Der Cyber Resilience Act – Was Unternehmen jetzt wissen müssen

Cybersicherheit ist kein Luxus mehr – sie ist Pflicht. Mit dem Inkrafttreten der Cyberresilienz-Verordnung (Cyber Resilience Act, CRA) der EU wird ein neues Kapitel in der Produktsicherheit aufgeschlagen. Die Verordnung (EU) 2024/2847 bringt umfassende Anforderungen für alle Produkte mit digitalen Elementen – und betrifft damit nahezu jedes Unternehmen, das Software oder vernetzte Hardware entwickelt, vertreibt oder nutzt.

Was ist der Cyber Resilience Act?

Der CRA ist eine EU-Verordnung, die ab dem 11. Dezember 2027 in allen Mitgliedstaaten unmittelbar gilt. Ziel ist es, einheitliche Cybersicherheitsanforderungen für digitale Produkte zu schaffen – von der Konzeption über die Entwicklung bis hin zur Wartung. Die Verordnung umfasst 71 Artikel, 130 Erwägungsgründe und 8 Anhänge – ein deutliches Zeichen für die Komplexität und Tragweite dieses Regelwerks.

Für wen gilt der CRA?

Die Verordnung hat eine horizontale Wirkung: Sie betrifft alle Branchen, sofern nicht bereits spezifische Produktsicherheitsvorschriften bestehen. Besonders betroffen sind Hersteller, Importeure, Händler – aber auch Verwalter quelloffener Software, sofern diese Open-Source-Komponenten für kommerzielle Zwecke bereitstellen.

Die wichtigsten Pflichten im Überblick

1. Cybersicherheitsanforderungen (Art. 6 CRA)

Produkte mit digitalen Elementen dürfen nur in Verkehr gebracht werden, wenn sie:

• keine bekannten, ausnutzbaren Schwachstellen enthalten,
• mit sicherer Standardkonfiguration ausgeliefert werden,
• Sicherheitsupdates ermöglichen,
• über geeignete Authentifizierungs- und Zugriffskontrollen verfügen,
• Datenschutz durch Datenminimierung und Verschlüsselung sicherstellen,
• gegen Denial-of-Service-Angriffe geschützt sind.

2. Technische Dokumentation (Anhang VII CRA)

Vor dem Inverkehrbringen ist eine umfassende technische Dokumentation zu erstellen, die u. a. folgende Inhalte umfasst:

• Beschreibung der Software und ihrer Zweckbestimmung,
• Systemarchitektur und Software-Stückliste (SBOM),
• Verfahren zur Schwachstellenbehandlung,
• Sicherheitsstrategie bei Open Source-Komponenten,
• Konformitätsbewertung und EU-Konformitätserklärung.

3. Meldepflichten (Art. 14 CRA)

Hersteller müssen:

• innerhalb von 24 Stunden eine Frühwarnung bei aktiv ausgenutzten Schwachstellen abgeben,
• innerhalb von 72 Stunden Maßnahmen zur Risikominimierung melden,
• innerhalb von 14 Tagen einen Abschlussbericht vorlegen.

4. Konformitätsbewertung (Art. 32 CRA)

Je nach Kritikalität des Produkts sind unterschiedliche Verfahren vorgesehen – vom internen Kontrollverfahren bis zur umfassenden Qualitätssicherung. Ziel ist die Ausstellung der EU-Konformitätserklärung und die Anbringung der CE-Kennzeichnung.

5. Sanktionen bei Verstößen (Art. 64 CRA)

Bei Nichteinhaltung drohen empfindliche Strafen:

• bis zu 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes,
• abgestufte Sanktionen je nach Schwere des Verstoßes,
• Haftungserleichterungen für KMU und Open-Source-Verwalter.

Was bedeutet das für Ihr Unternehmen?

Der CRA verlangt ein Umdenken in der Produktentwicklung: Cybersicherheit muss von Anfang an mitgedacht werden – Security by Design ist das neue Gebot. Unternehmen sollten jetzt:

• ihre Produkte auf CRA-Konformität prüfen,
• Prozesse zur Schwachstellenbehandlung etablieren,
• technische Dokumentationen vorbereiten,
• Zuständigkeiten für Meldepflichten klären,
• Open-Source-Komponenten sorgfältig evaluieren.

Fazit

Der Cyber Resilience Act ist kein optionales Regelwerk – er wird zur Pflichtlektüre für alle, die digitale Produkte entwickeln oder vertreiben. Wer frühzeitig handelt, kann nicht nur Bußgelder vermeiden, sondern auch das Vertrauen seiner Kunden stärken.

‍