitsupdates

Während des vorgesehenen Produktlebenszyklus müssen notwendige Updates bereitgestellt werden.

Dokumentation

Die Einhaltung der Sicherheitsanforderungen muss nachvollziehbar dokumentiert werden.

Risikobewertung

Für jedes Produkt muss eine Cyber-Risikoanalyse durchgeführt werden.

Meldepflichten

Aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle müssen innerhalb der vorgeschriebenen Fristen an die zuständigen Behörden gemeldet werden.


Welche Produkte gelten als besonders kritisch?

Für bestimmte Produktgruppen gelten strengere Anforderungen.

Dazu gehören beispielsweise:

  • Firewalls
  • Netzwerkgeräte
  • Betriebssysteme
  • Identitätsmanagement-Systeme
  • VPN-Lösungen
  • Industrielle Steuerungssysteme
  • Sicherheitssoftware

Für diese Produkte können zusätzliche Konformitätsbewertungen erforderlich sein.


Welche Vorteile bringt der Cyber Resilience Act?

Der CRA schafft nicht nur neue Pflichten.

Unternehmen profitieren auch von:

  • höherer Produktsicherheit
  • mehr Vertrauen bei Kunden
  • geringeren Cyberrisiken
  • einheitlichen EU-Regeln
  • besserer Wettbewerbsfähigkeit
  • höherer Transparenz über Sicherheitsprozesse

Cybersecurity wird dadurch zu einem echten Qualitätsmerkmal.


Zusammenhang mit NIS2 und ISO 27001

Der Cyber Resilience Act ergänzt bestehende Regelwerke.

Während

  • NIS2 Unternehmen zum Schutz ihrer IT-Infrastruktur verpflichtet,
  • ISO 27001 Anforderungen an Informationssicherheits-Managementsysteme definiert,

konzentriert sich der CRA auf die Sicherheit der Produkte selbst.

Gemeinsam bilden diese Regelwerke einen wichtigen Bestandteil der europäischen Cybersecurity-Strategie.


Was sollten Unternehmen jetzt tun?

Auch wenn viele Anforderungen schrittweise wirksam werden, lohnt sich eine frühzeitige Vorbereitung.

Empfehlenswert sind unter anderem:

  • Entwicklung sicherer Softwareprozesse
  • Einführung eines Vulnerability-Managements
  • Aufbau eines Patch-Managements
  • Dokumentation der Entwicklungsprozesse
  • Durchführung von Risikoanalysen
  • Prüfung bestehender Produkte auf CRA-Konformität
  • Schulung von Entwicklungs- und Sicherheitsteams

Eine frühzeitige Umsetzung reduziert spätere Anpassungsaufwände erheblich.


Fazit

Der Cyber Resilience Act verändert die Anforderungen an digitale Produkte in Europa grundlegend. Hersteller und Anbieter müssen Sicherheit künftig über den gesamten Produktlebenszyklus hinweg nachweisen und kontinuierlich gewährleisten.

Unternehmen, die sich frühzeitig mit den neuen Vorgaben auseinandersetzen, erfüllen nicht nur gesetzliche Anforderungen, sondern stärken auch das Vertrauen ihrer Kunden und erhöhen die Qualität ihrer Produkte. Cybersecurity wird damit zu einem festen Bestandteil moderner Produktentwicklung und zu einem entscheidenden Wettbewerbsvorteil.

Quellen

Für den Artikel kannst du folgende seriöse Quellen angeben:

  • Europäische Union: Verordnung (EU) 2024/2847 – Cyber Resilience Act (CRA) (Amtsblatt der Europäischen Union)
  • Europäische Kommission: Cyber Resilience Act – https://digital-strategy.ec.europa.eu/
  • Bundesamt für Sicherheit in der Informationstechnik (BSI): https://www.bsi.bund.de
  • ENISA – European Union Agency for Cybersecurity: https://www.enisa.europa.eu
  • EUR-Lex – EU-Rechtsdatenbank: https://eur-lex.europa.eu