Übersicht und Ziele der Cyberresilienz-Verordnung (CRA)

Mit der Verordnung (EU) 2024/2847 verfolgt die Europäische Union ein ambitioniertes Ziel: den digitalen Binnenmarkt sicherer zu gestalten und Verbraucher sowie Unternehmen besser vor Cyberrisiken zu schützen. Die sogenannte Cyberresilienz-Verordnung (CRA) ist ein Meilenstein in der europäischen Cybersicherheitsgesetzgebung. Sie gilt ab Inkrafttreten unmittelbar in allen EU-Mitgliedstaaten – und das branchenübergreifend.

1. Überblick zur Cyberresilienz-Verordnung

Die CRA wurde am 23. Oktober 2024 beschlossen und umfasst:

• 71 Artikel
• 130 Erwägungsgründe
• 8 Anhänge

Ziel ist es, horizontale Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen zu schaffen – also für Hard- und Software, die auf dem EU-Markt bereitgestellt wird.

Die vier Hauptziele (gemäß Art. 1 CRA):

1. Vorschriften zur sicheren Bereitstellung digitaler Produkte
2. Festlegung grundlegender Anforderungen an Konzeption, Entwicklung und Herstellung
3. Vorgaben zum Umgang mit Schwachstellen
4. Regeln für die Marktüberwachung

Die CRA erkennt – wie in Erwägungsgrund 1 betont – Cybersicherheit als eine der größten Herausforderungen für die EU. Sie schafft klare Rahmenbedingungen für sichere digitale Produkte und behandelt Cybersicherheit damit ausdrücklich als Frage der Produktsicherheit. Besonders hervorzuheben ist: Die Verordnung gilt sowohl im B2B- als auch im B2C-Bereich.

Abgrenzung zur NIS-2-Richtlinie

Die CRA und die NIS-2-Richtlinie ergänzen sich: Während NIS-2 auf die organisatorische Sicherheit in Unternehmen abzielt, fokussiert sich die CRA auf die Produktsicherheit selbst. Cloud- und SaaS-Anbieter können somit von beiden Regelungen gleichzeitig betroffen sein – ein Ausdruck des ganzheitlichen Sicherheitsansatzes der EU.

Branchenübergreifende Geltung

Die CRA ist horizontal anwendbar. Sie gilt grundsätzlich für alle Branchen – außer dort, wo bereits branchenspezifische Produktsicherheitsvorschriften bestehen. Damit soll der „legislative Flickenteppich“ in Europa reduziert werden (Erwägungsgrund 4).

Auch öffentliche Vergabeverfahren sind betroffen: Cybersicherheitsanforderungen sollen künftig auch bei öffentlichen Aufträgen berücksichtigt werden (ErwGr 13).

2. Was fällt unter die CRA?

Im Mittelpunkt stehen sogenannte „Produkte mit digitalen Elementen“ – diese umfassen Hardware- oder Softwareprodukte sowie deren Datenverarbeitungslösungen. Eine Reihe wichtiger Begriffsbestimmungen im CRA (Art. 3) sorgt für Klarheit, u.a.:

• Software: Code-basierter Bestandteil eines Informationssystems
• Bereitstellung auf dem Markt: Abgabe eines Produkts im Rahmen einer wirtschaftlichen Tätigkeit
• Freie und quelloffene Software: Offener Quellcode, kostenlos, vollständig nutzbar und veränderbar
• CE-Kennzeichnung: Beleg für die Einhaltung der CRA-Anforderungen
• Cybersicherheitsrisiko: Potenzial für Verlust oder Störung durch Sicherheitsvorfall
• Software-Stückliste (SBOM): Auflistung aller Softwarekomponenten samt Herkunft

3. Anforderungen an Produkte mit digitalen Elementen

Gemäß Art. 6 CRA dürfen Produkte nur dann auf dem Markt bereitgestellt werden, wenn:

• Sie den Anforderungen aus Anhang I Teil I entsprechen
• Sicherheitsupdates installiert wurden
• Die Herstellerprozesse den Vorgaben aus Anhang I Teil II entsprechen

Das Sicherheitsprinzip lautet: Security by Design. Risiken müssen frühzeitig erkannt, minimiert und dokumentiert werden – und zwar über den gesamten Lebenszyklus hinweg: von Entwicklung über Betrieb bis zur Wartung.

Wichtige Anforderungen an Produkte:

• Keine bekannten, ausnutzbaren Schwachstellen
• Sichere Standardkonfiguration
• Sicherheitsupdates müssen möglich sein
• Zugangs-, Authentifizierungs- und Identitätskontrollen
• Datenverschlüsselung, Integrität und Minimierung personenbezogener Daten
• Schutz vor Denial-of-Service-Angriffen
• Geringe Angriffsfläche und geringe Auswirkungen bei Vorfällen
• Ereignisprotokollierung und Monitoring
• Sichere Löschbarkeit von Daten

Besonders relevant: Der Unterstützungszeitraum für Sicherheitsupdates beträgt mindestens fünf Jahre. Zudem müssen Updates zehn Jahre lang abrufbar bleiben.

4. Risikobasierter Ansatz

Die CRA differenziert nach Kritikalität des Produkts. Je höher das Risiko, desto strenger die Anforderungen.

Als wichtige Produkte mit digitalen Elementen (gemäß Anhang III) gelten unter anderem:

• Betriebssysteme, Router, Browser
• VPN-Software, Passwort-Manager
• Sicherheitskameras, smarte Türschlösser, Babyphones
• Virtuelle Assistenten und IoT-Geräte für Smart Homes
• Mikroprozessoren, Mikrocontroller, ASICs mit Sicherheitsfunktionen
• Mit dem Internet verbundenes Spielzeug
• Wearables zur Gesundheitsüberwachung

Diese Produkte müssen ein verschärftes Konformitätsbewertungsverfahren durchlaufen.

Fazit

Die Cyberresilienz-Verordnung ist ein Meilenstein für die IT-Sicherheit in Europa. Sie setzt neue Maßstäbe für die Entwicklung und Bereitstellung sicherer digitaler Produkte – branchenübergreifend und verpflichtend. Unternehmen, die digitale Produkte herstellen, vertreiben oder betreiben, sollten sich frühzeitig mit den neuen Anforderungen auseinandersetzen und entsprechende Maßnahmen implementieren.

Cybersicherheit wird zur Pflicht – und damit zur Chance, Vertrauen und Wettbewerbsfähigkeit langfristig zu sichern.

‍