Letztes Update 06.01.2025
Die Anzahl und Komplexität von Cyberangriffen nimmt weltweit zu – eine Bedrohung, die insbesondere kleine und mittelständische Unternehmen (KMU) ernst nehmen müssen. Oft sind KMUs aufgrund begrenzter Ressourcen besonders gefährdet. Der Cyber Resilience Act (CRA) der EU, der im Oktober 2024 verabschiedet wurde, stellt eine wegweisende neue Regelung dar, die Unternehmen bei der Bekämpfung von Cyberrisiken unterstützt. Er verpflichtet Hersteller von digitalen Produkten und Systemen, Cybersicherheitsstandards einzuhalten – und das über den gesamten Lebenszyklus ihrer Produkte hinweg. Doch was bedeutet das für KMUs, und was sollten Geschäftsführer, die letztendlich die Verantwortung tragen, jetzt tun?
Was ist der Cyber Resilience Act?
Der Cyber Resilience Act ist eine EU-weite Verordnung, die darauf abzielt, den Cyberschutz für digitale Produkte zu stärken, indem verbindliche Sicherheitsstandards für Hardware- und Softwareprodukte festgelegt werden. Die Verordnung ist direkt anwendbar, das bedeutet, dass sie in allen Mitgliedstaaten der EU ohne nationale Umsetzungsgesetze wirksam wird. Unternehmen, die Produkte mit digitalen Elementen herstellen, importieren oder vertreiben, sind unmittelbar betroffen, sobald der Cyber Resilience Act in Kraft tritt.
Laut der Verordnung geht es vor allem darum, sicherzustellen, dass digitale Produkte über ihren gesamten Lebenszyklus hinweg sicher gestaltet, entwickelt und gewartet werden. Dies bedeutet nicht nur, dass Sicherheitslücken während der Entwicklung vermieden werden, sondern auch, dass kontinuierlich Sicherheitsupdates bereitgestellt werden müssen, um neu auftretende Schwachstellen zu beheben.
Wer ist vom Cyber Resilience Act betroffen und wer nicht?
Der Cyber Resilience Act betrifft alle Unternehmen, die Produkte mit "digitalen Elementen" in der EU vertreiben.
Im Cyber Resilience Act werden „Produkte mit digitalen Elementen“ als Produkte definiert, die sich mit einem Gerät oder Netzwerk verbinden lassen. Dazu zählen sowohl Hardwareprodukte mit vernetzten Funktionen als auch reine Softwareprodukte. Diese Produkte müssen über ihren gesamten Lebenszyklus hinweg sicher gestaltet, entwickelt und gewartet werden.
Beispiele für betroffene Produkte
-
- Endgeräte: Laptops, Smartphones, Router, Sensoren, Kameras, industrielle Steuerungssysteme.
- Software: Betriebssysteme, Firmware, mobile Apps, Desktop-Anwendungen, Videospiele.
- Komponenten: Prozessoren, Grafikkarten, Softwarebibliotheken.
Wer ist nicht vom Cyber Resilience Act betroffen?
Der Cyber Resilience Act findet keine Anwendung auf bestimmte Hard- und Softwareprodukte, die speziellen branchenspezifischen Regelungen unterliegen. Dazu zählen etwa Medizinprodukte, die den Verordnungen (EU) 2017/745 und (EU) 2017/746 unterliegen, Typgenehmigungen für Fahrzeuge nach der Verordnung (EU) 2019/2144 sowie Produkte im Bereich der Zivilluftfahrt und Flugsicherheit gemäß der Verordnung (EU) 2018/1139.
Auch reine Cloud-Dienste, die als Software-as-a-Service (SaaS) ohne physische Komponenten angeboten werden, fallen nicht unter den Geltungsbereich des CRA. Darüber hinaus sind Produkte, die speziell für militärische oder nationale Sicherheitszwecke oder zur Verarbeitung von Verschlusssachen entwickelt wurden, von der Regelung ausgenommen.
Warum der CRA so relevant ist: Ein praxisnahes Fallbeispiel
Stellen Sie sich ein mittelständisches Unternehmen vor, das ein IoT-Produkt entwickelt hat, das die Temperatur und Feuchtigkeit in Lagerhäusern misst. Diese Daten werden zusätzlich in eine Cloud gesendet, um die Qualität der gelagerten Produkte zu überwachen. Eine Sicherheitslücke in der Cloud-Kommunikation wird übersehen, und ein Cyberkrimineller nutzt diese Schwachstelle aus. Er manipuliert die übermittelten Daten, sodass die Temperatur- und Feuchtigkeitswerte falsch angezeigt werden. Die gelagerten Waren verderben, ohne dass das Unternehmen rechtzeitig eingreifen kann.
