Der Cyber Resilience Act (CRA) stellt Unternehmen vor neue Herausforderungen im Bereich der Cybersicherheit. Als erste horizontale Regelung für Produkte mit digitalen Elementen wirft die EU-Verordnung viele Fragen auf. In diesem Artikel beantworten wir die wichtigsten Fragen zum CRA – von grundlegenden Aspekten über spezifische Anforderungen bis hin zur praktischen Umsetzung. Die Antworten werden regelmäßig aktualisiert, um Ihnen stets einen aktuellen Überblick zu bieten.
Allgemeines
Was ist der Cyber Resilience Act?
Der Cyber Resilience Act (CRA) ist eine Verordnung der EU, die Mindestanforderungen an die Cybersicherheit von Produkten (Hardware und Software) festlegt. Ziel ist, Produkte sicherer zu machen und dadurch Verbraucher und Unternehmen besser vor Cyberangriffen zu schützen.
Was bedeutet der Cyber Resilience Act?
Der Cyber Resilience Act definiret Sicherheitsanforderungen für Produkte mit digitalen Elementen. Ziel ist es sicherzustellen, dass Produkte von der Entwicklung bis zum Ende ihrer Lebensdauer grundlegende Cybersicherheitsstandards erfüllen.
Warum gibt es den Cyber Resilience Act?
Der Cyber Resilience Act wurde eingeführt, um die Cybersicherheit von Produkten mit digitalen Elementen innerhalb der EU zu verbessern. Ziel ist es, die wachsende Bedrohung durch Cyberangriffe zu adressieren, die häufig durch unzureichend gesicherte Produkte ermöglicht werden.
Wie heißt der Cyber Resilience Act auf Deutsch?
Der offizelle Name ist „Cyberresilienz-Verordnung“. In den meisten Dokumenten wird jedoch weiterhin die englische Bezeichnung Cyber Resilience Act verwendet.
Ist der Cyber Resilience Act eine Verordnung oder Richtlinie?
Der CRA ist eine Verordnung. Das bedeutet, dass der CRA direkt in allen EU-Mitgliedstaaten gilt, ohne dass die einzelnen Staaten der EU ihn noch in nationales Recht umwandeln müssen.
Vergleich mit anderen EU-Regelwerken
Cyber Resilience Act vs. NIS2
Der Cyber Resilience Act (CRA) und die NIS 2-Richtlinie haben unterschiedliche Schwerpunkte:
- Der CRA konzentriert sich auf die Cybersicherheit von Produkten mit digitalen Elementen und legt Anforderungen an Hersteller, Importeure und Händler fest.
- NIS 2 richtet sich hingegen an Unternehmen und Organisationen in kritischen und wichtigen Sektoren, wie Energie oder Gesundheitswesen, und verlangt organisatorische sowie technische Sicherheitsmaßnahmen.
Während der CRA als Verordnung unmittelbar gilt, muss die NIS 2-Richtlinie in nationales Recht umgesetzt werden. Beide Regelwerke ergänzen sich, indem sie Produktsicherheit und organisatorische Sicherheit stärken.
Cyber Resilience Act vs. DORA (Digital Operational Resilience Act)
Der Cyber Resilience Act (CRA) und die Digital Operational Resilience Act (DORA) unterscheiden sich in ihrem Fokus und Anwendungsbereich:
- Der CRA konzentriert sich auf die Cybersicherheit von Produkten mit digitalen Elementen. Er legt Anforderungen an Hersteller, Importeure und Händler fest, um sicherzustellen, dass diese Produkte sicher entwickelt, betrieben und gewartet werden. Ziel ist es, die Sicherheit für alle Branchen zu verbessern, die solche Produkte nutzen.
- DORA hingegen ist speziell auf den Finanzsektor ausgerichtet. Sie reguliert die digitale operationelle Widerstandsfähigkeit von Finanzinstituten wie Banken, Versicherungen und Zahlungsdienstleistern. DORA zielt darauf ab, Risiken im Zusammenhang mit Cyberangriffen und IT-Ausfällen zu minimieren und fordert unter anderem klare Vorgaben für IT-Risikomanagement und Vorfallmeldungen.
Während der CRA branchenübergreifend gilt, ist DORA speziell für den Finanzsektor konzipiert. Beide ergänzen sich, indem sie verschiedene Aspekte der Cybersicherheit adressieren.
