Im vierten Teil unserer Blogreihe „sicher & resilient“ schauen wir auf den Cyber Resilience Act (CRA) und dessen Anforderungen an die Produktsicherheit sowie die Pflichten für Hersteller. Der CRA ergänzt die bestehenden Sicherheitsregelungen, indem er erstmals die Produktsicherheit digitaler Geräte und Software in den Fokus rückt. Während das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG, Regierungsentwurf) und das KRITIS-Dachgesetz (Regierungsentwurf) organisatorische und physische Sicherheitsmaßnahmen für Betreiber kritischer Infrastrukturen regeln, schafft der CRA verbindliche Vorgaben für Hersteller, Importeure und Händler von Produkten mit digitalen Elementen (PDE). Ziel ist es, Sicherheitslücken entlang des gesamten Produktlebenszyklus zu minimieren und die Resilienz digitaler Systeme zu stärken (vgl. BSI CRA 2024).

Grafik mit einer Zeitleiste zum CRA, von 2024 bis 2027.
Abb.: eigene Darstellung

In Zeiten wachsender Cyberangriffe auf IoT-Geräte und Software ist diese Regulierung ein notwendiger Schritt. Laut ENISA-Bericht 2023 besteht ein Großteil der Sicherheitslücken in Unternehmensnetzwerken aufgrund unsicherer Produkte (vgl. ENISA 2023). Beispiele wie das Mirai-Botnet zeigen, wie kompromittierte IoT-Geräte für großflächige Angriffe missbraucht werden können. Der CRA setzt hier an, indem er „Security by Design“ und „Security by Default“ zur gesetzlichen Vorgabe macht.

Pflichten für Hersteller und Marktakteure

In der folgenden Abbildung sehen Sie die verschiedenen Stufen der Pflichten aus dem CRA für Produkthersteller und andere Marktakteure.

Grafik zum CRA und den betroffenen Produkten mit digitalen Elementen.
Abb.: eigene Darstellung

Der CRA verpflichtet Hersteller dazu, Sicherheitsfunktionen bereits in der Entwicklungsphase („Security by Design“) von „Produkten mit digitalen Elementen“ (PDE) zu integrieren und diese standardmäßig zu aktivieren („Security by Default“). Unternehmen müssen ein Risikomanagement etablieren, das kontinuierlich potenzielle Schwachstellen bewertet und Sicherheitsmaßnahmen anpasst (vgl. hierzu und im Folgenden: BSI CRA 2024).

Besonders relevant ist die Pflicht zur Erstellung einer Software Bill of Materials (SBOM). Diese Dokumentation listet alle Komponenten eines Produkts auf und ermöglicht es Betreibern, Schwachstellen schnell zu identifizieren. Für sicherheitskritische Produkte wie IoT-Geräte und industrielle Steuerungssysteme schreibt der CRA zudem regelmäßige Updates und Patches vor. Diese müssen über die gesamte Lebensdauer des Produkts – mindestens jedoch fünf Jahre – bereitgestellt werden.

Meldepflichten spielen auch im CRA eine zentrale Rolle. Hersteller müssen Sicherheitslücken und Vorfälle innerhalb von 24 Stunden an die zuständigen Behörden melden. Diese Regelung soll gewährleisten, dass potenzielle Angriffe frühzeitig erkannt und Gegenmaßnahmen eingeleitet werden können. Produkte, die diesen Anforderungen nicht genügen, dürfen nicht in der EU vermarktet werden und müssen vom Markt zurückgerufen werden.

CE-Kennzeichnung und Zertifizierung

Ein weiteres zentrales Element des CRA ist die Verpflichtung zur CE-Kennzeichnung. Nur Produkte, die den Sicherheitsanforderungen entsprechen und erfolgreich getestet wurden, dürfen das CE-Zeichen tragen und auf den europäischen Markt gebracht werden. Die Konformitätsbewertungsstellen (KBS) übernehmen dabei die Prüfung und Zertifizierung.

Grafik zu den verschiedenen Produktklassen nach dem CRA.
Abb.: eigene Darstellung

Die Zertifizierungsanforderungen richten sich nach dem Risikoprofil eines Produkts. Hochrisikoprodukte, wie z. B. Router oder industrielle Steuerungssysteme, müssen umfassendere Tests durchlaufen als Geräte mit geringem Sicherheitsrisiko. Hersteller müssen ihre Produkte regelmäßig überprüfen lassen, um sicherzustellen, dass diese auch nach Updates und Funktionsänderungen den CRA-Anforderungen entsprechen.

Bei Nichteinhaltung drohen strenge Sanktionen:

  • Geldstrafen von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes.
  • Strafrechtliche Konsequenzen für die Nutzung von Produkten ohne CE-Kennzeichnung.
  • Der Entzug der Betriebserlaubnis kann ebenfalls eine Folge sein.

Herausforderungen für Hersteller und Anbieter

Der CRA stellt Hersteller vor erhebliche Herausforderungen. Die Integration von Sicherheitsmaßnahmen in die Produktentwicklung erhöht die Kosten und Entwicklungszeiten. Gerade kleinere Unternehmen mit begrenzten Ressourcen müssen neue Prozesse einführen, um die Anforderungen zu erfüllen.

Ein weiteres Problem sind die Lieferkettenrisiken. Viele Produkte bestehen aus Komponenten unterschiedlicher Zulieferer. Hersteller müssen sicherstellen, dass alle Bestandteile – auch von Drittanbietern – den CRA-Vorgaben entsprechen. Dies erfordert eine transparente Dokumentation und regelmäßige Prüfungen.

Auch die Knappheit an KBS könnte zum Engpass werden. Da die Nachfrage nach Zertifizierungen stark steigen wird, drohen Verzögerungen bei der Markteinführung neuer Produkte.

Synergien mit dem NIS2UmsuCG und dem KRITIS-Dachgesetz

Der CRA ist eng mit den anderen Regelwerken verzahnt. Während das NIS2UmsuCG organisatorische Sicherheitsmaßnahmen und das KRITIS-Dachgesetz physische Resilienz abdeckt, sorgt der CRA für die Sicherheit der für die Umsetzung der Anforderungen verwendeten Technologien.

Grafik zu den Sicherheitsanforderungen für Produkte nach dem CRA.
Abb.: eigene Darstellung

Ein Energieversorger muss bspw. gemäß NIS2UmsuCG ein Informationssicherheits-Managementsystem (ISMS) implementieren und nach KRITIS-Dachgesetz Notfallpläne erstellen. Gleichzeitig müssen die in seinem Netzwerk eingesetzten Smart Meter den CRA-Anforderungen entsprechen, etwa durch verschlüsselte Kommunikation und regelmäßige Sicherheitsupdates.

Sicherheit über den gesamten Lebenszyklus

Der CRA definiert neue Standards für die Sicherheit digitaler Produkte und fordert Hersteller auf, Verantwortung für ihre Produkte über den gesamten Lebenszyklus hinweg zu übernehmen. Gleichzeitig verdeutlicht der CRA, dass Cybersicherheit ein integraler Bestandteil der Produktentwicklung ist. Hersteller, die diese Anforderungen strategisch umsetzen, sichern sich langfristige Wettbewerbsvorteile und tragen aktiv zur Resilienz digitaler Infrastrukturen bei.

Der fünfte Beitrag aus unserer Blogreihe „sicher & resilient“ befasst sich mit den Themen Auditierung, Konformitätsbewertung und die Rolle der Konformitätsbewertungsstellen (KBS).

Weitere Teile der Blogreihe „sicher & resilient“:

| | | , , , , , , , , , , , , , ,