Der Cyber Resilience Act bindet den Hersteller eines Produkts mit digitalen Elementen über dessen gesamten Lebenszyklus, von der ersten Konzeption bis zum Ende der Unterstützung. Die zentralen CRA Herstellerpflichten bündelt Artikel 13 der Verordnung (EU) 2024/2847. Dort steht, was ein Hersteller vor dem Inverkehrbringen leisten muss und welche Verantwortung danach weiterläuft. Dieser Beitrag ordnet die Pflichten in fünf Themenbereiche und zeigt, wo sie in den übrigen Pflichten des Cyber Resilience Act verankert sind.
Artikel 13 ist der Kern der Herstellerpflichten. Er folgt einer Lebenszyklus-Logik: Die Cybersicherheit eines Produkts wird nicht erst beim Verkauf geprüft, sondern bereits in Konzeption und Entwicklung angelegt und über den gesamten Unterstützungszeitraum gepflegt. Die einzelnen Absätze lassen sich zu fünf Themenbereichen bündeln, die im Folgenden der Reihe nach erläutert werden.
| Pflichtenbereich | Kernpflicht |
|---|---|
| Risikobasierter Ansatz | Produkt sicher konzipieren, entwickeln und herstellen; die Cybersicherheitsrisiken bewerten und das Ergebnis in allen Phasen berücksichtigen. |
| Verantwortung über den Lebenszyklus | Schwachstellen wirksam behandeln, Sicherheitsaktualisierungen bereitstellen und den Unterstützungszeitraum festlegen. |
| Reporting | Schwachstellen in Komponenten an deren Verantwortliche melden, Cybersicherheitsaspekte dokumentieren und Behörden auf Verlangen informieren. |
| Transparenz | Technische Dokumentation, EU-Konformitätserklärung und CE-Kennzeichnung erstellen sowie Nutzer informieren. |
| Sichere Lieferkette | Beim Integrieren von Dritt-Komponenten die gebotene Sorgfalt walten lassen und die Software-Stückliste (SBOM) bereithalten. |
Risikobasierter Ansatz und Secure Development Lifecycle
Die Absätze 1 bis 4 des Artikels 13 verlangen, dass ein Produkt mit digitalen Elementen gemäß den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I konzipiert, entwickelt und hergestellt wird. Sicherheit ist damit keine Eigenschaft, die nachträglich aufgesetzt wird, sondern ein Merkmal, das von Beginn an eingebaut sein muss. Wie ein solcher sicherer Entwicklungsprozess ausgestaltet sein kann, beschreibt die IEC 62443-4-1.
Was bedeutet ein risikobasierter Ansatz konkret?
Ein anschauliches Beispiel ist ein vernetzter Embedded Controller mit Web-Interface: Schon in der Konzeption greift die Risikobewertung, weil das Web-Interface eine Angriffsfläche eröffnet, deren Risiken über die voraussichtliche Nutzungsdauer hinweg betrachtet und in jeder Phase berücksichtigt werden müssen.
Um diese Pflicht zu erfüllen, führt der Hersteller eine Bewertung der Cybersicherheitsrisiken durch, die das Produkt birgt. Das Ergebnis dieser Bewertung fließt in alle Phasen ein: in die Planung, die Konzeption, die Entwicklung, die Herstellung, die Lieferung und die Wartung. Ziel ist, die Risiken zu minimieren, Sicherheitsvorfälle zu verhindern und ihre Auswirkungen, auch für Gesundheit und Sicherheit der Nutzer, gering zu halten.
Was muss die Risikobewertung enthalten?
Die Risikobewertung ist nicht statisch. Sie wird während des Unterstützungszeitraums dokumentiert und bei Bedarf aktualisiert. Inhaltlich umfasst sie mindestens eine Analyse der Risiken auf Grundlage der Zweckbestimmung und der vernünftigerweise vorhersehbaren Verwendung des Produkts, wobei die voraussichtliche Nutzungsdauer berücksichtigt wird. Die Bewertung gibt außerdem an, ob und wie die einzelnen Sicherheitsanforderungen aus Anhang I auf das Produkt anwendbar sind und wie sie umgesetzt werden.
