Der EU Cyber Resilience Act (CRA): Sicherheit wird Pflicht

Das Wichtigste in Kürze 

• Ziel des CRA: Verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen, um Schwachstellen zu reduzieren. 

• Geltungsbereich: Hardware- und Softwareprodukte, die direkt oder indirekt mit einem Netzwerk verbunden sind. 

• Klassifizierung: Produkte werden, basierend auf ihrer Kritikalität, in verschiedene Kategorien eingeteilt, was unterschiedliche Sicherheitsanforderungen bedingt. 

• Verpflichtungen der Hersteller: Implementierung von „Security by Design“ und „Security by Default“ sowie Bereitstellung von Sicherheitsupdates für die gesamte Lebensdauer des Produkts. 

Einführung in den Cyber Resilience Act (CRA) 

Unsichere Software, ungeschützte Netzwerke und mangelhaft gewartete Systeme bergen erhebliche Risiken für Unternehmen sowie Verbraucher:innen. Kontinuierliche Digitalisierung und Vernetzung von IT-Systemen führt zu wachsendem Bedarf an robusten Sicherheitsvorkehrungen. Innovative Technologien steigern zwar die Effizienz und den Komfort, vergrößern jedoch gleichzeitig die Angriffsflächen für Cyberbedrohungen. Allein 2023 beliefen sich die wirtschaftlichen Schäden durch Cyberangriffe auf europäische Unternehmen auf mehrere Milliarden Euro – durch Produktionsausfälle, Erpressung, Datenverlust oder Vertrauensverlust.

Genau hier setzt der Cyber Resilience Act (CRA) der Europäischen Union an und schafft Cybersicherheitsstandards, um digitale Produkte sicherer zu machen und langfristig die Resilienz der digitalen Wirtschaft zu stärken. 

Was ist der Cyber Resilience Act? 

Der Cyber Resilience Act wurde von der Europäischen Union verabschiedet, um die Cybersicherheit von Produkten mit digitalen Komponenten zu verbessern. Der CRA ist Teil der EU 2020 Cybersecurity Strategy, die Maßnahmen zur Stärkung der digitalen Sicherheit in der gesamten EU vorsieht. Die Verordnung trat am 11. Dezember 2024 in Kraft, nachdem sie am 10. Oktober 2024 angenommen worden war. Hersteller und andere Wirtschaftsakteure müssen sich ab dem 11. Dezember 2027 an die meisten Verpflichtungen halten. 

Bei dem CRA handelt es sich um ein EU-Cybersicherheitsgesetz, das ein hohes Maß an Sicherheit für Produkte mit digitalen Elementen gewährleisten soll. Dies umfasst sowohl Hardware als auch Software, die direkt oder indirekt mit einem Netzwerk verbunden sind. Ziel ist, Sicherheitslücken zu minimieren und sicherzustellen, dass Hersteller während des gesamten Lebenszyklus des Produkts für die Cybersicherheit verantwortlich sind.  

Viele Produkte weisen Sicherheitslücken auf, die von Angreifer:innen ausgenutzt werden können, was erhebliche wirtschaftliche Schäden verursacht. Der CRA soll diesen Risiken entgegenstehen, indem er verbindliche Sicherheitsstandards festlegt, um so das Vertrauen in digitale Produkte zu stärken. 

Wer ist betroffen? 

Die Verordnung richtet sich an Unternehmen, die digitale Produkte im europäischen Raum herstellen, importieren, vertreiben oder entsprechende Dienstleistungen anbieten.

Betroffen sind Produkte mit digitalen Elementen, die eine Datenverbindung zu einem Gerät oder Netzwerk benötigen. Dazu gehören sowohl Software- als auch Hardwareprodukte sowie deren Datenfernverarbeitungslösungen und einzelne Komponenten – etwa smarte Haushaltgeräte, vernetzte Industriesteuerungen oder digitale Gesundheitsgeräte. Der CRA gilt für neue Produkte sowie solche, die bereits auf dem Markt sind. Ausnahmen bestehen für öffentliche Behörden, bestimmte regulierte Produkte und Open-Source-Software. 

Die Rolle des CRA in der EU-Strategie für Cybersicherheit 

Der CRA ist ein wesentlicher Bestandteil der EU-Cybersicherheitsstrategie und ergänzt bestehende Initiativen wie die NIS2-Richtlinie, die Anforderungen an die Netz- und Informationssicherheit festlegt – eine kompakte Übersicht der zentralen Punkte finden Sie auch in dem EFS Insights zu NIS2. Während die DSGVO den Schutz personenbezogener Daten behandelt, konzentriert sich der CRA auf die Sicherheit der Produkte selbst. Gemeinsam fördern sie einen sicheren digitalen Binnenmarkt und führen zur Harmonisierung der Sicherheitsanforderungen für digitale Produkte in der EU. 