Doch der Angriff geht noch weiter: Der Hacker nutzt das IoT-Gerät, um in die IT-Infrastruktur des Unternehmens einzudringen, stiehlt sensible Daten und installiert Ransomware. Das Unternehmen steht nicht nur vor verdorbenen Waren, sondern auch vor verschlüsselten Systemen und hohen Lösegeldforderungen. Solche Szenarien sind nicht nur auf IoT-Geräte beschränkt – auch vernetzte Maschinen oder andere digitale Produkte könnten Ziel eines ähnlichen Angriffs werden.
Was bedeutet das für KMU?
Schutzmaßnahmen und Updates
Für KMUs bringt der Cyber Resilience Act neue Pflichten, bietet aber auch Chancen. Auch Kleinstunternehmen, kleine Unternehmen und Start-ups müssen alle Anforderungen des Cyber Resilience Act erfüllen, jedoch profitieren sie von Erleichterungen und Unterstützung. Dazu gehören:
- vereinfachte technische Dokumentationen
- reduzierte Kosten für Konformitätsbewertungen.
Darüber hinaus soll es es spezielle Schulungs- und Sensibilisierungsmaßnahmen geben, die ihnen helfen, die Anforderungen effizient umzusetzen. Regelmäßige Sicherheitsupdates und transparente Informationen für Kunden über die Sicherheitsmerkmale des Produkts bleiben zentrale Verpflichtungen. Durch diese Maßnahmen werden die Risiken frühzeitig erkannt und minimiert, was langfristig auch das Vertrauen der Kunden stärkt.
Ein weiterer Vorteil des Cyber Resilience Act ist, dass Unternehmen nun auf einheitliche, EU-weit gültige Standards setzen können. Dies erleichtert die Compliance erheblich.
Cybersicherheitsanforderungen als Verkaufsargument
Sicherheitsanforderungen mögen auf den ersten Blick wie eine Belastung erscheinen. Doch Unternehmen, die den Cyber Resilience Act proaktiv umsetzen, können dies auch als wichtiges Verkaufsargument nutzen. In einer Zeit, in der Cyberangriffe immer häufiger werden, legen viele Kunden großen Wert auf die Sicherheit der Produkte, die sie erwerben. Sicherheitsbewusste Käufer sind häufig bereit, für Produkte mehr zu zahlen, die nachweislich den neuesten Cybersicherheitsstandards entsprechen. KMUs, die in der Lage sind, diese Anforderungen zu erfüllen, können sich von billigen, aber möglicherweise unsicheren Produkten aus Nicht-EU-Ländern abheben und das Vertrauen ihrer Kunden langfristig stärken.
CE-Kennzeichnung, Überwachung und Strafen
Kleinstunternehmen und KMUs müssen, trotz Erleichterungen, alle grundlegenden Anforderungen des CRA einhalten. Die CE-Kennzeichnung wird in Zukunft ein Zeichen dafür sein, dass ein Produkt den Anforderungen des CRA entspricht. Produkte die den Anforderungen des CRA nicht entsprechen erhalten in Zukunft keine CE-Kennzeichnung mehr und dürfen in der EU nicht mehr vermarktet werden.
Die EU-Mitgliedstaaten werden Marktüberwachungsbehörden benennen, um die Einhaltung der Vorschriften zu überwachen. Unternehmen, die unsichere Produkte in den Markt bringen, riskieren, dass diese vom Markt genommen werden und hohe Strafen verhängt werden.
Zeitschiene
23. Oktober 2024Verabschiedung des CRA
Verabschiedung des CRA durch den Europäischer Rat. Da es sich um einen "Act" handelt, muss die Verordnung nicht in nationales Recht übertragen werden und tritt direkt In-Kraft.11. Dezember 2024CRA tritt in Kraft
Fristen für die Umsetzung im Unternehmen
ab 11. Juni 2026Konformitätsbewertungsstellen vorhanden
ab 11. September 2026Meldepflicht in Kraft
Meldepflicht für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle. Frühwarnung muss innerhalb von 24 Stunden erfolgen, detaillierte Meldung innerhalb von 72 Stunden.
