Cyber Resilience Act – Neue Anforderungen für die Informationssicherheit in Europa

Die EU schärft ihre Sicherheitsvorgaben für digitale Produkte. Mit dem Cyber Resilience Act (CRA) hält eine neue Verordnung Einzug, die Hersteller, Händler und Softwareanbieter in die Pflicht nimmt. Ziel ist es, Cyberrisiken über den gesamten Produktlebenszyklus hinweg systematisch zu adressieren. Seit Oktober 2024 steht der rechtliche Rahmen fest – Zeit für Unternehmen, aktiv zu werden. Doch was genau steckt hinter dem Cyber Resilience Act? Wer ist betroffen, welche Anforderungen gelten künftig, und wie viel Zeit bleibt noch zur Umsetzung?

1. Was ist der Cyber Resilience Act?

Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die einheitliche Anforderungen an die Cybersicherheit von „Produkten mit digitalen Elementen“ festlegt – also für Hardware und Software, die direkt oder indirekt mit anderen Geräten oder Netzwerken kommunizieren können. Anders als frühere Regelungen wie die NIS-Richtlinie oder die NIS-2-Richtlinie, die vor allem kritische Infrastrukturen und Betreiber digitaler Dienste betrafen, zielt der CRA direkt auf die Produkthersteller. Damit markiert er einen Paradigmenwechsel: Cybersicherheit wird zur Pflicht ab der Herstellung, nicht erst beim Einsatz.

Die Verordnung verpflichtet Hersteller zur Umsetzung von „Security by Design“ und „Security by Default“. Das bedeutet: Sicherheitsfunktionen müssen bereits in der Entwicklung berücksichtigt und als Voreinstellungen aktiviert werden. Darüber hinaus sind Hersteller verpflichtet, während des gesamten Produktlebenszyklus – also auch nach dem Verkauf – Schwachstellen zu beheben und Sicherheitsupdates bereitzustellen.

Wichtige Termine im Überblick:

• 22. Oktober 2024: Verabschiedung des Cyber Resilience Act auf EU-Ebene
• 11. Dezember 2024: Inkrafttreten der Verordnung
• 11. September 2026: Beginn der Pflicht zur Meldung aktiv ausgenutzter Schwachstellen und Sicherheitsvorfälle
• 11. Dezember 2027: Stichtag – ab diesem Zeitpunkt müssen alle neuen Produkte die CRA-Vorgaben vollständig erfüllen

Zusätzlich enthält die Verordnung strikte Meldefristen bei Sicherheitsvorfällen (Art. 14 CRA):

• Innerhalb von 24 Stunden: Erste Meldung eines Vorfalls oder einer aktiv ausgenutzten Schwachstelle an die nationale Behörde (z. B. das BSI oder ENISA)
• Innerhalb von 72 Stunden: Nachreichung einer ersten Analyse mit Details zu Korrekturmaßnahmen
• Spätestens nach 14 Tagen: Abschlussbericht mit einer Bewertung der Ursachen, Auswirkungen und eingeleiteten Maßnahmen

---

2. Für welche Produkte gilt der CRA – und für welche nicht?

Der CRA gilt für nahezu alle Produkte mit digitalen Elementen, die direkt oder indirekt mit anderen Geräten oder Netzwerken kommunizieren – von IoT-Geräten bis hin zu industrieller Software. Dabei werden zwei Ebenen unterschieden:

• Produktkategorien:
  • Wichtige Produkte: Dazu zählen unter anderem Netzwerkgeräte, Antivirensoftware, VPNs oder Passwortmanager
  • Kritische Produkte: Dazu gehören etwa Betriebssysteme, Industrial Control Systems (ICS) oder sicherheitszertifizierte Hardware-Komponenten wie Netzwerkkarten für den Einsatz in hochsensiblen Umgebungen
• Produktklassen:
  • Klasse I: Produkte mit geringem Risiko. Diese dürfen im Rahmen einer Eigenzertifizierung auf den Markt gebracht werden, sofern die grundlegenden Sicherheitsanforderungen erfüllt sind.
  • Klasse II: Produkte mit erhöhtem Risiko. Für diese ist eine unabhängige Prüfung durch eine benannte Stelle erforderlich.