Cyber Resilience Act vs. Cyber Security Act
Der Cyber Resilience Act (CRA) und der Cybersecurity Act (CSA) haben unterschiedliche Schwerpunkte:
- Der CRA legt Cybersicherheitsanforderungen für Produkte mit digitalen Elementen fest. Er verpflichtet Hersteller, sichere Entwicklungsprozesse einzuhalten, Schwachstellen zu beheben und Sicherheitsupdates bereitzustellen. Ziel ist es, die Produktsicherheit in der gesamten EU zu erhöhen.
- Der Cybersecurity Act hingegen schafft den Rahmen für europäische Zertfizierungen zur Cybersicherheit. Er legt allgemeine Regeln und Vorgaben für Zertifizierungsschemata fest, wie z. B. das EUCC-Schema auf Basis der Common Criteria, und stärkt die Rolle der EU-Agentur ENISA.
Während der CRA verbindliche Sicherheitsanforderungen für Produkte definiert, fokussiert sich der CSA auf freiwillige Zertifizierungen zur Bewertung der Cybersicherheit von Produkten, Diensten und Prozessen.
Zeitplan, Inkrafttreten und Übergangsfristen
Ist der Cyber Resilience Act in Kraft?
Der Cyber Resilience Act (CRA) ist am 10. Dezember 2024 in Kraft getreten.
Die Hauptverpflichtungen, wie die Einhaltung der Cybersicherheitsanforderungen und die CE-Kennzeichnung, werden ab dem 11. Dezember 2027 verbindlich. Bestimmte Bestimmungen, insbesondere die Meldepflichten für Schwachstellen, gelten bereits ab dem 11. September 2026. Diese gestaffelten Übergangsfristen sollen den Marktteilnehmern ausreichend Zeit geben, um die neuen Anforderungen umzusetzen.
Wann kommt der Cyber Resilience Act?
Der Cyber Resilience Act (CRA) ist am 10. Dezember 2024 in Kraft getreten. Die meisten Anforderungen werden jedoch erst ab dem 11. Dezember 2027 verbindlich.
Wann tritt der Cyber Resilience Act in Kraft?
Der Cyber Resilience Act (CRA) ist am 10. Dezember 2024 in Kraft getreten. Die meisten Anforderungen, wie die Umsetzung von Cybersicherheitsmaßnahmen, gelten jedoch erst ab dem 11. Dezember 2027.
Bis wann muss der Cyber Resilience Act umgesetzt werden?
Die Vorgaben des Cyber Resilience Act (CRA) müssen spätestens bis zum 11. Dezember 2027 umgesetzt werden, da ab diesem Datum die alle Anforderungen verbindlich gelten. Für die Meldepflicht von Schwachstellen gilt eine frühere Frist: Diese tritt bereits am 11. September 2026 in Kraft.
Anwendungsbereich
Welche Produkte fallen unter den Cyber Resilience Act?
Der Cyber Resilience Act (CRA) gilt für alle Produkte mit digitalen Elementen, die innerhalb der EU in Verkehr gebracht werden. Dazu zählen sowohl Hardware als auch Software, unabhängig davon, ob sie für Verbraucher oder Unternehmen gedacht sind.
Ausnahmen gibt es für bestimmte Produkte, die bereits unter andere spezifische EU-Vorschriften fallen, wie z. B. Medizinprodukte oder Fahrzeuge, da deren Anfoderungen an die Cybersicherheit separat geregelt sind.
Fallen auch reine Softwareprodukte unter den Cyber Resilience Act?
Ja. Auch reine Softwareprodukte gelten als Produkte mit digitalen Elementen, sofern sie nicht ausdrücklich ausgenommen sind (z. B. bestimmte Open-Source-Software ohne kommerzielle Bereitstellung). Der CRA unterscheidet nicht grundsätzlich zwischen Hardware- und Softwareherstellern.
Gibt es Ausnahmen vom Cyber Resilience Act?
Der CRA gilt nicht für Produkte, die bereits spezifischen Cybersicherheitsanforderungen unter anderen EU-Regelungen unterliegen. Dazu gehören unter anderem:
- Medizinprodukte (reguliert durch die Medizinprodukteverordnung)
- Fahrzeuge (abgedeckt durch die Verordnungen für Typgenehmigungen)
- Luftfahrtprodukte
- Militärische Produkte
Diese Ausnahmen vermeiden Doppelregulierungen, da diese Produkte bereits durch eigene sektorale Regelungen Cybersicherheitsanforderungen erfüllen müssen.
