Der Cyber Resilience Act (CRA) stellt Unternehmen vor neue Herausforderungen im Bereich der Cybersicherheit. Als erste horizontale Regelung für Produkte mit digitalen Elementen wirft die EU-Verordnung viele Fragen auf. In diesem Artikel beantworten wir die wichtigsten Fragen zum CRA – von grundlegenden Aspekten über spezifische Anforderungen bis hin zur praktischen Umsetzung. Die Antworten werden regelmäßig aktualisiert, um Ihnen stets einen aktuellen Überblick zu bieten.
Allgemeines
Was ist der Cyber Resilience Act?
Der Cyber Resilience Act (CRA) ist eine Verordnung der EU, die Mindestanforderungen an die Cybersicherheit von Produkten (Hardware und Software) festlegt. Ziel ist, Produkte sicherer zu machen und dadurch Verbraucher und Unternehmen besser vor Cyberangriffen zu schützen.
Was bedeutet der Cyber Resilience Act?
Der Cyber Resilience Act definiret Sicherheitsanforderungen für Produkte mit digitalen Elementen. Ziel ist es sicherzustellen, dass Produkte von der Entwicklung bis zum Ende ihrer Lebensdauer grundlegende Cybersicherheitsstandards erfüllen.
Warum gibt es den Cyber Resilience Act?
Der Cyber Resilience Act wurde eingeführt, um die Cybersicherheit von Produkten mit digitalen Elementen innerhalb der EU zu verbessern. Ziel ist es, die wachsende Bedrohung durch Cyberangriffe zu adressieren, die häufig durch unzureichend gesicherte Produkte ermöglicht werden.
Wie heißt der Cyber Resilience Act auf Deutsch?
Der offizelle Name ist „Cyberresilienz-Verordnung„. In den meisten Dokumenten wird jedoch weiterhin die englische Bezeichnung Cyber Resilience Act verwendet.
Ist der Cyber Resilience Act eine Verordnung oder Richtlinie?
Der CRA ist eine Verordnung. Das bedeutet, dass der CRA direkt in allen EU-Mitgliedstaaten gilt, ohne dass die einzelnen Staaten der EU ihn noch in nationales Recht umwandeln müssen.
Vergleich mit anderen EU-Regelwerken
Cyber Resilience Act vs. NIS2
Der Cyber Resilience Act (CRA) und die NIS 2-Richtlinie haben unterschiedliche Schwerpunkte:
- Der CRA konzentriert sich auf die Cybersicherheit von Produkten mit digitalen Elementen und legt Anforderungen an Hersteller, Importeure und Händler fest.
- NIS 2 richtet sich hingegen an Unternehmen und Organisationen in kritischen und wichtigen Sektoren, wie Energie oder Gesundheitswesen, und verlangt organisatorische sowie technische Sicherheitsmaßnahmen.
Während der CRA als Verordnung unmittelbar gilt, muss die NIS 2-Richtlinie in nationales Recht umgesetzt werden. Beide Regelwerke ergänzen sich, indem sie Produktsicherheit und organisatorische Sicherheit stärken.
Cyber Resilience Act vs. DORA (Digital Operational Resilience Act)
Der Cyber Resilience Act (CRA) und die Digital Operational Resilience Act (DORA) unterscheiden sich in ihrem Fokus und Anwendungsbereich:
- Der CRA konzentriert sich auf die Cybersicherheit von Produkten mit digitalen Elementen. Er legt Anforderungen an Hersteller, Importeure und Händler fest, um sicherzustellen, dass diese Produkte sicher entwickelt, betrieben und gewartet werden. Ziel ist es, die Sicherheit für alle Branchen zu verbessern, die solche Produkte nutzen.
- DORA hingegen ist speziell auf den Finanzsektor ausgerichtet. Sie reguliert die digitale operationelle Widerstandsfähigkeit von Finanzinstituten wie Banken, Versicherungen und Zahlungsdienstleistern. DORA zielt darauf ab, Risiken im Zusammenhang mit Cyberangriffen und IT-Ausfällen zu minimieren und fordert unter anderem klare Vorgaben für IT-Risikomanagement und Vorfallmeldungen.
Während der CRA branchenübergreifend gilt, ist DORA speziell für den Finanzsektor konzipiert. Beide ergänzen sich, indem sie verschiedene Aspekte der Cybersicherheit adressieren.