Nicht vom CRA betroffen sind u. a.:

• Medizinprodukte gemäß Verordnung (EU) 2017/745
• In-vitro-Diagnostika gemäß Verordnung (EU) 2017/746
• Fahrzeugkomponenten nach Verordnung (EU) 2019/2144
• Produkte, die bereits im Rahmen der Zivilluftfahrt-Verordnung (EU) 2018/1139 zertifiziert sind
• Schiffsausrüstung nach Richtlinie 2014/90/EU
• Ersatzteile, die nach denselben Spezifikationen wie Originalteile gefertigt werden
• Produkte für militärische Zwecke, zur Verarbeitung von Verschlusssachen oder zur nationalen Sicherheit

3. Wesentliche Anforderungen und Handlungsempfehlungen

Hersteller digitaler Produkte müssen künftig umfassende technische und organisatorische Maßnahmen zur Cybersicherheit nachweisen. Zu den Anforderungen zählen u. a.:

• Umsetzung von Security by Design: Sicherheitsmaßnahmen müssen integraler Bestandteil der Produktentwicklung sein
• Anwendung von Security by Default: Voreinstellungen dürfen keine Sicherheitsrisiken darstellen
• Pflicht zur Sicherheitswartung: Updates zur Behebung von Schwachstellen müssen über den gesamten Lebenszyklus bereitgestellt werden
• Meldepflicht bei aktiv ausgenutzten Schwachstellen und Sicherheitsvorfällen innerhalb klar definierter Fristen

Damit Unternehmen gut vorbereitet sind, empfiehlt sich ein strukturiertes Vorgehen:

Lückenanalyse (Gap Assessment)
Führe eine umfassende Prüfung aller Produkte und Entwicklungsprozesse durch. Identifiziere, an welchen Stellen Security-by-Design und Security-by-Default noch nicht ausreichend umgesetzt sind.

Produktportfolio analysieren
Welche Produkte fallen unter den CRA? Welche Risikoklasse trifft zu? Muss eine benannte Stelle eingebunden werden?

Prozesse anpassen
Implementiere interne Prozesse zur Schwachstellenbehandlung, Vorfallmeldung und zur kontinuierlichen Produktüberwachung – auch nach dem Inverkehrbringen.

Entwicklungs- und Supportstrategie überdenken
Sicherheitsupdates müssen über den gesamten Lebenszyklus bereitgestellt werden – auch wenn das Produkt bereits im Feld ist. Das erfordert langfristige Ressourcenplanung.

4. Sanktionen und Bußgelder

Wer gegen die Anforderungen des CRA verstößt, riskiert empfindliche Sanktionen. Die Verordnung sieht je nach Schwere des Verstoßes Bußgelder von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes vor – je nachdem, welcher Betrag höher ist. Die Einhaltung wird durch nationale Marktüberwachungsbehörden überprüft, etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI). Sanktionen drohen nicht nur bei vorsätzlichem Verstoß, sondern auch bei Fahrlässigkeit, wenn Produkte unzureichend geschützt oder bekannte Schwachstellen nicht zeitnah beseitigt werden.

5. Fazit

Mit dem Cyber Resilience Act geht die EU einen konsequenten Schritt in Richtung mehr IT-Sicherheit – nicht nur für kritische Infrastrukturen, sondern erstmals für alle vernetzten Produkte. Für Unternehmen bringt das neue Pflichten, aber auch die Chance, Sicherheitsaspekte strukturell und nachhaltig in Produktentwicklung und Support zu integrieren. Wer frühzeitig mit einer Gap-Analyse beginnt, klare Prozesse etabliert und die Anforderungen in Entwicklungszyklen verankert, sichert sich nicht nur die Markt­zugangsberechtigung in der EU – sondern schafft auch Vertrauen bei Kunden und Partnern.

Kommen Sie bei Fragen dazu gerne auf uns zu – wir stehen Ihnen für weitergehende Informationen und Unterstützung zur Verfügung.

Ihre Datenschutzbeauftragten

Folgende Beiträge könnten Sie auch interessieren: 

• Wettbewerbsfaktor Informationssicherheit: Warum Sich Ein ISMS Nach ISO 27001 Lohn
• Aktualisierung Des Datenschutzgesetzes Der EKD: Wichtige Änderungen Zum Mai 2025
• Trumps Wiederwahl: Was Bedeutet Das Für Den Datenschutz?