Cybersecurity durch Regulierung – der Cyber Resilience Act im Überblick

Die EU hat am 10.10.2024 den Cyber Resilience Act (CRA) – Verordnung (EU) 2024/2847 – verabschiedet, um Cyberangriffe auf Produkte mit digitalen Komponenten zu bekämpfen. Die Verordnung gilt direkt in allen EU-Mitgliedstaaten und betrifft nicht die internen Prozesse, sondern die digitalen Produkte, die das Unternehmen verlassen. Der CRA setzt verbindliche Cybersicherheitsstandards, die die Sicherheit dieser Produkte vor dem Markteintritt und während des gesamten Lebenszyklus gewährleisten sollen.

Damit zielt der CRA auf die Erhöhung der Cybersicherheit durch einheitliche Standards und verpflichtende Maßnahmen für digitale Produkte über ihren gesamten Lebenszyklus hinweg ab. Zudem sollen Transparenz, Verbraucherschutz und Vertrauen gestärkt sowie wirtschaftliche Schäden durch Cyberangriffe reduziert werden (vgl. Art. 1 CRA iVm Erwg. 1–5).

Hinweis: Eine ausführlichere und frühere Version dieses Artikels wurde am 26.02.2025 in der Zeitschrift DuD veröffentlicht.

Anwendungsbereich des CRA

Der CRA umfasst alle „Produkte mit digitalen Elementen“, die auf den Markt gebracht werden und mit einem Gerät oder Netzwerk verbunden werden können (Art. 2 CRA). Dazu zählen Hardware wie Smartphones, Laptops, smarte Haushaltsgeräte, vernetzte Spielzeuge, Babyphone, Wearables, Mikroprozessoren, Firewalls und intelligente Zähler. Ebenfalls umfasst ist Software, darunter Verwaltungs- und Buchhaltungsprogramme, Computerspiele, mobile Apps, Antivirensoftware, VPN-Anwendungen, SIEM-Lösungen und andere mehr. Außerdem gelten die Regeln für Software as a Service (SaaS-)Lösungen, sofern sie als Fernverarbeitungslösungen gemäß Art. 3 Nr. 2 CRA definiert sind, d. h. SaaS ist einbezogen, wenn sie sich auf ein Produkt mit digitalen Elementen bezieht und dafür konzipiert und entwickelt wurde (Erwg. 17–21 CRA).

Der CRA schließt in Art. 2 einige Produkte aufgrund spezifischer EU-Vorschriften aus, wie z. B. medizinische Geräte und In-vitro-Diagnostika (geregelt in der Verordnung (EU) 2017/745 über Medizinprodukte), Produkte für Verteidigungszwecke, Kraftfahrzeuge, Luftfahrt-Produkte (Erwg. 25–27 CRA). Ebenso ist nicht-kommerzielle Open-Source-Software vom CRA ausgenommen, um Innovationsfreiheit und Kooperationen in der Softwareentwicklung zu unterstützen (Erwg. 10 CRA).

Der CRA ergänzt bestehende EU-Vorschriften, wie die NIS-2-Richtlinie (Richtlinie (EU) 2022/2555), und schafft einheitliche Cybersicherheitsstandards und schließt als übergreifende Regelung sektorspezifische Lücken. Es werden horizontale Cybersicherheitsvorschriften festgelegt, die nicht speziell für bestimmte Branchen oder bestimmte Produkte mit digitalen Elementen gelten sollen (vgl. Erwg. 3–4; 8 und 28 CRA).

Verantwortlichkeiten und Pflichten der Wirtschaftsakteure: Hersteller, Bevollmächtigte, Importeure, Händler

Der CRA definiert spezifische Pflichten für alle Wirtschaftsakteure, die an der Entwicklung, Herstellung, Einfuhr und dem Vertrieb von Produkten mit digitalen Elementen beteiligt sind: für Hersteller in den Art. 13–17 CRA, für Bevollmächtigte in Art. 18 CRA, für Importeure in Art. 19 CRA und für Händler (Distributors) in Art. 20 CRA.

Verantwortlichkeiten für Hersteller (Art. 13–17 CRA)

Der CRA verpflichtet die Hersteller digitaler Produkte zu umfassenden Sicherheitsmaßnahmen – und das über den gesamten Produktlebenszyklus hinweg. Ziel ist es, Sicherheitsrisiken frühzeitig zu erkennen, zu minimieren und das Vertrauen in digitale Produkte zu stärken.

