Der Cyber Resilience Act (CRA) ist eine neue EU-Verordnung, die verbindliche Sicherheitsstandards für Produkte mit digitalen Elementen festlegt. Wir erklären, welche Anforderungen an die Cybersicherheit Hersteller, Importeure und Händler gewährleisten müssen, um Produkte in der EU in Verkehr bringen zu dürfen.
In aller Kürze
- Der Cyber Resilience Act (CRA) ist eine EU-Verordnung und greift damit direkt in allen Mitgliedsstaaten, ohne dass es einer Umsetzung in nationale Gesetze bedarf.
- Der CRA ist am 11. Dezember 2024 in Kraft getreten. Ab 11. Dezember 2027 sind bei neuen Produkten alle Anforderungen des CRA einzuhalten. Bereits ab dem 11. September 2026 müssen Schwachstellen und Sicherheitsvorfälle gemeldet werden.
- Um die Cybersicherheit von Soft- und Hardware zu gewährleisten, müssen Hersteller Risiken bewerten, Schwachstellen beheben und Sicherheitsupdates über feste Zeiträume bereitstellen.
- Die Umsetzung der CRA-Vorgaben dürfte bei zahlreichen Unternehmen erhebliche Umstellungen bei Support und Wartung erfordern.
Was ist der Cyber Resilience Act?
Der CRA schafft EU-weite einheitliche Standards für die Cybersicherheit von Hardware und Software. Ziel ist es, Sicherheitsrisiken zu minimieren und Netz- und Informationssysteme, Verbraucher sowie Unternehmen zu schützen.
Anforderungen gelten für alle Produkte mit digitalen Elementen. Darunter fallen alle Software- oder Hardwareprodukte sowie deren Datenfernverarbeitungen, die zwar nicht direkt bei der Soft- der Hardware stattfinden, aber ohne die das Produkt seine Funktion nicht erfüllen könnte, wie z.B. ein Identifikationsmanagementsystem, welches einen Abgleich mit einer Datenbank vornimmt oder ein virtueller Assistent, der Anfragen zur Bearbeitung an einen Server weiterleitet. Konkret gehören zu den Produkten z.B. Smartphones, Laptops, Smarthome-Produkte, Smartwatches, vernetztes Spielzeug, Mikroprozessoren, Firewalls, Buchhaltungssoftware, Computerspiele und mobile Apps.
Vom Anwendungsbereich des CRA ausgenommen sind bestimmte Medizinprodukte, Luftfahrttechnik und die meisten Automotive-Produkte.
Der CRA gliedert betroffene Produkte in Kategorien:
- wichtige Produkte – Klasse I;
- wichtige Produkte – Klasse II;
- kritische Produkte.
Zu den wichtigen Produkten (Anhang III CRA) in Klasse I zählen etwa Identitätsmanagementsysteme, Zugangskontrollgeräte, Passwortmanager, Betriebssysteme sowie Produkte für die intelligente häusliche Umgebung mit Sicherheitsfunktionen wie Türschlössern oder Kameras.
In Klasse II finden sich Hypervisoren und Container-Runtime-Systeme, sowie manipulationssichere Mikroprozessoren und -controller.
Kritische Produkte (Anhang IV CRA) umfassen Hardwaregeräte mit Sicherheitsboxen, Chipkarten oder ähnliche Geräte, einschließlich Sicherheitselemente. Für kritische Produkte kann eine europäische Cybersicherheitszertifizierung vorgeschrieben werden (vgl. Art 8 Abs. 1 CRA).
Tipp: Wir empfehlen eine sofortige Klassifizierung aller Produkte nach den CRA-Produktkategorien, um frühzeitig den passenden Konformitätsweg und den damit verbundenen Prüfaufwand planen zu können.
Wer ist vom CRA betroffen?
Der CRA richtet sich einerseits an Hersteller. Sie müssen dafür sorgen, dass Produkte und ihre eigenen Verfahren bestimmte Anforderungen erfüllen. Darüber hinaus müssen sie unter anderem technische Dokumentationen und Konformitätserklärungen erstellen sowie CE-Kennzeichnungen auf ihren Produkten anbringen.
Neben Herstellern verpflichtet der CRA auch Importeure und Händler. Sie dürfen Produkte mit digitalen Elementen nur in den Verkehr bringen, wenn diese und die vom Hersteller festgelegten Verfahren den Cybersicherheitsanforderungen genügen.
Zentrale Anforderungen des CRA
Hersteller müssen Sicherheitsmaßnahmen bereits in der Entwicklungsphase umsetzen (Security by Design), Schwachstellen kontinuierlich beheben und Sicherheitsupdates über mindestens fünf Jahre bereitstellen. Zudem gelten umfangreiche Dokumentations- und Meldepflichten. Zentrale Anforderung ist eine Bewertung der Cybersicherheitsrisiken und deren Berücksichtigung in allen Phasen des Lebenszyklus des Produkts. So sollen Risiken minimiert und Sicherheitsvorfälle verhindert werden. Konkret bedeutet das, dass Bedrohungs- und Risikoanalysen frühzeitig durchgeführt sowie Maßnahmen, wie Authentifizierungs-, Zugriffskontroll- und Verschlüsselungsfunktionen von Anfang berücksichtigt werden müssen. Die Bewertung ist zu dokumentieren und muss eine Beschreibung enthalten, welche Sicherheitsanforderungen auf welche Weise für das Produkt umgesetzt wurden.
