Zum Hauptinhalt springen

Was regelt das Cyber Resilience Act?

EU-Verordnung zur Cybersicherheit von Produkten mit digitalen Elementen – vom Design bis zum Support.

Das Cyber Resilience Act (CRA) ist eine EU-Verordnung zur Verbesserung der Cybersicherheit im Binnenmarkt. Die Verordnung (EU) 2024/2847 wurde am 23. Oktober 2024 verabschiedet, trat am 10. Dezember 2024 in Kraft und ist ab dem 11. Dezember 2027 verbindlich anzuwenden. Sie gehört zu den zentralen Bausteinen der europäischen Digital- und Sicherheitsstrategie und wird zahlreiche Branchen betreffen.

Geltungsbereich

Erfasst werden Produkte mit digitalen Elementen, also Hardware und Software, die direkt oder indirekt mit einem Netzwerk verbunden werden können. Dazu zählen nicht nur klassische IT-Produkte, sondern auch Maschinen, Industrieanlagen oder smarte Alltagsgeräte.

Zentrale Anforderungen und Pflichten

Hersteller, Importeure und Händler müssen sicherstellen, dass die Cybersicherheitsanforderungen während des gesamten Lebenszyklus eines Produkts eingehalten werden – von der Entwicklung bis zu Support und Updates.

  • Keine bekannten, nicht behobenen Schwachstellen bei Markteinführung
  • Sicherheitsupdates (möglichst automatisch und getrennt von Funktionsupdates)
  • Verpflichtendes Incident-Reporting innerhalb festgelegter Fristen
  • Dokumentation und Schwachstellenmanagement, einschließlich Software-Stückliste (SBOM)

Produktklassifizierung

Der CRA unterscheidet je nach Kritikalität des Produkts zwischen:

  • Nicht kritischen Produkten – interne Konformitätsbewertung durch den Hersteller
  • Wichtigen oder kritischen Produkten – erweitertes Konformitätsbewertungsverfahren, ggf. mit benannter Stelle oder anerkanntem Qualitätsmanagementsystem

Zielsetzung und Wirkung

Der CRA schafft ein harmonisiertes, unionsweit verbindliches Regelwerk für Cybersicherheit digitaler Produkte. Er verankert die Prinzipien „secure-by-design“ und „secure-by-default“ und legt die Verantwortung klar beim Hersteller. Nichteinhaltung kann zu erheblichen Sanktionen führen, insbesondere bei kritischen Produkten.

Fazit

Ab dem 11. Dezember 2027 dürfen Produkte mit digitalen Elementen nur dann im EU-Binnenmarkt in Verkehr gebracht werden, wenn sie die Anforderungen des CRA erfüllen. Wer frühzeitig handelt, kann Risiken minimieren und Wettbewerbsvorteile sichern.

Für weitere Informationen und praxisnahe Unterstützung setzen Sie sich gerne mit uns in Verbindung.