Der European Cyber Resilience Act (CRA): Was Unternehmen wissen müssen
Letztes Update: 06.01.2025
Die Anzahl und Komplexität von Cyberangriffen nimmt weltweit zu – eine Bedrohung, die insbesondere kleine und mittelständische Unternehmen (KMU) ernst nehmen müssen. Oft sind KMUs aufgrund begrenzter Ressourcen besonders gefährdet. Der Cyber Resilience Act (CRA) der EU, der im Oktober 2024 verabschiedet wurde, stellt eine wegweisende neue Regelung dar, die Unternehmen bei der Bekämpfung von Cyberrisiken unterstützt. Er verpflichtet Hersteller von digitalen Produkten und Systemen, Cybersicherheitsstandards einzuhalten – und das über den gesamten Lebenszyklus ihrer Produkte hinweg.
Was ist der Cyber Resilience Act?
Der Cyber Resilience Act ist eine EU-weite Verordnung, die darauf abzielt, den Cyberschutz für digitale Produkte zu stärken, indem verbindliche Sicherheitsstandards für Hardware- und Softwareprodukte festgelegt werden. Die Verordnung ist direkt anwendbar, das bedeutet, dass sie in allen Mitgliedstaaten der EU ohne nationale Umsetzungsgesetze wirksam wird.
Laut der Verordnung geht es vor allem darum, sicherzustellen, dass digitale Produkte über ihren gesamten Lebenszyklus hinweg sicher gestaltet, entwickelt und gewartet werden. Dies bedeutet nicht nur, dass Sicherheitslücken während der Entwicklung vermieden werden, sondern auch, dass kontinuierlich Sicherheitsupdates bereitgestellt werden müssen, um neu auftretende Schwachstellen zu beheben.
Hinweis: Dieser Beitrag ersetzt keine Rechts- oder Produktzertifizierungsberatung und bietet lediglich eine allgemeine Orientierung für KMU- und Produktverantwortliche.
Wer ist vom Cyber Resilience Act betroffen und wer nicht?
Der Cyber Resilience Act betrifft alle Unternehmen, die Produkte mit „digitalen Elementen" in der EU vertreiben.
Im Cyber Resilience Act werden „Produkte mit digitalen Elementen" als Produkte definiert, die sich mit einem Gerät oder Netzwerk verbinden lassen. Dazu zählen sowohl Hardwareprodukte mit vernetzten Funktionen als auch reine Softwareprodukte.
Beispiele für betroffene Produkte
Endgeräte: Laptops, Smartphones, Router, Sensoren, Kameras, industrielle Steuerungssysteme
Software: Betriebssysteme, Firmware, mobile Apps, Desktop-Anwendungen, Videospiele
Komponenten: Prozessoren, Grafikkarten, Softwarebibliotheken
Wer ist nicht vom Cyber Resilience Act betroffen?
Der Cyber Resilience Act findet keine Anwendung auf bestimmte Hard- und Softwareprodukte, die speziellen branchenspezifischen Regelungen unterliegen. Dazu zählen etwa:
- ●Medizinprodukte, die den Verordnungen (EU) 2017/745 und (EU) 2017/746 unterliegen
- ●Typgenehmigungen für Fahrzeuge nach der Verordnung (EU) 2019/2144
- ●Produkte im Bereich der Zivilluftfahrt und Flugsicherheit gemäß der Verordnung (EU) 2018/1139
Auch reine Cloud-Dienste, die als Software-as-a-Service (SaaS) ohne physische Komponenten angeboten werden, fallen nicht unter den Geltungsbereich des CRA.
Warum der CRA so relevant ist: Ein praxisnahes Fallbeispiel
Stellen Sie sich ein mittelständisches Unternehmen vor, das ein IoT-Produkt entwickelt hat, das die Temperatur und Feuchtigkeit in Lagerhäusern misst. Diese Daten werden zusätzlich in eine Cloud gesendet, um die Qualität der gelagerten Produkte zu überwachen. Eine Sicherheitslücke in der Cloud-Kommunikation wird übersehen, und ein Cyberkrimineller nutzt diese Schwachstelle aus. Er manipuliert die übermittelten Daten, sodass die Temperatur- und Feuchtigkeitswerte falsch angezeigt werden. Die gelagerten Waren verderben, ohne dass das Unternehmen rechtzeitig eingreifen kann.
