Cyber Resilience Act – Die neue EU-Verordnung für Software-Sicherheit

Cyber Resilience Act – Die neue EU-Verordnung für Sofware-Sicherheit

Was ist der CRA?

Der Cyber Resilience Act (CRA) ist eine EU-Verordnung (EU 2024/2847), die ab 11. Dezember 2027 vollständig gilt und die Cybersicherheit von Produkten mit digitalen Elementen regelt – also Software, Hardware und deren Komponenten. Als Verordnung gilt der CRA unmittelbar in allen EU-Mitgliedstaaten, ohne dass nationale Umsetzungsgesetze erforderlich sind.

Zielsetzung

Der CRA verfolgt vier zentrale Ziele:

1. Cybersicherheitsanforderungen für die Konzeption, Entwicklung und Herstellung digitaler Produkte
2. Verfahren zur Behandlung von Schwachstellen
3. Vorgaben für die Marktüberwachung
4. Pflichten zur CE-Kennzeichnung und Konformitätserklärung

Die Verordnung gilt horizontal, also branchenübergreifend, und soll den „Flickenteppich“ nationaler Regelungen harmonisieren.

Wer ist betroffen?

• Hersteller, Einführer und Händler von Software und Hardware
• Verwalter quelloffener Software, sofern diese kommerziell genutzt wird
• Anbieter von wichtigen Produkten wie VPNs, Betriebssystemen, Routern, Sicherheitssoftware, Smart-Home-Geräten, Wearables und mehr.

Pflichten für Hersteller

1. Sicherheitsanforderungen („Security by Design“)

Produkte dürfen nur bereitgestellt werden, wenn sie:

• keine bekannten, ausnutzbaren Schwachstellen enthalten
• mit sicherer Standardkonfiguration ausgeliefert werden
• über Mechanismen zur Schwachstellenbehebung verfügen
• Authentifizierungs- und Zugriffskontrollen implementieren
• Datenschutz und Datenintegrität gewährleisten ​

2. Konformitätsbewertung

Hersteller müssen ein Verfahren durchführen, das die Einhaltung der Sicherheitsanforderungen bestätigt. Mögliche Verfahren:

• Internes Kontrollverfahren (Modul A)
• EU-Baumusterprüfung (Modul B)
• Umfassende Qualitätssicherung (Modul H)

3. CE-Kennzeichnung

Die CE-Kennzeichnung muss sichtbar, leserlich und dauerhaft angebracht sein – bei Software auch auf der begleitenden Website.

4. Technische Dokumentation

Vor dem Inverkehrbringen muss eine umfassende Dokumentation erstellt werden, inkl.:

• Software-Stückliste
• Systemarchitektur
• Schwachstellenmanagement
• Sicherheitsupdates
• Risikobewertung über den gesamten Lebenszyklus.

5. Meldepflichten

• Frühwarnung bei aktiv ausgenutzten Schwachstellen: innerhalb von 24 Stunden
• Maßnahmenbericht: innerhalb von 72 Stunden
• Abschlussbericht: spätestens nach 14 Tagen.

Pflichten für Einführer und Händler

Auch Einführer und Händler müssen sicherstellen, dass:

• eine Konformitätsbewertung vorliegt
• die CE-Kennzeichnung korrekt angebracht ist
• technische Dokumentation und EU-Konformitätserklärung vorhanden sind
• eine zentrale Kontaktstelle für Schwachstellenmeldungen eingerichtet ist.

Besonderheiten für Open Source Software

Verwalter quelloffener Software (juristische Personen, die Open Source systematisch fördern) müssen:

• eine Cybersicherheitsstrategie dokumentieren
• Schwachstellenmanagement betreiben
• Informationen mit der Community teilen

Sanktionen

Bei Verstößen drohen empfindliche Geldbußen:

• bis zu 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes
• abgestufte Sanktionen je nach Schwere des Verstoßes ​

Zeitplan

• 11. Juni 2026: Notifizierung von Konformitätsbewertungsstellen
• 11. September 2026: Meldepflichten der Hersteller
• 11. Dezember 2027: Alle übrigen Bestimmungen treten in Kraft

Fazit

Der CRA ist ein Meilenstein für die digitale Produktsicherheit in Europa. Er betrifft nahezu alle Unternehmen, die Software oder Hardware entwickeln, vertreiben oder integrieren – auch im B2B-Bereich. Wer frühzeitig handelt, sichert sich nicht nur Compliance, sondern auch Wettbewerbsvorteile.

📩 Sie wollen wissen, ob Ihr Produkt vom CRA betroffen ist oder wie Sie sich vorbereiten können?
Dann kontaktiere Sie unter ​anfrage@digital-recht.at​ – wir beraten Sie individuell, praxisnah und rechtssicher!

‍