Beim Inverkehrbringen nimmt der Hersteller die Risikobewertung in die technische Dokumentation auf, die Artikel 31 und Anhang VII vorschreiben. Sind einzelne grundlegende Cybersicherheitsanforderungen auf das Produkt nicht anwendbar, gehört eine klare Begründung dafür in dieselbe Dokumentation. Wer eine Anforderung weglässt, muss diese Entscheidung also belegen.
Welche technischen und prozessualen Detailanforderungen hinter Anhang I stehen, behandelt der Beitrag zu den Anforderungen aus Anhang I des CRA.
Verantwortung über den Lebenszyklus
Mit dem Inverkehrbringen endet die Verantwortung des Herstellers nicht, sie beginnt in vielerlei Hinsicht erst. Die Absätze 8 bis 11 sowie 21 und 23 regeln, wie lange und in welchem Umfang ein Produkt nach dem Verkauf gepflegt werden muss.
Im Kern geht es um die Pflichten nach dem Inverkehrbringen. Dazu gehören die Bereitstellung von Sicherheitsaktualisierungen, die Festlegung des Unterstützungszeitraums, die Korrekturmaßnahmen bei festgestellter Nichtkonformität und die Pflichten bei einer Geschäftsaufgabe.
Wie lange müssen Hersteller Sicherheitsupdates bereitstellen?
Während der erwarteten Produktlebensdauer und des Unterstützungszeitraums stellt der Hersteller sicher, dass Schwachstellen des Produkts und seiner Komponenten wirksam behandelt werden, im Einklang mit den Anforderungen aus Anhang I Teil II. Den Unterstützungszeitraum legt der Hersteller selbst fest, und zwar so, dass er die Dauer der voraussichtlichen Nutzung widerspiegelt. Maßgeblich sind dabei unter anderem angemessene Erwartungen der Nutzer, die Art des Produkts und einschlägige Unionsvorschriften zur Lebensdauer.
Der Unterstützungszeitraum beträgt mindestens fünf Jahre. Wird davon ausgegangen, dass das Produkt weniger als fünf Jahre im Betrieb ist, entspricht der Unterstützungszeitraum der voraussichtlichen Nutzungsdauer. Die Kommission kann für bestimmte Produktkategorien einen Mindestunterstützungszeitraum durch delegierte Rechtsakte festlegen, wenn Marktüberwachungsdaten auf unangemessen kurze Zeiträume hindeuten.
Von der Update-Pflicht zu unterscheiden ist die Verfügbarkeit der Updates: Jede Sicherheitsaktualisierung, die den Nutzern während des Unterstützungszeitraums bereitgestellt wurde, bleibt nach ihrer Bereitstellung für mindestens zehn Jahre verfügbar, oder für die verbleibende Dauer des Unterstützungszeitraums, je nachdem, welcher Zeitraum länger ist.
Für Softwareprodukte gibt es eine Erleichterung: Hat ein Hersteller wesentlich geänderte Versionen in Verkehr gebracht, kann er die Einhaltung der einschlägigen Anforderung auf die zuletzt in Verkehr gebrachte Version beschränken. Das gilt jedoch nur, wenn die Nutzer der früheren Version kostenlos Zugang zur neuesten Version haben und ihnen keine zusätzlichen Kosten für die Anpassung ihrer Hard- und Softwareumgebung entstehen. Unterhält ein Hersteller öffentliche Softwarearchive mit historischen Versionen, informiert er die Nutzer klar und leicht zugänglich über die Risiken nicht unterstützter Software.
Was gilt bei festgestellter Nichtkonformität?
Stellt ein Hersteller fest oder hat er Grund zu der Annahme, dass sein Produkt oder seine Verfahren den grundlegenden Cybersicherheitsanforderungen nicht genügen, ergreift er unverzüglich die erforderlichen Korrekturmaßnahmen. Je nach Lage stellt er die Konformität wieder her, nimmt das Produkt vom Markt oder ruft es zurück.
Wie der Unterstützungszeitraum und die Schwachstellenbehandlung zusammenhängen und welche Klarstellungen es dazu gab, ordnen wir im Beitrag zur Klarstellung zum CRA ein.
Was gilt am Ende, etwa bei Geschäftsaufgabe?