Gilt der Cyber Resilience Act auch für Funkanlagen (radio equipement)?
Der Cyber Resilience Act (CRA) gilt auch für Funkanlagen (Radio Equipment), wenn diese Produkte mit digitalen Elementen ausgestattet sind. Die Anforderungen des CRA und der Funkanlagenrichtlinie (RED) gelten aktuell parallel, da beide Cybersicherheitsvorgaben enthalten.
Es ist jedoch vorgesehen, dass der CRA die Anforderungen an die Cybersicherheit der RED ersetzt, um eine einheitliche Regelung für Produkte mit digitalen Elementen zu schaffen.
Gilt der Cyber Resilience Act für kleine und mittlere Unternehmen (KMU)?
Der Cyber Resilience Act (CRA) gilt für alle Unternehmen, einschließlich kleiner und mittlerer Unternehmen (KMU), die Produkte mit digitalen Elementen in der EU herstellen, importieren oder vertreiben. Es gibt keine generellen Ausnahmen für KMU. Allerdings berücksichtigt der CRA die Bedürfnisse kleinerer Unternehmen und strebt an, den administrativen Aufwand für sie zu minimieren.
Gilt der Cyber Resilience Act für ausländische Unternehmen?
Ja. Der Cyber Resilience Act (CRA) gilt auch für Hersteller außerhalb der EU, sobald Produkte mit digitalen Elementen in der EU in Verkehr gebracht bzw. auf dem Markt bereitgestellt werden. Zusätzlich gilt: Ein Produkt darf nur dann auf dem Unionsmarkt bereitgestellt werden, wenn es einen in der EU niedergelassenen Wirtschaftsakteur gibt, der bestimmte Marktüberwachungs-Pflichten übernimmt (z. B. Nachweisprüfung von EU-Konformitätserklärung und technischer Dokumentation, Zusammenarbeit mit Behörden). Ist der Hersteller nicht in der EU niedergelassen, ist daher zwingend ein Importeur oder alternativ ein Bevollmächtigter (authorised representative) oder – falls sonst niemand vorhanden ist – ein Fulfilment-Dienstleister erforderlich.
Gilt der Cyber Resilience Act für Händler und Online-Marktplätze?
Ja, der Cyber Resilience Act (CRA) gilt auch für Händler und Online-Marktplätze, sofern sie Produkte mit digitalen Elementen in der EU vertreiben. Diese Akteure tragen die Verantwortung, sicherzustellen, dass die Produkte, die sie verkaufen, den Anforderungen des CRA entsprechen.
Händler müssen insbesondere prüfen, ob Produkte die CE-Kennzeichnung tragen, über eine EU-Konformitätserklärung verfügen und mit den erforderlichen Sicherheitsinformationen ausgestattet sind.
Gilt der Cyber Resilience Act für Software / Software-Produkte?
Ja, der Cyber Resilience Act (CRA) gilt ausdrücklich auch für Software und Software-Produkte, sofern sie in der EU bereitgestellt werden. Dazu zählen unter anderem Betriebssysteme, Anwendungssoftware, Middleware und sogar Open-Source-Software, wenn diese kommerziell vertrieben wird.
Gilt der Cyber Resilience Act für Open-Source-Software?
Der Cyber Resilience Act (CRA) gilt nicht für reine Open-Source-Software, die ohne direkte kommerzielle Absicht bereitgestellt wird. Das bedeutet, wenn die Software von Freiwilligen entwickelt und kostenlos zur Verfügung gestellt wird, fällt sie in der Regel nicht unter den CRA.
Wenn jedoch Open-Source-Software in einem kommerziellen Kontext genutzt wird – z. B. als Teil eines Produkts, das verkauft wird, oder wenn Supportleistungen oder andere bezahlte Dienste angeboten werden – dann gelten die Anforderungen des CRA. In diesem Fall ist der Anbieter des Endprodukts verantwortlich, die Anforderungen an die Cybersicherheit zu erfüllen.
Weitere Informationen zum Thema bietet unser Beitrag: Der Cyber Resilience Act und seine Auswirkungen auf Open-Source-Software.
Konformität
Welche Kategorien unterscheidet der Cyber Resilience Act?