Cyber Resilience Act vs. Cyber Security Act
Der Cyber Resilience Act (CRA) und der Cybersecurity Act (CSA) haben unterschiedliche Schwerpunkte:
- Der CRA legt Cybersicherheitsanforderungen für Produkte mit digitalen Elementen fest. Er verpflichtet Hersteller, sichere Entwicklungsprozesse einzuhalten, Schwachstellen zu beheben und Sicherheitsupdates bereitzustellen. Ziel ist es, die Produktsicherheit in der gesamten EU zu erhöhen.
- Der Cybersecurity Act hingegen schafft den Rahmen für europäische Zertfizierungen zur Cybersicherheit. Er legt allgemeine Regeln und Vorgaben für Zertifizierungsschemata fest, wie z. B. das EUCC-Schema auf Basis der Common Criteria, und stärkt die Rolle der EU-Agentur ENISA.
Während der CRA verbindliche Sicherheitsanforderungen für Produkte definiert, fokussiert sich der CSA auf freiwillige Zertifizierungen zur Bewertung der Cybersicherheit von Produkten, Diensten und Prozessen.
Zeitplan, Inkrafttreten und Übergangsfristen
Ist der Cyber Resilience Act in Kraft?
Der Cyber Resilience Act (CRA) ist am 10. Dezember 2024 in Kraft getreten.
Die Hauptverpflichtungen, wie die Einhaltung der Cybersicherheitsanforderungen und die CE-Kennzeichnung, werden ab dem 11. Dezember 2027 verbindlich. Bestimmte Bestimmungen, insbesondere die Meldepflichten für Schwachstellen, gelten bereits ab dem 11. September 2026. Diese gestaffelten Übergangsfristen sollen den Marktteilnehmern ausreichend Zeit geben, um die neuen Anforderungen umzusetzen.
Wann kommt der Cyber Resilience Act?
Der Cyber Resilience Act (CRA) ist am 10. Dezember 2024 in Kraft getreten. Die meisten Anforderungen werden jedoch erst ab dem 11. Dezember 2027 verbindlich.
Wann tritt der Cyber Resilience Act in Kraft?
Der Cyber Resilience Act (CRA) ist am 10. Dezember 2024 in Kraft getreten. Die meisten Anforderungen, wie die Umsetzung von Cybersicherheitsmaßnahmen, gelten jedoch erst ab dem 11. Dezember 2027.
Bis wann muss der Cyber Resilience Act umgesetzt werden?
Die Vorgaben des Cyber Resilience Act (CRA) müssen spätestens bis zum 11. Dezember 2027 umgesetzt werden, da ab diesem Datum die alle Anforderungen verbindlich gelten. Für die Meldepflicht von Schwachstellen gilt eine frühere Frist: Diese tritt bereits am 11. September 2026 in Kraft.
Anwendungsbereich
Welche Produkte fallen unter den Cyber Resilience Act?
Der Cyber Resilience Act (CRA) gilt für alle Produkte mit digitalen Elementen, die innerhalb der EU in Verkehr gebracht werden. Dazu zählen sowohl Hardware als auch Software, unabhängig davon, ob sie für Verbraucher oder Unternehmen gedacht sind.
Ausnahmen gibt es für bestimmte Produkte, die bereits unter andere spezifische EU-Vorschriften fallen, wie z. B. Medizinprodukte oder Fahrzeuge, da deren Anfoderungen an die Cybersicherheit separat geregelt sind.
Gibt es Ausnahmen vom Cyber Resilience Act?
Der CRA gilt nicht für Produkte, die bereits spezifischen Cybersicherheitsanforderungen unter anderen EU-Regelungen unterliegen. Dazu gehören unter anderem:
- Medizinprodukte (reguliert durch die Medizinprodukteverordnung)
- Fahrzeuge (abgedeckt durch die Verordnungen für Typgenehmigungen)
- Luftfahrtprodukte
- Militärische Produkte
Diese Ausnahmen vermeiden Doppelregulierungen, da diese Produkte bereits durch eigene sektorale Regelungen Cybersicherheitsanforderungen erfüllen müssen.
Gilt der Cyber Resilience Act auch für Funkanlagen (radio equipement)?
Der Cyber Resilience Act (CRA) gilt auch für Funkanlagen (Radio Equipment), wenn diese Produkte mit digitalen Elementen ausgestattet sind. Die Anforderungen des CRA und der Funkanlagenrichtlinie (RED) gelten aktuell parallel, da beide Cybersicherheitsvorgaben enthalten.
Es ist jedoch vorgesehen, dass der CRA die Anforderungen an die Cybersicherheit der RED ersetzt, um eine einheitliche Regelung für Produkte mit digitalen Elementen zu schaffen.
