Mit Sicherheit zum Erfolg.
Was ist der CRA?
Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die erstmals einheitliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt – also für Hardware und Software, die direkt oder indirekt mit einem Netzwerk oder Gerät verbunden werden kann. Die Verordnung ist im Dezember 2024 in Kraft getreten und gilt EU-weit unmittelbar, ohne dass es einer nationalen Umsetzung bedarf. Während sich die NIS-2-Richtlinie an die Cybersicherheit von Organisationen richtet, adressiert der CRA gezielt die Sicherheit der Produkte selbst – über deren gesamten Lebenszyklus hinweg.
Was ändert sich durch den CRA?
Durch die neue Rechtslage sind Hersteller, Importeure und Händler von Produkten mit digitalen Elementen verpflichtet, umfassende Cybersicherheitsanforderungen bereits in der Entwicklung, Herstellung und über den gesamten Produktlebenszyklus hinweg zu erfüllen. Dies umfasst unter anderem die Bereiche Risikobewertung, Schwachstellenmanagement, Meldung von Sicherheitsvorfällen und technische Dokumentation. Zudem müssen Produkte künftig eine CE-Kennzeichnung tragen, die auch die Konformität mit dem CRA nachweist.
Welche Sicherheitsmaßnahmen sind erforderlich?
Um den Anforderungen des CRA gerecht zu werden, müssen Unternehmen Cybersicherheit von Anfang an in die Produktentwicklung integrieren (Security by Design & by Default). Dazu gehören unter anderem systematische Risikoanalysen über den gesamten Produktlebenszyklus, ein funktionierendes Schwachstellenmanagement mit zeitnaher Bereitstellung von Sicherheitsupdates sowie klare Prozesse zur Meldung aktiv ausgenutzter Schwachstellen und schwerwiegender Sicherheitsvorfälle an die zuständige Behörde.
Auch eine lückenlose technische Dokumentation, die Vorbereitung auf die Konformitätsbewertung sowie die Sensibilisierung von Entwicklung, Produktmanagement und Vertrieb für die neuen Anforderungen sind entscheidende Bausteine auf dem Weg zur CRA-Konformität.
Bis wann sind die Anforderungen umzusetzen?
Die Meldepflicht aktiv ausgenutzter Schwachstellen und schwerwiegender Sicherheitsvorfälle gilt ab dem 11.09.2026. Alle weiteren Anforderungen müssen bis zum 11.12.2027 vollständig umgesetzt sein.