Hersteller müssen bereits in der Design- und Entwicklungsphase sicherstellen, dass ihre Produkte den grundlegenden Anforderungen an die Cybersicherheit entsprechen (Art. 13 Abs. 1–2 CRA). Dieses Prinzip der „Security by Design“ bedeutet, dass Schutzmaßnahmen von Anfang an berücksichtigt werden – inklusive der sicheren Integration von Drittkomponenten, egal ob physisch oder digital.

Auch im Betrieb sind kontinuierliche Risikobewertungen und ein aktives Schwachstellenmanagement erforderlich (Art. 13 Abs. 4 und 8 CRA). Schwachstellen müssen fortlaufend analysiert, dokumentiert und durch Sicherheitsupdates geschlossen werden.

Bei sicherheitsrelevanten Vorfällen besteht zudem eine Meldepflicht: Hersteller müssen schwerwiegende Schwachstellen innerhalb festgelegter Fristen an zuständige Behörden, wie das BSI oder die ENISA, melden (Art. 14–15 CRA).

Ein weiterer zentraler Punkt ist die technische Dokumentation. Hersteller sind verpflichtet, eine Software-Stückliste (SBOM) zu erstellen und aktuell zu halten sowie die Nachvollziehbarkeit durch eine vollständige Dokumentation zu gewährleisten (Art. 14 Abs. 2–3, Art. 16 CRA).

Auch die Transparenz gegenüber Endnutzern spielt eine Rolle. Die CRA fordert die Bereitstellung klarer Sicherheits- und Nutzungshinweise – Verbraucher sollen wissen, worauf sie sich einlassen (Anhang II).

Bevor ein Produkt in Verkehr gebracht wird, ist eine Konformitätsbewertung erforderlich (Art. 28 und 32 CRA). Diese kann – je nach Risikoklasse – durch den Hersteller selbst oder durch eine benannte Stelle erfolgen. Zudem müssen Produkte mit digitalen Elementen mit einer CE-Kennzeichnung versehen sein.

Der CRA macht deutlich: Cybersicherheit ist Pflicht – vom Design an. Wer frühzeitig handelt, reduziert nicht nur Risiken, sondern stärkt auch das Vertrauen in seine Produkte und das eigene Unternehmen.

Produkttypen und Art von Sicherheitsanforderungen

Der CRA legt in Art. 6 die zentralen Sicherheitsanforderungen für alle Produkte mit digitalen Elementen fest. Diese Anforderungen gliedern sich in Anhang I in zwei Hauptbereiche: Produktsicherheits-Anforderungen (Teil I) und Schwachstellenmanagement (Teil II), die beide sicherstellen sollen, dass Produkte vor und nach dem Markteintritt gegen (neue) Cyberbedrohungen geschützt sind.

Die CRA gilt für alle Produkte mit digitalen Elementen, es sei denn, eine Ausnahme gemäß den Art. 1 und 2 CRA liegt vor. Der CRA verfolgt jedoch einen risikobasierten Ansatz, bei dem Produkte mit digitalen Elementen je nach Cybersicherheitsrisiko als „wichtig“ oder „kritisch“ eingestuft werden können. Für diese Kategorien von Produkten gelten zusätzliche und strengere Anforderungen als für reguläre Produkte mit digitalen Elementen. Diese Einstufung erfolgt anhand von Kriterien wie sicherheitsrelevante Funktionen, Einsatz in sensiblen Bereichen und potenzielle negative Auswirkungen.

Die als „wichtig“ oder „kritisch“ eingestuften Produkte sind in den Anhängen III und IV aufgeführt. Zudem können durch delegierte Rechtsakte der Kommission künftig neue Produktkategorien hinzugefügt werden.

Übersicht der Anforderungen an reguläre, wichtige und kritische digitale Produkte:

1. (Reguläre) Produkte mit digitalen Elementen

Definition/Beispiele: Allgemeine Hardware- und Softwareprodukte, die digitale Funktionen nutzen oder vernetzt sind (vgl. Erwg. 24 und Art. 3 CRA).
Anforderungen (u. a.):
- Cybersicherheitsanforderungen in Anhang I
- Informationen und Anleitungen für den Nutzer in Anhang II
- Konformitätsbewertungsnachweis (Erwg. 44 CRA)