Doch der Angriff geht noch weiter: Der Hacker nutzt das IoT-Gerät, um in die IT-Infrastruktur des Unternehmens einzudringen, stiehlt sensible Daten und installiert Ransomware. Das Unternehmen steht nicht nur vor verdorbenen Waren, sondern auch vor verschlüsselten Systemen und hohen Lösegeldforderungen.
Was bedeutet das für KMU?
Schutzmaßnahmen und Updates
Für KMUs bringt der Cyber Resilience Act neue Pflichten, bietet aber auch Chancen. Auch Kleinstunternehmen, kleine Unternehmen und Start-ups müssen alle Anforderungen des Cyber Resilience Act erfüllen, jedoch profitieren sie von Erleichterungen und Unterstützung:
- ●Vereinfachte technische Dokumentationen
- ●Reduzierte Kosten für Konformitätsbewertungen
- ●Spezielle Schulungs- und Sensibilisierungsmaßnahmen
Cybersicherheitsanforderungen als Verkaufsargument
Sicherheitsanforderungen mögen auf den ersten Blick wie eine Belastung erscheinen. Doch Unternehmen, die den Cyber Resilience Act proaktiv umsetzen, können dies auch als wichtiges Verkaufsargument nutzen. In einer Zeit, in der Cyberangriffe immer häufiger werden, legen viele Kunden großen Wert auf die Sicherheit der Produkte, die sie erwerben.
CE-Kennzeichnung, Überwachung und Strafen
Die CE-Kennzeichnung wird in Zukunft ein Zeichen dafür sein, dass ein Produkt den Anforderungen des CRA entspricht. Produkte, die den Anforderungen des CRA nicht entsprechen, erhalten in Zukunft keine CE-Kennzeichnung mehr und dürfen in der EU nicht mehr vermarktet werden.
Zeitschiene
- 23.Oktober 2024: Verabschiedung des CRA
Verabschiedung des CRA durch den Europäischen Rat.
- 11.Dezember 2024: CRA tritt in Kraft
ab 11. Juni 2026: Konformitätsbewertungsstellen vorhanden
ab 11. September 2026: Meldepflicht in Kraft
- ●Meldepflicht für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle
- ●Frühwarnung muss innerhalb von 24 Stunden erfolgen, detaillierte Meldung innerhalb von 72 Stunden
- ●Diese Meldepflichten betreffen alle Produkte, auch diese, die vor 11. Dezember 2027 erstmalig in Verkehr gebracht wurden
ab 11. Dezember 2027: CRA Anforderungen umgesetzt
Alle Anforderungen des CRA gelten für:
- 1.Produkte, die ab dem 11. Dezember 2027 erstmalig in Verkehr gebracht werden
- 2.Bereits in Verkehr gebrachte Produkte, sofern sie nach dem 11. Dezember 2027 eine wesentliche Änderung erfahren
Was sollten Unternehmen jetzt tun?
Unternehmen sollten sofort damit beginnen, sich auf die Anforderungen des Cyber Resilience Act vorzubereiten und ihre Produkte und internen Prozesse anpassen. Der erste und wichtigste Schritt besteht darin, ein klares Verständnis der Risiken ihrer Produkte zu entwickeln, um potenzielle Schwachstellen frühzeitig zu identifizieren und zu adressieren.
Produktklassifizierung und Konformitätsbewertung
Die Konformitätsbewertung der Produkte variiert je nach deren Klassifizierung. Produkte werden entweder als „Standardprodukte" oder, bei höherem Cybersicherheitsrisiko, als „wichtige" und „kritische" Produkte eingestuft.
Security by Design – Der Weg zum sicheren Produkt
Security by Design muss fest in den Entwicklungsprozess integriert werden, um sicherzustellen, dass Produkte bereits beim Design sicher sind.