Schwachstellenmanagement
Hersteller sind verpflichtet, Schwachstellen während der erwarteten Nutzungsdauer eines Produkts und über den Zeitraum des gesamten Supports wirksam zu beheben. Die Supportdauer muss angemessen sein und beträgt mindestens 5 Jahre, sofern die normale Nutzungsdauer des Produkts nicht kürzer ist. Dieser Zeitraum ist in der technischen Dokumentation zu vermerken.
Schwachstellen sind kontinuierlich zu analysieren, zu dokumentieren und durch Sicherheitsupdates zu beheben. Der CRA verlangt dabei nicht nur ein Schwachstellenmanagement, sondern ebenso ein koordiniertes Offenlegungsverfahren gegenüber der nationalen Aufsichtsbehörde.
Achtung: Beachten Sie bei sicherheitsrelevanten Vorfällen die in Art. 14 CRA festgelegte Meldepflicht. Aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle sind innerhalb der vorgesehenen Fristen an das zuständige nationale Computer Security Incident Response Team (CSIRT/CERT) und ENISA zu melden.
Technische Dokumentation
Bevor Produkte auf dem Markt angeboten werden, muss eine umfangreiche technische Dokumentation erstellt und laufend aktualisiert werden. Dazu gehören unter anderem die Beschreibung der Systemarchitektur, festgelegte Verfahren zur Behebung von Schwachstellen sowie eine Kontaktadresse für etwaige Meldungen (Anhang VII CRA).
Zudem sind klare Sicherheits- und Nutzungshinweise für Verbraucher bereitzustellen (Anhang II CRA).
Tipp: Etablieren Sie eine zentrale Plattform für die Sicherheitsdokumentation, weil dadurch wiederkehrende Anfragen deutlich effizienter bearbeitet werden können.
Konformität der Produkte
Ebenso muss vor dem Inverkehrbringen der Produkte eine Konformitätsbewertung nach Art. 32 CRA stattgefunden haben. Auf deren Grundlage wird eine EU-Konformitätserklärung nach den speziellen Vorgaben in Anhang V CRA erstellt. Insbesondere muss sie in jeder Sprache abgefasst werden, die der Mitgliedsstaat vorschreibt, in der das Produkt auf den Markt gebracht werden soll. Eine Kopie dieser Konformitätserklärung oder eine vereinfachte Konformitätserklärung (Anhang VI) muss dem Produkt beigelegt werden.
Darüber hinaus gibt es im CRA – wie im Barrierefreiheitsstärkungsgesetz (BFSG) – eine Konformitätsvermutung, wenn ein Produkt eine harmonisierte, europäische Norm erfüllt und soweit diese Norm die Anforderungen des CRA abdecken. Diese Normen werden noch ausgearbeitet.
Kleine Unternehmen sollen durch die Mitgliedsstaaten bei der Umsetzung der Verordnung besonders unterstützt werden. Über die Kommission und die Mitgliedsstaaten soll es dafür Leitlinien und Helpdesks sowie Reallabore für Cyberresilienz geben.
Umsetzung in Deutschland und weitere Verordnungen
Mit der Technischen Richtlinie TR-03183 bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) als zuständige Aufsichtsbehörde in Deutschland Herstellern digitaler Produkte eine Orientierungshilfe, um die Anforderungen des CRA besser umsetzen zu können. Außerdem hat die Kommission bereits die ersten Durchführungsrechtsakte und delegierten Verordnungen zum CRA veröffentlicht. In der Verordnung (EU) 2025/2392 erfolgen technische Beschreibungen der Kategorien wichtiger und kritischer Produkte mit digitalen Elementen, die eine Klassifizierung vereinfachen.
Sanktionen
Verstöße gegen den Cyber Resilience Act im Bereich der Pflichten für Hersteller oder der Meldung von Schwachstellen und Sicherheitsvorfällen können mit Bußgeldern von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes geahndet werden, je nachdem, welcher Betrag höher ist (Art. 64 CRA).
Verstöße gegen Pflichten anderer Wirtschaftsakteure oder den Anforderungen an die EU-Konformitätserklärungen können mit 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes geahndet werden.
Wenn gegenüber der Marktüberwachungsbehörde falsche, unvollständige oder irreführende Angaben gemacht werden, kann das zu Bußgeldern von bis zu 5 Millionen Euro oder 1% des gesamten weltweiten Jahresumsatzes führen.
Die zuständige Marktüberwachungsbehörde für den CRA ist das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Fristen zur Umsetzung des CRA
- September 2026: Beginn der Meldepflichten
- Dezember 2027: Vollständige Umsetzung aller CRA-Anforderungen
Fazit und Handlungsempfehlung
Die Vorgaben des Cyber Resilience Acts sind nicht nur umfassend, sie dürften auch das bisherige Vorgehen bei Support und Sicherheitsupdates vieler Hersteller merklich ändern. Deswegen ist eine frühzeitige Anpassung von Prozessen und Dokumentationen dringend geraten. Es müssen sowohl technische als auch prozessuale Maßnahmen ergriffen werden.
Für die Produktklassifizierung, Gap-Analyse, priorisierte Roadmaps, Etablierung von zentralen Meldewegen und zugänglichen Dokumentationen lohnt es sich, auf spezialisierte Softwarelösungen und die Beratung von Compliance-Experten mit Cybersicherheits-Expertise zurückzugreifen, um hier einen zukunftsfähigen und skalierbaren Weg einzuschlagen.