der cyber resilience act (CRA)
Minimum-Standard für die Cyberresilienz von digitalen Produkten in der EU
Minimum-Standard für die Cyberresilienz von digitalen Produkten in der EU
Digitale Produkte sind ein unverzichtbarer Bestandteil des kommerziellen und privaten Lebens und damit essenziell für die Volkswirtschaften in der EU.
Diesem Umstand trägt die Verordnung Rechnung und legt in 71 Artikeln, sowie einem umfangreichen, konkretisierenden Anhang, verbindliche Sicherheitsstandards für alle in der EU hergestellten, importierten oder vertriebenen digitalen Hardware- und Softwareprodukte fest.
Der CRA zielt darauf ab, die Cybersicherheit von Produkten mit digitalen Elementen und Funktionen in der EU zu verbessern. Es soll gewährleistet werden, dass Cybersecurity während des gesamten Produktlebenszyklus berücksichtigt wird, um den Schutz vor Cyberbedrohungen zu verbessern.
Mithin soll damit die Verbreitung sicherer Technologien gefördert, die Verbraucher geschützt und das Vertrauen in Produkte mit digitalen Elementen und Funktionen gestärkt werden.
Beim Cyber Resilience Act, in der offiziellen deutschen Übersetzung „Horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen“, handelt es sich um eine EU-Verordnung, welche seit der Veröffentlichung im EU-Amtsblatt 2024 direkt, d.h. ohne Überführung in nationales Recht, wirksam ist.
Die Verordnung nennt einen abgestuften Umsetzungs-Zeitplan, dessen erster Meilenstein, Mitte Juni 2026, die Readiness der Notifikations-Behörde und -stellen betrifft.
Ab September 2026 sind dann die Hersteller in der Meldepflicht von aktiv ausgenutzten Schwachstellen und dies auch für alle ihre schon im Verkehr befindlichen Produkte.
Bis Dezember 2027 sind schließlich alle weiteren Anforderungen des CRA zu erfüllen. Hierbei erstreckt sich die Gültigkeit jedoch nicht auf Produkte, die vorher in Verkehr gebracht wurden. Nur wenn danach wesentliche Änderungen an Produkten vorgenommen werden, fallen auch diese vollständig unter die Vorgaben des CRA.
Der Cyber Resilience Act betrifft alle Unternehmen in der EU, unabhängig von der Branche in der sie tätig sind. Die Betroffenheit hängt von der Kombination mehrerer Faktoren ab:
Der CRA gilt grundsätzlich für alle Produkte mit digitalen Elementen, die auf dem EU-Markt bereitgestellt werden. Es werden die folgenden Kriterien/ Ausschluss-Kriterien angelegt:
Unternehmen sind vom CRA betroffen, sofern sie eine der Rollen einnehmen, die der CRA im Kontext digitaler Produkte definiert. Das sind: Hersteller, Bevollmächtigter, Einführer und Händler.
Dabei ist zu beachten, dass z.B. bereits die Vermarktung (auch unentgeltlich) von Software und Hardware unter eigenem Namen zur Hersteller-Eigenschaft führt.
Der Umfang der Anforderungen basiert auf:
Der Umfang der Anforderungen richtet sich nach der Einordnung der Produkte in Kritikalitätsstufen. Sie erfolgt nach „Positivlisten“, die im Anhang explizit dokumentiert sind. Die Anforderungen steigen mit zunehmender Kritikalität. In Unternehmen sind Produkte aller Stufen zu erwarten:
Dabei ist zu beachten, dass die verbindlichen Positivlisten im Annex einer ständigen Aktualisierung unterliegen, d.h. sich im Zeitablauf gemäß technischem Fortschritt verändern werden.
Je nach Rolle in der Lieferkette unterscheiden sich die Anforderungen. Händler überprüfen z.B. nur die CRA-Konformität (z.B. CE-Kennzeichnung, Anwender-Dokumentation) und dürfen nicht-konforme Produkte nicht in der EU vertreiben. Hersteller sind demgegenüber die im stärksten Maße betroffene Rolle. Sie sind für die Erfüllung der CRA-Anforderungen verantwortlich. Für diese ergeben sich bereits in der Risikoklasse „Standard“ eine Reihe von Anforderungen:
Dabei ist zu beachten, dass bei Produkten der Kategorie „kritisch“ die Durchführung des Konformitätsbewertungs-Verfahrens zum Nachweis über die Konformität mit CRA am aufwendigsten ist.
Neben dem Cyber Resilience Act existieren bereits regulatorische, zum Teil branchenspezifische Vorgaben, welche ebenfalls das Thema Resilienz behandeln.
So setzt NIS2 den Fokus auf die Verbesserung der Cybersicherheit der Netzwerke und Informationssysteme von Betreibern kritischer Infrastrukturen und DORA gibt umfassende Rahmenregelungen für die operationelle Widerstandsfähigkeit von Finanzunternehmen im Bereich der Informations- und Kommunikationstechnologie (IKT).
Über das Themengebiet „sichere Lieferkette“ bildet der CRA mit seinen Anforderungen an Produkte mit digitalen Elementen die Brücke zu den branchenspezifischen Verordnungen NIS2 und DORA.
Vergleicht man z.B. die CRA- und DORA-Inhalte, so führt der CRA ein eher produktzentriertes Cybersicherheitsregime ein, was neue Pflichten mit sich bringt.
Neue Pflichten des CRA für Finanzinstitute (über DORA hinaus):
| Pflichtenkategorie | CRA-Anforderung (Neu für Finanzinstitute als Wirtschaftsakteure) | Warum dies über DORA hinausgeht |
|---|---|---|
| Produktspezifische Risikobewertung | Obligatorisch für jedes Produkt mit digitalen Elementen | DORA ist unternehmens-/ systemweit; CRA ist produktspezifisch |
| Sicherheit durch Design und Standardeinstellungen | Obligatorische Einbettung von Sicherheit in das Produktdesign und die Entwicklung | DORA konzentriert sich auf die operationelle Sicherheit; CRA auf die inhärente Produktsicherheit |
| Software Bill of Materials (SBOM) | Obligatorische Auflistung aller Softwarekomponenten und Abhängigkeiten | DORA schreibt keine SBOM vor |
| CE-Kennzeichnung | Obligatorisch für den Marktzugang in der EU | DORA verlangt keine Produktzertifizierung |
| Lebenszyklus-Schwachstellenmanagement für Produkte | Kontinuierliche Überwachung, kostenlose Updates für die Produktlebensdauer | DORA konzentriert sich auf das operationelle IKT-Management; CRA auf Produkt-Lebenszyklus |
| Produktspezifische Meldung von Vorfällen (an ENISA/CSIRTs) | 4-Stunden-Meldung von ausgenutzten Schwachstellen/ schwerwiegenden Vorfällen von Produkten | DORA betrifft unternehmensweite IKT-Vorfälle; CRA ist produktspezifisch |
| Technische Dokumentation & Konformitätsbewertung | Obligatorisch für jedes Produkt, inkl. Drittzertifizierung für Hochrisikoprodukte | DORA ist unternehmensweit und operationell; CRA ist produktspezifisch |
Wir unterstützen Sie im Prozess zur Erreichung der Compliance mit dem CRA von der Betroffenheitsanalyse über eine Standortbestimmung mit Bewertung bis zur Planung und operativen Umsetzung.