Was ist der Cyber Resilience Act (CRA)?

This is some text inside of a div block.

by josheph bell

March 26, 2025

Erfahren Sie, welche Bedeutung der Cyber Resilience Act (CRA) für die IT-Sicherheit in Europa hat und wie er Hersteller, Unternehmen und Verbraucher schützt.

Einführung

Der Cyber Resilience Act (CRA) ist eine von der Europäischen Kommission vorgeschlagene Verordnung zur Stärkung der Cybersicherheit von Produkten mit digitalen Elementen. Ziel des CRA ist es, verbindliche Sicherheitsanforderungen für Hardware- und Softwareprodukte in der gesamten Europäischen Union festzulegen.

Der Vorschlag wurde 2022 veröffentlicht und ist Teil der EU-Cybersicherheitsstrategie. Der CRA soll dazu beitragen, Sicherheitslücken in digitalen Produkten zu minimieren, Hersteller zu verpflichten, Sicherheitsupdates bereitzustellen, und die Widerstandsfähigkeit gegen Cyberangriffe zu erhöhen.

Sobald der CRA in Kraft tritt, müssen Hersteller und Anbieter digitale Produkte gemäß den neuen Sicherheitsstandards entwickeln und pflegen.

Ziele und Anwendungsbereich des CRA

Der Cyber Resilience Act verfolgt mehrere zentrale Ziele:

  • Erhöhung der Cybersicherheit von vernetzten Produkten, um Cyberangriffe zu erschweren.
  • Vereinheitlichung der Sicherheitsanforderungen für Hard- und Software in der gesamten EU.
  • Sicherstellung langfristiger Sicherheitsupdates für digitale Produkte.
  • Erhöhung der Transparenz für Verbraucher durch Sicherheitskennzeichnungen und Konformitätsanforderungen.
  • Reduzierung wirtschaftlicher Schäden durch Cyberangriffe und Sicherheitslücken.

Der CRA gilt für eine Vielzahl von IT-Produkten, darunter:

  • IoT-Geräte (z. B. smarte Haushaltsgeräte, vernetzte Fahrzeuge, Medizintechnik).
  • Betriebssysteme und Softwareanwendungen.
  • Industrielle Steuerungssysteme und Unternehmenssoftware.
  • Cybersecurity-Produkte zur Absicherung von IT-Systemen.

Wesentliche Anforderungen des Cyber Resilience Act

Der CRA legt verpflichtende Sicherheitsmaßnahmen für Hersteller und Anbieter fest. Dazu gehören:

1. Sicherheit „by Design“

Produkte müssen von Anfang an mit integrierten Sicherheitsfunktionen entwickelt werden. Hersteller sind verpflichtet, Sicherheitsrisiken bereits in der Entwicklungsphase zu minimieren.

2. Langfristige Sicherheitsupdates

Hersteller müssen für ihre Produkte über einen definierten Zeitraum Sicherheitsupdates bereitstellen, um bekannte Schwachstellen zu beheben.

3. Transparenzpflichten

Unternehmen müssen klare Informationen über die Sicherheitsfunktionen und Risiken ihrer Produkte bereitstellen. Dazu gehören:

  • Kennzeichnungen zur Cybersicherheit.
  • Angaben zu Support- und Update-Zeiträumen.

4. Verpflichtung zur Meldung von Sicherheitslücken

Hersteller müssen entdeckte Sicherheitslücken umgehend an die EU-Behörden melden und Gegenmaßnahmen einleiten.

5. Einhaltung durch Konformitätsbewertung

Bevor ein Produkt auf den EU-Markt kommt, müssen Unternehmen nachweisen, dass es die CRA-Anforderungen erfüllt. Dies kann durch Selbstzertifizierungen oder externe Prüfstellen erfolgen.

Auswirkungen auf Unternehmen und Verbraucher

Der CRA hat weitreichende Folgen für die gesamte IT-Branche:

Für Hersteller und Anbieter

  • Höhere Verantwortung für die Sicherheit ihrer Produkte über den gesamten Lebenszyklus hinweg.
  • Strengere Meldepflichten bei Sicherheitsvorfällen.
  • Notwendigkeit, dauerhafte Sicherheitsupdates bereitzustellen.

Für Unternehmen und IT-Betreiber

  • Erhöhte Sicherheit digitaler Produkte, wodurch Cyberrisiken reduziert werden.
  • Einheitliche EU-weite Sicherheitsanforderungen erleichtern die Beschaffung sicherer IT-Produkte.

Für Verbraucher

  • Mehr Transparenz über die Sicherheit von IT-Produkten.
  • Längere Unterstützung durch Sicherheitsupdates.
  • Geringeres Risiko durch unsichere vernetzte Geräte.

Strafen und Durchsetzung

Bei Verstößen gegen den Cyber Resilience Act sind hohe Geldstrafen vorgesehen. Unternehmen, die nicht-konforme Produkte auf den Markt bringen, müssen mit Bußgeldern von bis zu mehreren Millionen Euro rechnen. Zudem können Produkte vom Markt genommen werden, wenn sie ein Sicherheitsrisiko darstellen.

Die Überwachung und Durchsetzung des CRA übernimmt die Europäische Kommission gemeinsam mit nationalen Behörden in den Mitgliedstaaten.

Herausforderungen und offene Fragen

Trotz der Vorteile gibt es einige Herausforderungen bei der Umsetzung des CRA:

  • Kosten für Unternehmen: Die Einhaltung der neuen Sicherheitsstandards erfordert Investitionen in sichere Entwicklungsprozesse und Updates.
  • Regulierungsaufwand: Hersteller müssen sich auf zusätzliche Prüf- und Dokumentationspflichten einstellen.
  • Koordination mit bestehenden Normen: Der CRA muss mit anderen EU-Richtlinien wie der NIS-2-Richtlinie harmonisiert werden.

Wie wird der CRA die Cybersicherheit in Europa verändern?

Der Cyber Resilience Act ist ein Meilenstein für die IT-Sicherheit in der EU. Er sorgt für sicherere digitale Produkte, mehr Transparenz für Verbraucher und weniger Cyberrisiken für Unternehmen.

Die neuen Sicherheitsvorgaben werden die digitale Resilienz Europas langfristig stärken und dazu beitragen, dass Cyberangriffe weniger Schaden anrichten. Unternehmen sollten sich frühzeitig auf die neuen Anforderungen vorbereiten, um Konformität sicherzustellen und ihre Produkte auf dem europäischen Markt erfolgreich anzubieten.