2. Wichtige Produkte mit digitalen Elementen (vgl. Art. 7 CRA und Anhang III)

Definition/Beispiele: Ein wichtiges Produkt mit digitalen Elementen ist ein Produkt, das ein höheres Cybersicherheitsrisiko birgt und die Produktkategorien von wichtigen Produkten sind im Anhang III des CRA festgelegt (Art. 7 CRA). Produkte mit erhöhtem Cybersicherheitsrisiko und Auswirkungen wie z. B. Identitätsmanagementsysteme sowie Passwort-Manager, VPN-Software, SIEM-Lösung, Router, Modems für die Internetanbindung und Switches, IoT und Körper Geräte, Firewalls, Intrusion-Detection-Systeme und Intrusion-Prevention-Systeme usw. (vgl. Anhang III).
Anforderungen (u. a.):
- Cybersicherheitsanforderungen in Anhang I
- Informationen und Anleitungen für den Nutzer in Anhang II
- strengere Konformitätsbewertungsverfahren und Nachweise, insbesondere für Produkte, die in Klasse II des Anhangs III fallen (Erwg. 43–44 CRA)

3. Kritische Produkte mit digitalen Elementen (vgl. Art. 8 CRA und Anhang IV)

Definition/Beispiele: Produkte mit besonders hohem Risiko, die in kritischen Infrastrukturen verwendet werden, z. B. Hardwaregeräte mit Sicherheitsboxen, Smart-Meter-Gateways in intelligenten Messsysteme, Chipkarten oder ähnliche Geräte, einschließlich Sicherheitselemente (vgl. Anhang IV und Erwg. 46 CRA).
Anforderungen (u. a.):
- Cybersicherheitsanforderungen in Anhang I
- Informationen und Anleitungen für den Nutzer in Anhang II
- EU-Cybersicherheitszertifikat oder strengere Konformitätsbewertungsverfahren (Art. 32 Abs. 4 CRA)

Marktüberwachung, Sanktionen und die Rolle des BSI

Die Einhaltung der Vorschriften wird von den Marktüberwachungsbehörden der Mitgliedstaaten überwacht. Bei Verstößen können hohe Geldstrafen (bis 15 Mio. Euro) verhängt werden, deren Höhe sich nach dem Schweregrad des Verstoßes richtet (Art. 53 CRA). Unternehmen erhalten eine Übergangsfrist von 24 Monaten zur Anpassung an die neuen Anforderungen bevor Sanktionen greifen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bewirbt sich als nationale Marktaufsicht für vernetzte Produkte, um die Einhaltung der im CRA formulierten Anforderungen zu gewährleisten. Das BSI verweist auf seine Expertise durch die BSI TR-03183 (Cyber-Resilienz-Anforderungen). Das bereits 2021 mit dem IT-Sicherheitsgesetz 2.0 eingeführte „IT-Sicherheitskennzeichen“ kann Herstellern helfen, sich gezielt auf die neuen CRA-Anforderungen vorzubereiten.

Inkrafttreten, Vorbereitung und Fristen

Die wesentlichen Vorgaben und Anforderungen der CRA gelten grundsätzlich erst 36 Monate nach Inkrafttreten. Dennoch sollten betroffene Unternehmen bereits jetzt mit den Vorbereitungen beginnen, da „Security by Design“ eine frühzeitige und langfristige Planung erfordert. Zudem treten bestimmte Anforderungen – wie etwa Meldepflichten – bereits am 11.09.2026 in Kraft.

Umsetzungs-Timeline gemäß Art. 71 CRA:

am 20.11.2024: Veröffentlichung des CRA im Amtsblatt der Europäischen Union.
am 10.12.2024: Jetzt, 20 Tage nach der Veröffentlichung, tritt der CRA formell in Kraft.
am 11.06.2026: Kapitel IV (Art. 35–51 CRA) gilt ab diesem Datum – insbesondere für Konformitätsbewertungsstellen, die dann CRA-Anforderungen prüfen dürfen.
am 11.09.2026: Art. 14 CRA gilt ab diesem Datum, was die Meldepflicht für Schwachstellen und Sicherheitsvorfälle betrifft.
ab 11.12.2027: Ab diesem Datum gelten sämtliche CRA-Anforderungen vollständig für alle neue Produkte mit digitalen Elementen.

Dr. Erion Murati | 27. Mai 2025 | Informationssicherheit | CRA, Cyber Resilience Act, Cybersecurity, Cybersicherheit, Datenschutz und Datensicherheit, digitale Produkte, DuD, EU, Hersteller, Informationssicherheit, Produktsicherheit