Gilt der Cyber Resilience Act für kleine und mittlere Unternehmen (KMU)?
Der Cyber Resilience Act (CRA) gilt für alle Unternehmen, einschließlich kleiner und mittlerer Unternehmen (KMU), die Produkte mit digitalen Elementen in der EU herstellen, importieren oder vertreiben. Es gibt keine generellen Ausnahmen für KMU. Allerdings berücksichtigt der CRA die Bedürfnisse kleinerer Unternehmen und strebt an, den administrativen Aufwand für sie zu minimieren.
Gilt der Cyber Resilience Act für ausländische Unternehmen?
Ja, der Cyber Resilience Act (CRA) gilt auch für ausländische Unternehmen, wenn sie Produkte mit digitalen Elementen in der EU in den Verkehr bringen. Diese Unternehmen müssen die gleichen Anforderungen wie EU-Hersteller erfüllen, um sicherzustellen, dass ihre Produkte den Vorgaben des CRA entsprechen.
Zusätzlich sind Importeure und Händler innerhalb der EU dafür verantwortlich, sicherzustellen, dass Produkte von außerhalb der EU konform sind. Ausländische Hersteller, die Produkte direkt vertreiben, müssen gegebenenfalls einen autorisierten Vertreter in der EU benennen, der als Ansprechpartner für die Einhaltung der Vorschriften fungiert.
Gilt der Cyber Resilience Act für Händler und Online-Marktplätze?
Ja, der Cyber Resilience Act (CRA) gilt auch für Händler und Online-Marktplätze, sofern sie Produkte mit digitalen Elementen in der EU vertreiben. Diese Akteure tragen die Verantwortung, sicherzustellen, dass die Produkte, die sie verkaufen, den Anforderungen des CRA entsprechen.
Händler müssen insbesondere prüfen, ob Produkte die CE-Kennzeichnung tragen, über eine EU-Konformitätserklärung verfügen und mit den erforderlichen Sicherheitsinformationen ausgestattet sind.
Gilt der Cyber Resilience Act für Software / Software-Produkte?
Ja, der Cyber Resilience Act (CRA) gilt ausdrücklich auch für Software und Software-Produkte, sofern sie in der EU bereitgestellt werden. Dazu zählen unter anderem Betriebssysteme, Anwendungssoftware, Middleware und sogar Open-Source-Software, wenn diese kommerziell vertrieben wird.
Gilt der Cyber Resilience Act für Open-Source-Software?
Der Cyber Resilience Act (CRA) gilt nicht für reine Open-Source-Software, die ohne direkte kommerzielle Absicht bereitgestellt wird. Das bedeutet, wenn die Software von Freiwilligen entwickelt und kostenlos zur Verfügung gestellt wird, fällt sie in der Regel nicht unter den CRA.
Wenn jedoch Open-Source-Software in einem kommerziellen Kontext genutzt wird – z. B. als Teil eines Produkts, das verkauft wird, oder wenn Supportleistungen oder andere bezahlte Dienste angeboten werden – dann gelten die Anforderungen des CRA. In diesem Fall ist der Anbieter des Endprodukts verantwortlich, die Anforderungen an die Cybersicherheit zu erfüllen.
Weitere Informationen zum Thema bietet unser Beitrag: Der Cyber Resilience Act und seine Auswirkungen auf Open-Source-Software.
Konformität
Welche Kategorien unterscheidet der Cyber Resilience Act?
Der Cyber Resilience Act (CRA) unterscheidet Produkte mit digitalen Elementen ausschließlich nach dem anzuwendenden Konformitätsbewertungsverfahren. Die technischen und prozessualen Anforderungen sind dabei für alle Produkte identisch.
Die Kategorien sind:
- Allgemeine Produkte
- Wichtige Produkte – Klasse I
- Wichtige Produkte – Klasse II
- Kritische Produkte
Details zu den einzelnen Kategorien und den zugehörigen Konformitätsbewertungsverfahren finden Sie in unserem Beitrag zum Cyber Resilience Act.
Wie werden Konformitätsbewertungsstellen eingebunden?
Konformitätsbewertungsstellen werden im Rahmen des Cyber Resilience Act (CRA) bei bestimmten Kategorien von Produkten eingebunden, um die Einhaltung der Cybersicherheitsanforderungen zu prüfen. Dies betrifft Produkte, bei denen die Eigenbewertung des Herstellers nicht ausreicht.