Chancen und Risiken der Cyberresilienz-Verordnung 

Der CRA ermöglicht die Einführung von einheitlichen Sicherheitsstandards, die zu einem höherem Sicherheitsniveau führen. Allerdings können erhöhte Anforderungen auch zu höheren Kosten für Hersteller führen, insbesondere für kleine und mittlere Unternehmen (KMU). Unternehmen müssen daher ein Gleichgewicht zwischen Sicherheit und wirtschaftlicher Machbarkeit finden. 

Kernpunkte des Cyber Resilience Act 

Die Regelung stellt klare Anforderungen an die Cybersicherheit digitaler Produkte innerhalb der EU. Sie betrifft Hersteller, Händler und Nutzer:innen – von der Produktentwicklung über die Kennzeichnung bis hin zur Nutzung. Die folgenden Kernpunkte geben einen Überblick zu den wichtigsten Regelungen und Pflichten.  

Anwendungsbereich des CRA 

Der CRA betrifft alle Produkte mit digitalen Komponenten, die direkt oder indirekt mit einem Netzwerk verbunden sind. Dazu gehören sowohl Hardware als auch Software sowie vernetzte Geräte (Internet of Things). Weiters unterscheidet der CRA auch zwischen verschiedenen Produktkategorien, um geeignete Software-Sicherheitsstandards zu gewährleisten. 

Klassifizierung der Produkte 

Produkte werden ihrem Risiko entsprechend in folgende Kategorien eingeteilt: 

• Standardkategorie (nicht kritisch): Festplatten, PC-Spiele etc. 
• Kritische Produkte (Klasse 1 & 2): Browser, Passwort-Manager, Firewalls, Router. 
• Hochkritische Produkte: Betriebssysteme, CPUs.  

Die Mehrheit (ca. 90%) der Produkte fällt in die Gruppe, die als „nicht kritisch“ klassifiziert sind. 

Sicherheitsanforderungen des CRA 

Anforderungen an Hersteller:

An folgende Anforderungen sind Hersteller gebunden: 

• Meldepflicht: Schwachstellen müssen innerhalb von 24h über die Plattform ENISA (European Union Agency for Cybersecurity) gemeldet werden. 
• Security by Design & Default: Produkte müssen von Anfang an sicher entwickelt werden. 
• Schwachstellenmanagement: Hersteller sind verpflichtet, regelmäßig IT-Sicherheitsupdates und Patches bereitzustellen. 

Anforderungen an Anbieter und Händler:

Händler müssen sicherstellen, dass folgende Anforderungen erfüllt sind: 

• Kennzeichnung der betroffenen Produkte mit dem CE-Zeichen. 
• Informieren des Herstellers über Schwachstellen in Produkten. 
• Vollständigkeit der Dokumente zu den Produkten, die vom Hersteller geliefert werden. 

Anforderungen an Nutzer:innen: 

Nutzer:innen sollten sich der Sicherheitsaspekte ihrer digitalen Produkte bewusst sein und verantwortungsvoll damit umgehen. Dazu gehört unter anderem das regelmäßige Einspielen von Sicherheitsupdates und ein sorgfältiger Umgang mit vernetzten Geräten. 

Compliance und Zertifizierungen 

Um die Umsetzung des CRA zu unterstützen, wird eine CE-Kennzeichnung für Cybersicherheit eingeführt. Ab Dezember 2027 dürfen in der EU nur Produkte mit dem CE-Kennzeichen vertrieben werden.  

Verstöße können zu hohen Strafen führen: 

• Bis zu 15 Mio. € oder 2,5 % des weltweiten Umsatzes für fehlende oder unrechtgemäße CE-Kennzeichnung. 

• Bis zu 5 Mio. € oder 1 % des weltweiten Umsatzes für falsche oder irreführende Angaben bei der Konformitätsprüfung. 

Bedeutung des CRA für Unternehmen 

Für Unternehmen bringt der CRA nicht nur Pflichten, sondern auch strategische Chancen. Wer frühzeitig reagiert, kann Sicherheit als Wettbewerbsvorteil nutzen. 

Herausforderungen für Unternehmen 

Unternehmen stehen Herausforderungen gegenüber, die die Einhaltung neuer Anforderungen erforderlich macht. Dazu zählen steigende Aufwände für Compliance, die Notwendigkeit zur Anpassung von Lieferketten und eine zunehmende Komplexität der Vorschriften. 