Der Cyber Resilience Act (CRA) unterscheidet Produkte mit digitalen Elementen ausschließlich nach dem anzuwendenden Konformitätsbewertungsverfahren. Die technischen und prozessualen Anforderungen sind dabei für alle Produkte identisch.
Die Kategorien sind:
- Allgemeine Produkte
- Wichtige Produkte – Klasse I
- Wichtige Produkte – Klasse II
- Kritische Produkte
Details zu den einzelnen Kategorien und den zugehörigen Konformitätsbewertungsverfahren finden Sie in unserem Beitrag zum Cyber Resilience Act.
Wie werden Konformitätsbewertungsstellen eingebunden?
Konformitätsbewertungsstellen werden im Rahmen des Cyber Resilience Act (CRA) bei bestimmten Kategorien von Produkten eingebunden, um die Einhaltung der Cybersicherheitsanforderungen zu prüfen. Dies betrifft Produkte, bei denen die Eigenbewertung des Herstellers nicht ausreicht.
Die Einbindung erfolgt insbesondere bei:
- Wichtigen Produkten – Klasse II
- Kritischen Produkten
In diesen Fällen überprüft eine benannte Stelle die technische Dokumentation und gegebenenfalls das Produkt selbst, bevor es in Verkehr gebracht werden darf. Weitere Details zu den Konformitätsbewertungsverfahren finden Sie in unserem Beitrag zum Cyber Resilience Act.
Was bedeutet „Inverkehrbringen“ im Sinne des CRA?
Ein Produkt wird in Verkehr gebracht, wenn es erstmals auf dem EU-Markt bereitgestellt wird. Das kann durch Verkauf, Vermietung oder andere Formen der kommerziellen Bereitstellung erfolgen. Auch das erstmalige Bereitstellen kostenloser Software im Rahmen einer kommerziellen Tätigkeit kann als Inverkehrbringen gelten.
Was bedeutet „Bereitstellung auf dem Markt“ und worin liegt der Unterschied zum Inverkehrbringen?
Die Bereitstellung auf dem Markt bezeichnet jede Abgabe eines Produkts zum Vertrieb, Verbrauch oder zur Nutzung auf dem EU-Markt. Das Inverkehrbringen ist dabei der erste dieser Schritte. Nachgelagerte Updates oder neue Versionen können ebenfalls als erneute Bereitstellung gelten.
Muss bestehende Software nachträglich CRA-konform gemacht werden?
Der CRA gilt grundsätzlich nur für Produkte, die nach dem Anwendungsbeginn neu in Verkehr gebracht oder wesentlich verändert werden. Bestehende Produkte ohne wesentliche Änderungen müssen nicht rückwirkend angepasst werden, unterliegen aber weiterhin anderen geltenden Rechtsakten (z. B. Produkthaftung).
Was gilt als „wesentliche Änderung“ eines Produkts?
Eine wesentliche Änderung liegt vor, wenn sich durch eine Änderung die Cybersecurity-Eigenschaften oder der Verwendungszweck eines Produkts relevant ändern. In diesem Fall gilt das Produkt regulatorisch als neu in Verkehr gebracht und muss vollständig CRA-konform sein.
Welche Rolle spielen Updates und neue Software-Versionen?
Sicherheitsupdates gelten grundsätzlich nicht als wesentliche Änderung. Funktionsupdates oder neue Versionen können jedoch eine wesentliche Änderung darstellen, wenn sie neue Risiken einführen oder bestehende Sicherheitsannahmen verändern.
Updates
Muss ich für meine Produkte Updates anbieten?
Hersteller müssen Sicherheitsupdates während eines Supportzeitraums bereitstellen. Dieser Supportzeitraum muss mindestens fünf Jahre betragen. Wenn jedoch vernünftigerweise zu erwarten ist, dass das Produkt länger als fünf Jahre in Nutzung ist, ist ein längerer Supportzeitraum erforderlich (die „mindestens fünf Jahre“ reichen dann nicht aus). Ein Supportzeitraum von weniger als fünf Jahren ist nur dann gerechtfertigt, wenn die erwartete Nutzungsdauer des Produkts tatsächlich unter fünf Jahren liegt (z. B. sehr zweckgebundene Software oder bestimmte Abo-Modelle).
Kann ich für meine Updates Geld verlangen?