Diese Meldepflichten betreffen alle Produkte, auch diese, die vor 11. Dezember 2027 erstmalig in Verkehr gebracht wurden.ab 11. Dezember 2027CRA Anforderungen umgesetzt
Alle Anforderungen des CRA gelten für folgende Produkte: 1. Produkte, die ab dem 11. Dezember 2027 erstmalig in Verkehr gebracht werden. 2. Bereits in Verkehr gebrachte Produkte, sofern sie nach dem 11. Dezember 2027 eine wesentliche Änderung erfahren (gemäß den Vorgaben des CE-Konformitätsbewertungsverfahrens). Die Kommission behält sich vor diesbezüglich Leitlinien zu veröffentlichten.
Was sollten Unternehmen jetzt tun?
Unternehmen sollten sofort damit beginnen, sich auf die Anforderungen des Cyber Resilience Act vorzubereiten und ihre Produkte und internen Prozesse anpassen. Der erste und wichtigste Schritt besteht darin, ein klares Verständnis der Risiken ihrer Produkte zu entwickeln, um potenzielle Schwachstellen frühzeitig zu identifizieren und zu adressieren. Dazu sollten umfassende Risikobewertungen durchgeführt werden, sowohl für bestehende als auch für zukünftige Produkte.
Darüber hinaus sind Unternehmen verpflichtet, Sicherheitsupdates über den gesamten Lebenszyklus ihrer Produkte bereitzustellen, um neu entdeckte Schwachstellen schnell zu beheben und so das Vertrauen der Kunden zu erhalten. Dies erfordert eine kontinuierliche Überprüfung der gesamten Produktpalette sowie eine effektive Kommunikation mit den Kunden über Sicherheitsupdates und Schutzmaßnahmen.
Eine zentrale Rolle spielt hierbei die sogenannte Software Bill of Materials (SBOM). Eine SBOM ist eine Art Stückliste für Software, die alle verwendeten Komponenten eines Produkts auflistet. Dies hilft dabei, Transparenz in der Lieferkette zu schaffen und ermöglicht eine gezielte Prüfung, um festzustellen, ob bekannte Schwachstellen die Produkte des Unternehmens betreffen. Der Cyber Resilience Act macht die Erstellung einer SBOM verpflichtend, damit Unternehmen die Komplexität ihrer Softwareprodukte verstehen und potenzielle Risiken besser steuern können.
Produktklassifizierung und Konformitätsbewertung
Die Konformitätsbewertung der Produkte variiert jedoch je nach deren Klassifizierung. Produkte werden entweder als „Standardprodukte“ oder, bei höherem Cybersicherheitsrisiko, als „wichtige“ und „kritische“ Produkte eingestuft. Während Standardprodukte selbst durch den Hersteller bewertet werden können, erfordern „wichtige“ Produkte wie Passwortmanager oder Firewalls (gelistet in Anhang III) sowie „kritische“ Produkte wie Smartcards oder intelligente Zähler (gelistet in Anhang IV) strengere Prüfverfahren.
Bei wichtigen Produkten der Klasse 1 in Anhang III ist eine Bewertung durch den Hersteller möglich, wenn eine harmonisierte europäische Norm vorhanden ist. Fehlt eine solche Norm, muss die Konformität durch eine notifizierte Stelle geprüft werden, entsprechend den Regeln des bestehenden New Legislative Framework (NLF). Produkte der Klasse 2 in Anhang III müssen stets von einer notifizierten Stelle bewertet werden. Alternativ kann für bestimmte Produktkategorien auch eine Zertifizierung nach einem europäischen Zertifizierungsschema erfolgen, sofern dieses alle Anforderungen des CRA abdeckt.
Kritische Produkte, die in Anhang IV gelistet sind, unterliegen einer verpflichtenden Zertifizierung nach einem europäischen Zertifizierungsschema, was die höchste Stufe der Konformitätsbewertung sicherstellt und das Cybersicherheitsniveau solcher sensiblen Produkte weiter erhöht.