Auch das Ende der Betriebstätigkeit ist geregelt. Ein Hersteller, der seine Tätigkeit einstellt und deshalb die Verordnung nicht mehr erfüllen kann, unterrichtet vor dem Wirksamwerden der Einstellung die einschlägigen Marktüberwachungsbehörden. Soweit möglich, informiert er mit allen verfügbaren Mitteln auch die Nutzer der betroffenen Produkte über die bevorstehende Einstellung.
Schwachstellen melden und Behörden informieren
Die Absätze 6, 7 und 22 betreffen die Kommunikation nach außen: zu den Verantwortlichen einzelner Komponenten und zu den Behörden. Diese Pflichten sind nicht mit den Meldepflichten an CSIRT und ENISA zu verwechseln, dazu am Ende des Abschnitts mehr.
Wie meldet der Hersteller Schwachstellen in Komponenten?
Sobald der Hersteller eine Schwachstelle in einer integrierten Komponente feststellt, einschließlich einer quelloffenen Komponente, meldet er sie der Person oder Einrichtung, die diese Komponente herstellt oder wartet. Zugleich behandelt und behebt er die Schwachstelle nach den Anforderungen aus Anhang I Teil II. Hat der Hersteller eine Software- oder Hardware-Änderung entwickelt, um die Schwachstelle in der Komponente zu beheben, teilt er den betreffenden Code oder die einschlägigen Unterlagen, gegebenenfalls in maschinenlesbarem Format, mit den Verantwortlichen der Komponente.
Was muss dokumentiert und an Behörden übermittelt werden?
Parallel dokumentiert der Hersteller systematisch alle relevanten Cybersicherheitsaspekte des Produkts. Dazu zählen die Schwachstellen, von denen er Kenntnis erlangt, sowie einschlägige Informationen Dritter. Bei Bedarf aktualisiert er die Risikobewertung. Teil dieser Pflichten ist auch eine Strategie für die koordinierte Offenlegung von Schwachstellen nach Anhang I Teil II, mit der intern oder extern gemeldete Schwachstellen bearbeitet und behoben werden.
Gegenüber den Behörden gilt eine Mitwirkungspflicht. Auf begründetes Verlangen der Marktüberwachungsbehörde übermittelt der Hersteller alle Informationen und Unterlagen, die für den Nachweis der Konformität erforderlich sind. Er arbeitet mit der Behörde bei allen Maßnahmen zur Abwendung der Cybersicherheitsrisiken zusammen, die mit seinem Produkt verbunden sind.
Worin unterscheidet sich das von den Meldepflichten nach dem CRA?
Abzugrenzen ist dieses Reporting von den Meldepflichten an die Behörden bei aktiv ausgenutzten Schwachstellen und schwerwiegenden Sicherheitsvorfällen. Die dort geltende Frühwarnung innerhalb von 24 Stunden sowie die anschließenden Meldungen und Folgeberichte sind nicht Gegenstand der Herstellerpflichten aus Artikel 13, sondern eigener Meldepflichten. Diese behandelt der Beitrag zu den Meldepflichten nach dem CRA.
Transparenz, CE-Kennzeichnung und Nutzerinformation
Die Absätze 12 bis 20 machen die Konformität nach außen sichtbar und stellen sicher, dass Nutzer die Informationen erhalten, die sie für den sicheren Betrieb brauchen.
Wann wird die CE-Kennzeichnung angebracht?
Vor dem Inverkehrbringen erstellt der Hersteller die technische Dokumentation nach Artikel 31, führt die Konformitätsbewertung nach Artikel 32 durch oder lässt sie durchführen und stellt bei erfolgreichem Nachweis die EU-Konformitätserklärung nach Artikel 28 aus. Anschließend bringt er die CE-Kennzeichnung nach Artikel 30 an. Die CE-Kennzeichnung ist damit der sichtbare Schlusspunkt eines Nachweisprozesses, kein eigenständiger Schritt.
Welche Unterlagen muss der Hersteller aufbewahren?
