Was ist der Cyber Resilience Act (CRA)?
by josheph bell
March 26, 2025
Erfahren Sie, welche Bedeutung der Cyber Resilience Act (CRA) für die IT-Sicherheit in Europa hat und wie er Hersteller, Unternehmen und Verbraucher schützt.
Einführung
Der Cyber Resilience Act (CRA) ist eine von der Europäischen Kommission vorgeschlagene Verordnung zur Stärkung der Cybersicherheit von Produkten mit digitalen Elementen. Ziel des CRA ist es, verbindliche Sicherheitsanforderungen für Hardware- und Softwareprodukte in der gesamten Europäischen Union festzulegen.
Der Vorschlag wurde 2022 veröffentlicht und ist Teil der EU-Cybersicherheitsstrategie. Der CRA soll dazu beitragen, Sicherheitslücken in digitalen Produkten zu minimieren, Hersteller zu verpflichten, Sicherheitsupdates bereitzustellen, und die Widerstandsfähigkeit gegen Cyberangriffe zu erhöhen.
Sobald der CRA in Kraft tritt, müssen Hersteller und Anbieter digitale Produkte gemäß den neuen Sicherheitsstandards entwickeln und pflegen.
Ziele und Anwendungsbereich des CRA
Der Cyber Resilience Act verfolgt mehrere zentrale Ziele:
- Erhöhung der Cybersicherheit von vernetzten Produkten, um Cyberangriffe zu erschweren.
- Vereinheitlichung der Sicherheitsanforderungen für Hard- und Software in der gesamten EU.
- Sicherstellung langfristiger Sicherheitsupdates für digitale Produkte.
- Erhöhung der Transparenz für Verbraucher durch Sicherheitskennzeichnungen und Konformitätsanforderungen.
- Reduzierung wirtschaftlicher Schäden durch Cyberangriffe und Sicherheitslücken.
Der CRA gilt für eine Vielzahl von IT-Produkten, darunter:
- IoT-Geräte (z. B. smarte Haushaltsgeräte, vernetzte Fahrzeuge, Medizintechnik).
- Betriebssysteme und Softwareanwendungen.
- Industrielle Steuerungssysteme und Unternehmenssoftware.
- Cybersecurity-Produkte zur Absicherung von IT-Systemen.
Wesentliche Anforderungen des Cyber Resilience Act
Der CRA legt verpflichtende Sicherheitsmaßnahmen für Hersteller und Anbieter fest. Dazu gehören:
1. Sicherheit „by Design“
Produkte müssen von Anfang an mit integrierten Sicherheitsfunktionen entwickelt werden. Hersteller sind verpflichtet, Sicherheitsrisiken bereits in der Entwicklungsphase zu minimieren.
2. Langfristige Sicherheitsupdates
Hersteller müssen für ihre Produkte über einen definierten Zeitraum Sicherheitsupdates bereitstellen, um bekannte Schwachstellen zu beheben.
3. Transparenzpflichten
Unternehmen müssen klare Informationen über die Sicherheitsfunktionen und Risiken ihrer Produkte bereitstellen. Dazu gehören:
- Kennzeichnungen zur Cybersicherheit.
- Angaben zu Support- und Update-Zeiträumen.
4. Verpflichtung zur Meldung von Sicherheitslücken
Hersteller müssen entdeckte Sicherheitslücken umgehend an die EU-Behörden melden und Gegenmaßnahmen einleiten.
5. Einhaltung durch Konformitätsbewertung
Bevor ein Produkt auf den EU-Markt kommt, müssen Unternehmen nachweisen, dass es die CRA-Anforderungen erfüllt. Dies kann durch Selbstzertifizierungen oder externe Prüfstellen erfolgen.
Auswirkungen auf Unternehmen und Verbraucher
Der CRA hat weitreichende Folgen für die gesamte IT-Branche:
Für Hersteller und Anbieter
- Höhere Verantwortung für die Sicherheit ihrer Produkte über den gesamten Lebenszyklus hinweg.
- Strengere Meldepflichten bei Sicherheitsvorfällen.
- Notwendigkeit, dauerhafte Sicherheitsupdates bereitzustellen.
Für Unternehmen und IT-Betreiber
- Erhöhte Sicherheit digitaler Produkte, wodurch Cyberrisiken reduziert werden.
- Einheitliche EU-weite Sicherheitsanforderungen erleichtern die Beschaffung sicherer IT-Produkte.
Für Verbraucher
- Mehr Transparenz über die Sicherheit von IT-Produkten.
- Längere Unterstützung durch Sicherheitsupdates.
- Geringeres Risiko durch unsichere vernetzte Geräte.
Strafen und Durchsetzung
Bei Verstößen gegen den Cyber Resilience Act sind hohe Geldstrafen vorgesehen. Unternehmen, die nicht-konforme Produkte auf den Markt bringen, müssen mit Bußgeldern von bis zu mehreren Millionen Euro rechnen. Zudem können Produkte vom Markt genommen werden, wenn sie ein Sicherheitsrisiko darstellen.
Die Überwachung und Durchsetzung des CRA übernimmt die Europäische Kommission gemeinsam mit nationalen Behörden in den Mitgliedstaaten.
Herausforderungen und offene Fragen
Trotz der Vorteile gibt es einige Herausforderungen bei der Umsetzung des CRA:
- Kosten für Unternehmen: Die Einhaltung der neuen Sicherheitsstandards erfordert Investitionen in sichere Entwicklungsprozesse und Updates.
- Regulierungsaufwand: Hersteller müssen sich auf zusätzliche Prüf- und Dokumentationspflichten einstellen.
- Koordination mit bestehenden Normen: Der CRA muss mit anderen EU-Richtlinien wie der NIS-2-Richtlinie harmonisiert werden.
Wie wird der CRA die Cybersicherheit in Europa verändern?
Der Cyber Resilience Act ist ein Meilenstein für die IT-Sicherheit in der EU. Er sorgt für sicherere digitale Produkte, mehr Transparenz für Verbraucher und weniger Cyberrisiken für Unternehmen.
Die neuen Sicherheitsvorgaben werden die digitale Resilienz Europas langfristig stärken und dazu beitragen, dass Cyberangriffe weniger Schaden anrichten. Unternehmen sollten sich frühzeitig auf die neuen Anforderungen vorbereiten, um Konformität sicherzustellen und ihre Produkte auf dem europäischen Markt erfolgreich anzubieten.