Die Einbindung erfolgt insbesondere bei:
- Wichtigen Produkten – Klasse II
- Kritischen Produkten
In diesen Fällen überprüft eine benannte Stelle die technische Dokumentation und gegebenenfalls das Produkt selbst, bevor es in Verkehr gebracht werden darf. Weitere Details zu den Konformitätsbewertungsverfahren finden Sie in unserem Beitrag zum Cyber Resilience Act.
Updates
Muss ich für meine Produkte Updates anbieten?
Ja, der Cyber Resilience Act (CRA) verpflichtet Hersteller dazu, für ihre Produkte mit digitalen Elementen Updates bereitzustellen, um Sicherheitslücken zu schließen.
Die Anforderungen lauten:
- Bereitstellungsdauer:
Hersteller müssen Sicherheitsupdates für einen Zeitraum von mindestens fünf Jahren nach dem Inverkehrbringen des Produkts anbieten oder während der gesamten erwarteten Lebensdauer des Produkts, falls diese kürzer ist. - Transparenz:
Kunden müssen über die Verfügbarkeit von Sicherheitsupdates sowie deren Installation informiert werden. - Sicherheitskritische Updates:
Sicherheitsupdates müssen zügig und ohne unnötige Verzögerungen bereitgestellt werden.
Die Updates sind ein wesentlicher Bestandteil des CRA und dienen dazu, langfristig die Sicherheit und Integrität der Produkte zu gewährleisten.
Kann ich für meine Updates Geld verlangen?
Grundsätzlich dürfen für Sicherheitsupdates gemäß dem Cyber Resilience Act (CRA) keine zusätzlichen Kosten erhoben werden. Sicherheitsaktualisierungen, die zur Behebung festgestellter Schwachstellen bereitgestellt werden, müssen unverzüglich und kostenlos bereitgestellt werden.
Falls es sich jedoch um ein maßgeschneidertes Produkt mit digitalen Elementen handelt, kann zwischen dem Hersteller und dem gewerblichen Nutzer eine abweichende Vereinbarung getroffen werden. In diesem Fall können Kosten für Sicherheitsupdates vereinbart werden, sofern dies ausdrücklich vertraglich geregelt ist.
Umsetzung
Wie kann ich mich auf den Cyber Resilience Act vorbereiten?
Um sich auf den Cyber Resilience Act (CRA) vorzubereiten, sollten Hersteller folgende Schritte unternehmen:
- Analyse der Produktkategorie:
Bestimmen Sie, in welche Kategorie Ihre Produkte fallen (allgemein, wichtig, kritisch) und welches Konformitätsbewertungsverfahren angewendet werden muss. - Prozesse anpassen:
Implementieren Sie einen sicheren Produktentwicklungsprozess, der die Anforderungen des CRA erfüllt (z. B. gemäß IEC 62443-4-1). - Technische Anforderungen erfüllen:
Implementieren Sie Sicherheitsfunktionen auf Basis einer Risikobetrachtung, um potenzielle Bedrohungen effektiv zu adressieren. - Technische Dokumentation vorbereiten:
Erstellen Sie die erforderlichen Nachweise und Dokumentationen, die im Rahmen des Konformitätsbewertungsverfahrens geprüft werden müssen.
Falls Sie Unterstützung bei der Vorbereitung auf den CRA benötigen, helfen wir Ihnen gerne mit unserer Expertise, sei es bei der Prozessimplementierung, der technischen Umsetzung oder der Dokumentation. Kontaktieren Sie uns für ein unverbindliches Erstgespräch.
Was passiert, wenn ich den Cyber Resilience Act nicht einhalte?
Die Nichteinhaltung des Cyber Resilience Acts (CRA) kann erhebliche Konsequenzen haben, darunter:
- Verkaufsverbot:
Produkte, die die Anforderungen des CRA nicht erfüllen, dürfen nicht in der EU verkauft oder in Verkehr gebracht werden. - Rückruf oder Marktentzug:
Produkte, die bereits auf dem Markt sind, können von den zuständigen Behörden zurückgerufen oder vom Markt entfernt werden, wenn sie nicht den Vorschriften entsprechen. - Bußgelder:
Der CRA sieht hohe Geldstrafen vor, die abhängig vom Schweregrad des Verstoßes sein können. Die maximale Strafe beträgt bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
Um diese Risiken zu vermeiden, ist es entscheidend, frühzeitig Maßnahmen zu ergreifen, um die Anforderungen des CRA zu erfüllen. Wir unterstützen Sie gerne bei der Umsetzung und der Vorbereitung auf die Konformitätsbewertung. Kontaktieren Sie uns für ein unverbindliches Erstgespräch.