Security by Design - Der Weg zum sicheren Produkt
Folgendes Schaubild gibt einen Überblick über den Weg zu einem sicheren Produkt
Konkrete Maßnahmen:
- Risikobewertung und Sicherheitsmaßnahmen
Unternehmen sollten umfassende Risikobewertungen für alle bestehenden und zukünftigen Produkte durchführen. Dabei ist es wichtig, potenzielle Schwachstellen in der frühen Phase der Produktentwicklung zu identifizieren und entsprechende Schutzmaßnahmen zu implementieren. Sicherheitsmaßnahmen sollten fest in den Entwicklungsprozess (Security by Design) integriert werden, um sicherzustellen, dass Produkte bereits beim Design sicher sind. -
Berücksichtigung der Produktklassifizierung
Es ist entscheidend, dass Unternehmen ihre Produkte gemäß der CRA-Klassifizierung einordnen und die entsprechenden Konformitätsbewertungsverfahren anwenden. Während Standardprodukte einer Selbstevaluierung unterzogen werden können, müssen wichtige und kritische Produkte strengere Prüfverfahren durchlaufen, entweder durch eine notifizierte Stelle oder durch Zertifizierung nach europäischen Zertifizierungsschemata.
- Sicherheitsupdates und Produktlebenszyklus
Unternehmen müssen ein robustes System zur Bereitstellung regelmäßiger Sicherheitsupdates entwickeln, das während des gesamten Produktlebenszyklus aktiv bleibt. Dies bedeutet, dass Unternehmen nach dem Verkauf ihrer Produkte schnell auf neue Bedrohungen reagieren und diese beheben müssen. - Transparenz und Kommunikation
Es ist entscheidend, Kunden transparent über die Cybersicherheitsmaßnahmen zu informieren. Unternehmen sollten klare Anleitungen zur sicheren Nutzung ihrer Produkte bereitstellen und ihre Kunden über die Häufigkeit und Art von Sicherheitsupdates informieren. - Schulung der Mitarbeiter
Um die neuen Sicherheitsanforderungen effektiv umzusetzen, müssen die Mitarbeiter im Bereich Cybersicherheit geschult werden. Nur so können sie potenzielle Bedrohungen erkennen und mit den aktuellen Anforderungen umgehen. - Dokumentation und Berichterstattung
Für Kleinstunternehmen und KMUs wird es spezielle Leitlinien geben, um die technischen Dokumentationen zu vereinfachen. Diese Unternehmen müssen dennoch sicherstellen, dass alle Cybersicherheitsmaßnahmen sorgfältig dokumentiert werden, um die Einhaltung der gesetzlichen Vorschriften nachzuweisen. Bei der Meldung von Sicherheitsvorfällen können sie ebenfalls auf vereinfachte Meldeprozesse zurückgreifen, um den administrativen Aufwand zu minimieren.
- Zusammenarbeit mit Partnern und Lieferanten
Unternehmen sollten sicherstellen, dass ihre Partner und Zulieferer ebenfalls den CRA-Anforderungen entsprechen. Dazu gehört die Überprüfung der Sicherheitspraktiken von Drittanbietern, um eine sichere Lieferkette zu gewährleisten.
Fazit: Jetzt handeln!
Der Cyber Resilience Act stellt KMUs vor neue Herausforderungen, doch er bietet gleichzeitig klare Chancen. Unternehmen, die die Sicherheitsanforderungen frühzeitig umsetzen, verbessern nicht nur ihre eigene Widerstandsfähigkeit gegenüber Cyberbedrohungen, sondern können dies auch als Verkaufsargument nutzen. Indem sie die Vorgaben des Cyber Resilience Act einhalten, stärken sie das Vertrauen ihrer Kunden und Geschäftspartner und sichern sich langfristig Wettbewerbsvorteile in einer digitalisierten Welt.
Jetzt ist der Zeitpunkt, sich auf den Cyber Resilience Act vorzubereiten und die Sicherheitsanforderungen zu erfüllen – nicht nur, um rechtlichen Verpflichtungen nachzukommen, sondern um Ihr Unternehmen und Ihre Produkte zukunftssicher zu machen.
Weiterführende Informationen Weitere Details zu den Anforderungen und Empfehlungen finden Sie in den BSI-Richtlinien zur Cyberresilienz, insbesondere in den technischen Richtlinien TR-03183. Diese bieten wertvolle Unterstützung bei der Umsetzung der Sicherheitsanforderungen des CRA und können Ihnen helfen, Ihre Produkte sicherer zu gestalten und rechtliche Vorgaben einzuhalten.