Grundsätzlich dürfen für Sicherheitsupdates gemäß dem Cyber Resilience Act (CRA) keine zusätzlichen Kosten erhoben werden. Sicherheitsaktualisierungen, die zur Behebung festgestellter Schwachstellen bereitgestellt werden, müssen unverzüglich und kostenlos bereitgestellt werden.
Falls es sich jedoch um ein maßgeschneidertes Produkt mit digitalen Elementen handelt, kann zwischen dem Hersteller und dem gewerblichen Nutzer eine abweichende Vereinbarung getroffen werden. In diesem Fall können Kosten für Sicherheitsupdates vereinbart werden, sofern dies ausdrücklich vertraglich geregelt ist.
Umsetzung
Wie kann ich mich auf den Cyber Resilience Act vorbereiten?
Um sich auf den Cyber Resilience Act (CRA) vorzubereiten, sollten Hersteller folgende Schritte unternehmen:
- Analyse der Produktkategorie:
Bestimmen Sie, in welche Kategorie Ihre Produkte fallen (allgemein, wichtig, kritisch) und welches Konformitätsbewertungsverfahren angewendet werden muss. - Prozesse anpassen:
Implementieren Sie einen sicheren Produktentwicklungsprozess, der die Anforderungen des CRA erfüllt (z. B. gemäß IEC 62443-4-1). - Technische Anforderungen erfüllen:
Implementieren Sie Sicherheitsfunktionen auf Basis einer Risikobetrachtung, um potenzielle Bedrohungen effektiv zu adressieren. - Technische Dokumentation vorbereiten:
Erstellen Sie die erforderlichen Nachweise und Dokumentationen, die im Rahmen des Konformitätsbewertungsverfahrens geprüft werden müssen.
Was passiert, wenn ich den Cyber Resilience Act nicht einhalte?
Die Nichteinhaltung des Cyber Resilience Acts (CRA) kann erhebliche Konsequenzen haben, darunter:
- Verkaufsverbot:
Produkte, die die Anforderungen des CRA nicht erfüllen, dürfen nicht in der EU verkauft oder in Verkehr gebracht werden. - Rückruf oder Marktentzug:
Produkte, die bereits auf dem Markt sind, können von den zuständigen Behörden zurückgerufen oder vom Markt entfernt werden, wenn sie nicht den Vorschriften entsprechen. - Bußgelder:
Der CRA sieht hohe Geldstrafen vor, die abhängig vom Schweregrad des Verstoßes sein können. Die maximale Strafe beträgt bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
Muss ich ein Schwachstellenmanagement einführen, auch wenn ich bisher keines hatte?
Ja. Der CRA verpflichtet Hersteller zur Einrichtung und Aufrechterhaltung eines strukturierten Vulnerability-Handling-Prozesses. Dieser umfasst u. a. die Entgegennahme von Schwachstellenmeldungen, deren Bewertung, Abhilfe sowie die Information von Nutzern und Behörden.
Welche Meldepflichten gelten bei aktiv ausgenutzten Schwachstellen?
Aktiv ausgenutzte Schwachstellen müssen innerhalb von 24 Stunden nach Bekanntwerden an die zuständige Behörde gemeldet werden. Zusätzlich müssen relevante Informationen an betroffene Nutzer weitergegeben werden, sofern dies zur Risikominimierung erforderlich ist.
Was bedeutet „Security by Design“ im Kontext des CRA konkret?
Security by Design bedeutet, dass Cybersicherheit systematisch bereits in der Produktkonzeption und Entwicklung berücksichtigt wird. Dazu zählen u. a. sichere Default-Einstellungen, Minimierung der Angriffsfläche, sichere Update-Mechanismen und der Schutz sensibler Daten.
Reicht eine bestehende IEC-62443- oder ISO-27001-Umsetzung für den CRA aus?
Nein, nicht automatisch. Bestehende Standards können helfen, viele CRA-Anforderungen abzudecken, ersetzen aber keine CRA-spezifische Bewertung. Hersteller müssen nachweisen, dass alle relevanten Anforderungen des CRA erfüllt sind, unabhängig von bestehenden Zertifizierungen.
Welche Rolle spielt die technische Dokumentation im CRA?
Die technische Dokumentation ist zentraler Bestandteil der Konformitätsbewertung. Sie muss u. a. das Produkt, seine Sicherheitsfunktionen, den Entwicklungsprozess und die getroffenen Schutzmaßnahmen nachvollziehbar beschreiben und für Marktaufsichtsbehörden verfügbar sein.