Der Cyber Resilience Act - Eine Übersicht

1. Was ist die Cyberresilienz-Verordnung (CRA)?

Die CRA stellt ein umfassendes europäisches Produktsicherheitsgesetz für digitale Produkte dar. Sie regelt die Anforderungen an die Cybersicherheit von Software und Hardware – mit dem Ziel, EU-weit ein einheitliches Schutzniveau sicherzustellen.

Die Verordnung umfasst:

• 71 Artikel
• 130 Erwägungsgründe
• 8 Anhänge

Sie gilt branchenübergreifend („horizontal“) für alle Produkte mit digitalen Elementen – also Software, Hardware und deren Komponenten, sofern sie auf dem europäischen Markt bereitgestellt werden.

2. Die Ziele der CRA (Art. 1 CRA)

Die CRA verfolgt vier zentrale Zielsetzungen:

• Sicherstellung der Cybersicherheit bei digitalen Produkten
• Verbindliche Anforderungen an Design, Entwicklung und Produktion
• Verfahren zur Schwachstellenbehandlung
• Effiziente Marktüberwachung

Damit wird klargestellt: Cybersicherheit ist kein Add-on, sondern Kernelement der Produktsicherheit.

3. Abgrenzung zur NIS-2-Richtlinie

Die CRA unterscheidet sich von der NIS-2-Richtlinie, welche die Sicherheit auf Unternehmensebene regelt. Während NIS-2 primär auf Betreiber kritischer Dienste abzielt, adressiert die CRA die Produktebene – insbesondere Software. Cloud-Anbieter können daher beiden Regelwerken unterliegen.

4. Wesentliche Anforderungen an Produkte mit digitalen Elementen

4.1. Grundanforderungen (Art. 6 CRA):

Ein Produkt darf nur auf den Markt, wenn:

• es den Anforderungen aus Anhang I genügt,
• es bei ordnungsgemäßer Installation und Nutzung sicher ist,
• und Sicherheitsaktualisierungen vorgesehen sind.

„Security by Design“ und „Security by Default“ sind essenziell: Sicherheit muss von Anfang an mitgedacht und umgesetzt werden.

4.2. Anforderungen u.a.:

• Keine bekannten ausnutzbaren Schwachstellen
• Sichere Standardkonfigurationen
• Kontrolle über Identitäten und Zugänge
• Datenminimierung & Datenschutz
• Schutz vor DoS-Angriffen
• Nachvollziehbarkeit interner Vorgänge
• Sichere Löschbarkeit von Daten

5. Risikobasierter Ansatz & kritische Produkte

Die CRA unterscheidet zwischen regulären und besonders kritischen Produkten (Anhang III), z.B.:

• VPNs, Betriebssysteme, Router
• Passwort-Manager, SIEM-Systeme
• Wearables zur Gesundheitsüberwachung
• Intelligente Türschlösser oder Sicherheitskameras

Diese unterliegen strikteren Konformitätsverfahren.

6. Technische Dokumentation & Compliance-Nachweise

Bevor ein Produkt auf den Markt kommt, ist eine technische Dokumentation (Anhang VII) zu erstellen, u.a. mit:

• Konzeption & Sicherheitsarchitektur
• Software-Stückliste (SBOM)
• Schwachstellenmanagement & Updateprozesse
• Nachweise über Tests und Konformität
• EU-Konformitätserklärung

Diese Dokumentation muss laufend aktualisiert und mindestens 10 Jahre aufbewahrt werden.

7. Umgang mit Drittsystemen und Open Source

Bei der Integration externer Komponenten – insbesondere Open Source Software – gelten erhöhte Sorgfaltspflichten. Hersteller müssen gewährleisten, dass die Sicherheit nicht beeinträchtigt wird.

Verwalter quelloffener Software, sofern sie kommerzielle Ziele verfolgen, müssen eine Cybersicherheitsstrategie dokumentieren und auf Nachfrage der Behörden offenlegen.

8. Meldepflichten bei Schwachstellen (Art. 14 CRA)

Wenn ein Hersteller eine ausgenutzte Schwachstelle entdeckt, muss er binnen 24 Stunden eine Frühwarnung an CSIRT & ENISA senden. Weitere Fristen:

• 72 Stunden: Maßnahmenbericht
• 14 Tage: Abschlussbericht

Meldungen können auch freiwillig erfolgen, etwa durch Händler, Dritte oder Open-Source-Verwalter.

9. Konformitätsbewertung & CE-Kennzeichnung

Produkte müssen ein Konformitätsverfahren durchlaufen. Mögliche Verfahren sind:

• Interne Kontrolle (Modul A)
• EU-Baumusterprüfung (Modul B)
• Qualitätssicherungssystem (Modul H)

Nach erfolgreicher Prüfung erhalten Produkte die EU-Konformitätserklärung und eine CE-Kennzeichnung.

10. Pflichten der Marktakteure

Hersteller (Art. 13 CRA):

• Kennzeichnung & Rückverfolgbarkeit
• Kontaktmöglichkeit für Schwachstellenmeldungen
• Marktüberwachungsbehörden informieren bei Verstößen
• Sicherstellung von Updates über einen Unterstützungszeitraum von mind. 5 Jahren

Einführer (Art. 19 CRA):

• Prüfung der Konformität & Kennzeichnung
• Information über erhebliche Risiken

Händler (Art. 20 CRA):

• Überprüfung der technischen Unterlagen
• Beigabe von Anleitungen & CE-Kennzeichnung

11. Open Source & Zertifizierungen (Art. 25 CRA)

Die Kommission wird freiwillige Zertifizierungsprogramme für Open Source etablieren, um die sichere Nutzung quelloffener Software zu erleichtern. Das Ziel: Transparenz und Qualität bei Open Source-Komponenten.

12. Sanktionen bei Verstößen

Die CRA sieht empfindliche Strafen vor:

• Bis zu 15 Mio. EUR oder 2,5 % des weltweiten Jahresumsatzes
• Staffelung je nach Verstoß
• Haftungserleichterungen für KMU und Open-Source-Verwalter (Art. 64 Abs. 10 CRA)

13. Zeitplan der CRA

Die Vorschriften treten stufenweise in Kraft:

• 11.06.2026: Notifizierung von Konformitätsstellen
• 11.09.2026: Meldepflichten des Herstellers
• 11.12.2027: Alle übrigen Vorschriften gelten verbindlich

Fazit: Was Unternehmen jetzt tun sollten

Die CRA betrifft jedes Unternehmen, das digitale Produkte in der EU vertreibt – unabhängig von Branche oder Unternehmensgröße. Die Vorbereitungszeit ist begrenzt – bis spätestens Ende 2027 müssen alle Vorgaben erfüllt sein.

Empfohlene nächste Schritte:

• Identifizieren Sie betroffene Produkte
• Analysieren Sie interne Entwicklungs- und Sicherheitsprozesse
• Erstellen oder überarbeiten Sie technische Dokumentationen
• Klären Sie Zuständigkeiten für Schwachstellenmanagement und Meldepflichten
• Prüfen Sie den Einsatz von Open Source Software

Sprechen Sie uns gerne an, wenn Sie Unterstützung bei der Umsetzung der CRA benötigen. Ob Risikoanalyse, technische Dokumentation oder Konformitätsverfahren – wir begleiten Sie auf dem Weg zur Compliance.

‍