Konkrete Maßnahmen:
• Risikobewertung und Sicherheitsmaßnahmen
Umfassende Risikobewertungen für alle bestehenden und zukünftigen Produkte durchführen.
• Berücksichtigung der Produktklassifizierung
Produkte gemäß der CRA-Klassifizierung einordnen und entsprechende Konformitätsbewertungsverfahren anwenden.
• Sicherheitsupdates und Produktlebenszyklus
Robustes System zur Bereitstellung regelmäßiger Sicherheitsupdates entwickeln.
• Transparenz und Kommunikation
Kunden transparent über die Cybersicherheitsmaßnahmen informieren.
• Schulung der Mitarbeiter
Mitarbeiter im Bereich Cybersicherheit schulen.
• Dokumentation und Berichterstattung
Alle Cybersicherheitsmaßnahmen sorgfältig dokumentieren.
Häufige Fehler im Umgang mit dem CRA
- ●Produktbegriff zu eng fassen: Viele Unternehmen unterschätzen, wie weit „Produkte mit digitalen Elementen“ reichen – auch einfache vernetzte Geräte oder Softwarekomponenten können betroffen sein.
- ●Annahme „Wir machen nur Software-as-a-Service“: Reine SaaS-Angebote können zwar außerhalb des direkten Geltungsbereichs liegen, dennoch gelten häufig indirekte Anforderungen über Kunden, Lieferketten und andere Regularien.
- ●Zu spät starten: Security-by-Design-Anforderungen lassen sich kurz vor Markteintritt nur schwer nachrüsten – frühe Berücksichtigung im Entwicklungsprozess ist entscheidend.
- ●Nur formale CE-Sicht: Der Fokus liegt ausschließlich auf Dokumentation und Kennzeichnung, während praktische Sicherheitsmaßnahmen (z. B. Update-Prozesse, Schwachstellenmanagement) zu kurz kommen.
- ●Security als Add-on statt als Produktmerkmal: Sicherheitsanforderungen werden als Last gesehen, nicht als Qualitäts- und Verkaufsargument – dadurch verschenken Unternehmen Differenzierungspotenzial.
Fazit: Jetzt handeln!
Der Cyber Resilience Act stellt KMUs vor neue Herausforderungen, doch er bietet gleichzeitig klare Chancen. Unternehmen, die die Sicherheitsanforderungen frühzeitig umsetzen, verbessern nicht nur ihre eigene Widerstandsfähigkeit gegenüber Cyberbedrohungen, sondern können dies auch als Verkaufsargument nutzen.
Jetzt ist der Zeitpunkt, sich auf den Cyber Resilience Act vorzubereiten und die Sicherheitsanforderungen zu erfüllen – nicht nur, um rechtlichen Verpflichtungen nachzukommen, sondern um Ihr Unternehmen und Ihre Produkte zukunftssicher zu machen.
Weiterführende Informationen: Weitere Details zu den Anforderungen und Empfehlungen finden Sie in den BSI-Richtlinien zur Cyberresilienz.
Artikel teilen
Helfen Sie anderen und teilen Sie diesen Artikel
Ähnliche Artikel
Vertiefen Sie Ihr Wissen mit diesen empfohlenen Artikeln
Cybersecurity 2025: Trends, Herausforderungen und Strategien
Cybersecurity 2025 bringt neue Herausforderungen: Zero Trust, KI-Bedrohungen, NIS2/DORA-Compliance und verstärkte Angriffe auf KMU. Erfahren Sie, wie Sie Ihr Unternehmen für die kommenden Cyber-Bedrohungen wappnen.
ISO 27001: Leitfaden zur Informationssicherheit
ISO 27001 bietet Unternehmen einen strukturierten Rahmen zur Sicherung von Informationen, Minimierung von Risiken und Steigerung des Kundenvertrauens. Ein umfassender Leitfaden zur internationalen Norm für Informationssicherheitsmanagement.
Kontakt aufnehmen
Lassen Sie uns über Ihre IT-Sicherheit sprechen. Wir melden uns innerhalb von 24 Stunden bei Ihnen.