Vorteile des CRA für Unternehmen 

Der CRA bietet Unternehmen jedoch auch Chancen: Die Einhaltung strenger Sicherheitsstandards stärkt die IT-Sicherheit, verbessert das Markenimage und verschafft Unternehmen, die frühzeitig Compliance erreichen, einen Wettbewerbsvorteil. 

Auswirkungen auf Verbraucher 

Sicherheit und Transparenz für Nutzer 

Der CRA soll die Sicherheit digitaler Produkte verbessern, indem er verbindliche Cybersicherheitsstandards einführt. Dies stärkt das Vertrauen der Nutzer:innen in die Produkte. Durch höhere Transparenz über potenzielle Risiken können Nutzer:innen fundierte Entscheidungen treffen. Außerdem ist Sicherheit während des gesamten Lebenszyklus auch für Nutzer:innen ein Vorteil. 

Herausforderungen für Verbraucher 

Die neuen Anforderungen könnten dazu führen, dass die Preise für digitale Produkte steigen. Darüber hinaus müssen Verbraucher:innen in Zukunft darauf achten, ausschließlich CRA-konforme Produkte zu verwenden. 

Best Practices für Unternehmen zur Umsetzung des CRA 

Das Umsetzen vom CRA fordert gezielte organisatorische und technische Maßnahmen. Die Information Security Expert:innen bei EFS Consulting empfehlen folgende Best Practices, um regulatorische Anforderungen zu erfüllen und gleichzeitig die eigene Sicherheitsarchitektur zu stärken: 

1. Initiale GAP-Analyse & Reifegradbewertung: 

Bevor Maßnahmen umgesetzt werden, ist es entscheidend, den aktuellen Reifegrad der Cybersicherheit im Unternehmen zu bestimmen. Eine strukturierte GAP-Analyse schafft Transparenz über Handlungsbedarf und bildet die Basis für eine zielgerichtete Umsetzungsstrategie.  

2. Frühe Integration von Sicherheitskonzepten:  

Sicherheitsanforderungen sollten bereits in der Designphase berücksichtigt werden („Security by Design“). Dies umfasst die Risikoanalyse, Bedrohungsmodellierung und die Auswahl sicherer Technologien – über den gesamten Produktentwicklungszyklus. 

3. Regelmäßige Schwachstellenanalysen:  

Schwachstellen lassen sich durch automatisierte und manuelle Tests frühzeitig erkennen und beheben. Besonders effektiv sind regelmäßige Penetrationtests und Code Reviews, ergänzt durch ein zentrales Schwachstellenmanagement 

4. Strukturiertes Patch-Management:  

Standardisierte Prozesse sind essenziell, um Sicherheitsupdates und Patches zeitnah bereitstellen zu können. Das umfasst die Priorisierung kritischer Updates, Testverfahren und die automatisierte Verteilung an betroffene Systeme  

5. Verlässliches Melden von Sicherheitsvorfällen:  

Sicherheitsvorfälle müssen innerhalb von 24 Stunden an die zuständigen Stellen – z. B. über die ENISA-Plattform – gemeldet werden. Klare interne Meldeketten und vorbereitete Incident-Response-Pläne sind von äußerster Wichtigkeit für eine rasche Reaktion.  

Fazit 

Mit dem Cyber Resilience Act wird ein bedeutender Fortschritt in Richtung höherer Cybersicherheit in der EU erzielt. Das bringt für Unternehmen Herausforderungen und Chancen mit sich. Frühzeitige Auseinandersetzung mit den neuen Anforderungen ermöglicht nicht nur die Sicherstellung von Compliance, sondern auch die Erlangung langfristiger Wettbewerbsvorteile.  EFS Consulting unterstützt Unternehmen mit optimierten Lösungen dabei, die neuen Vorgaben effizient umzusetzen und ihre digitale Resilienz nachhaltig zu stärken! 

FAQs

Was ist der Cyber Resilience Act (CRA)?

Der Cyber Resilience Act ist ein EU-Gesetz, das Hersteller verpflichtet, sichere Hardware- und Softwareprodukte auf den Markt zu bringen und Sicherheitslücken während des gesamten Produktlebenszyklus zu beheben.

Was ist der Unterschied zwischen NIS2 und dem Cyber Resilience Act?

NIS2 betrifft die Cybersicherheit kritischer Infrastrukturen, während der CRA auf die Sicherheit von Produkten mit digitalen Elementen abzielt – insbesondere auf deren Design, Entwicklung und Wartung.

Welche Strafen drohen bei Verstößen gegen den CRA?

Bei Verstößen gegen den CRA drohen in der EU Bußgelder von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.