Daran knüpfen mehrere Informations- und Aufbewahrungspflichten an. Der Hersteller bewahrt die technische Dokumentation und die EU-Konformitätserklärung mindestens zehn Jahre oder für die Dauer des Unterstützungszeitraums auf, je nachdem, welcher Zeitraum länger ist. Bei Serienherstellung sorgt er durch geeignete Verfahren dafür, dass die Konformität erhalten bleibt. Jedes Produkt trägt eine Typen-, Chargen- oder Seriennummer oder ein anderes Kennzeichen zur Identifikation. Der Hersteller gibt zudem seine Kontaktangaben an und benennt eine zentrale Anlaufstelle, über die Nutzer direkt und schnell mit ihm kommunizieren können, auch um Schwachstellen zu melden.
Welche Informationen müssen Nutzer erhalten?
Die Informationen und Anleitungen für den Nutzer nach Anhang II werden dem Produkt beigefügt und mindestens zehn Jahre oder für die Dauer des Unterstützungszeitraums verfügbar gehalten. Das Enddatum des Unterstützungszeitraums muss zum Zeitpunkt des Kaufs leicht zugänglich angegeben sein, mit mindestens Monat und Jahr. Schließlich fügt der Hersteller dem Produkt eine Kopie der EU-Konformitätserklärung oder eine vereinfachte EU-Konformitätserklärung bei, die in diesem Fall die Internetadresse der vollständigen Erklärung nennt.
| Unterlage / Gegenstand | Mindestdauer |
|---|---|
| Technische Dokumentation und EU-Konformitätserklärung | 10 Jahre oder Unterstützungszeitraum, je nachdem, welcher länger ist |
| Informationen und Anleitungen für Nutzer | 10 Jahre oder Unterstützungszeitraum, je nachdem, welcher länger ist |
| Verfügbarkeit bereitgestellter Sicherheitsaktualisierungen | 10 Jahre oder verbleibende Dauer des Unterstützungszeitraums, je nachdem, welcher länger ist |
| Unterstützungszeitraum selbst | mindestens 5 Jahre (oder voraussichtliche Nutzungsdauer, wenn kürzer) |
Sichere Lieferkette, Komponenten und SBOM
Kaum ein Produkt mit digitalen Elementen entsteht ohne fremde Komponenten. Die Absätze 5, 24 und 25 nehmen deshalb die Lieferkette in den Blick.
Welche Sorgfaltspflicht gilt für Dritt-Komponenten?
Integriert ein Hersteller von Dritten bezogene Komponenten, lässt er die gebotene Sorgfalt walten, damit diese Komponenten die Cybersicherheit des Produkts nicht beeinträchtigen. Diese Sorgfaltspflicht (Due Diligence) gilt ausdrücklich auch für freie und quelloffene Software, die nicht im Rahmen einer Geschäftstätigkeit bereitgestellt wurde.
Was ist eine SBOM und wofür dient sie?
Ein zentrales Instrument der Lieferketten-Transparenz ist die SBOM, die Software-Stückliste. Die Kommission kann durch Durchführungsrechtsakte das Format und die Elemente der Software-Stückliste festlegen und sich dabei an europäischen und internationalen Normen orientieren. Darüber hinaus kann die besondere Gruppe zur administrativen Zusammenarbeit (ADCO) beschließen, für bestimmte Produktkategorien eine unionsweite Bewertung der Abhängigkeit von Softwarekomponenten durchzuführen. Zu diesem Zweck können die Marktüberwachungsbehörden die betroffenen Hersteller auffordern, ihre Software-Stücklisten vorzulegen.
Wo enden die Herstellerpflichten?
Die Herstellerpflichten enden dort, wo die Pflichten der nachgelagerten Akteure beginnen. Einführer und Händler prüfen vor dem Inverkehrbringen beziehungsweise der Bereitstellung unter anderem, ob die CE-Kennzeichnung angebracht ist. Welche Pflichten für diese Akteure gelten, behandelt der Beitrag zu den Pflichten von Einführern und Händlern.
Die Reichweite dieser Pflichten zeigt sich an den Sanktionen. Verstöße gegen die Herstellerpflichten fallen unter die schärfste Sanktionsstufe des CRA mit Geldbußen von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Welche Stufen der CRA unterscheidet und wie die Höhe bemessen wird, ordnet der Beitrag zu den CRA-Sanktionen ein.
Wo die Herstellerpflichten im Gesamtbild der europäischen Cybersecurity-Regulierung stehen, zeigt unsere Übersicht zu den einschlägigen EU-Rechtsakten.