Cyber Resilience Act: Frist, Anwendung & Maßnahmen

Was ist der Cyber Resilience Act?

Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die erstmals einheitliche und verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen schafft. Ziel ist es, Verbraucher, Unternehmen und kritische Infrastrukturen besser vor Cyberangriffen zu schützen. Die Verordnung umfasst sowohl Hardware als auch Software und betrifft Produkte während ihres gesamten Lebenszyklus.

Die EU reagiert damit auf die zunehmende Bedrohung durch Cyberangriffe infolge der immer stärkeren Vernetzung von Produkten. Viele Geräte und Softwareprodukte kommen derzeit mit Sicherheitslücken auf den Markt oder erhalten keine regelmäßigen Updates – genau hier setzt der CRA an.

Welche Unternehmen und Branchen sind besonders vom CRA betroffen?

Der CRA betrifft Unternehmen aller Größen, sobald sie Produkte mit digitalen Elementen in der EU entwickeln, herstellen, importieren oder vertreiben. Besonders relevant ist er für eine Vielzahl an Branchen:

• IT- und Softwareindustrie , etwa Anbieter von Betriebssystemen, Cloud-Diensten und Unternehmenssoftware,
• Elektronik- und Hardwarehersteller , darunter Hersteller von IoT-Geräten, Smart-Home-Systemen und Netzwerktechnik,
• Industrie- und Fertigungsunternehmen , insbesondere aus dem Maschinenbau und der industriellen Steuerungstechnik,
• Energie- und Versorgungsunternehmen , die intelligente Messsysteme und vernetzte Steuerungssysteme einsetzen,
• Telekommunikationsanbieter mit Produkten wie Routern, Modems und Netzwerkinfrastruktur,
• Komponentenhersteller , beispielsweise für Mikrocontroller, Sensoren und Chipsätze,
• sowie Importeure und Händler , etwa Online-Marktplätze und Elektronikhändler.

Unabhängig von der Größe oder dem Sitz des Unternehmens müssen alle diese Akteure sicherstellen, dass ihre Produkte den Anforderungen des CRA entsprechen, sobald sie innerhalb der EU vermarktet werden.

Welche Produkte sind vom CRA betroffen?

Grundsätzlich fallen alle Produkte mit digitalen Elementen unter den CRA, die direkt oder indirekt mit einem Netzwerk verbunden sind.

Dazu zählen beispielsweise Smartphones, Tablets und Notebooks, verschiedenste IoT-Geräte wie smarte Thermostate und Sicherheitskameras sowie Router, Modems und Netzwerktechnik.

Auch Betriebssysteme, Softwareapplikationen, VPN-Software, Passwortmanager, Antivirenprogramme sowie industrielle Steuerungs- und Automatisierungssysteme sind erfasst. Selbst Komponenten wie Chips, Sensoren und Kommunikationsmodule fallen unter den Geltungsbereich.

Ausgenommen sind u. a. folgende Produktgruppen (Art. 2 Abs. 2 CRA):

• Medizinprodukte i. S. d. MDR (EU) 2017/745 und IVDR (EU) 2017/746
• Kraftfahrzeuge nach der Typgenehmigungsverordnung (EU) 2018/858
• Luftfahrzeuge, Seeschiffe, Verteidigungsgüter (spezifische Regime)
• Open-Source-Software, sofern unentgeltlich und nicht kommerziell vertrieben

Medizinprodukte mit Softwarefunktionalität („Software as a Medical Device“) sind daher vom CRA ausgenommen – unterliegen jedoch gleichzeitig verschärften Anforderungen nach MDR und ggf. IEC 81001-5-1.

Liste mit Beispielen (Branche, Produkt, Anforderungen)

Branche	Beispielunternehmen	Produktbeispiele	CRA-Anforderungen
IT & Software	Softwareanbieter	ERP-Systeme, Cloud-Dienste	Security by Design, Sicherheitsupdates, SBOM
Telekommunikation	Telekommunikationsanbieter	Router, Modems	Sicherheitsentwicklung, Update-Pflicht, Meldung von Vorfällen
Industrie & Fertigung	Industrie- und Fertigungsunternehmen	SPS, Maschinensteuerungen	Risikoanalyse, Dokumentation, Sicherheitsupdates
Smart Home & IoT	Smart-Home-Anbieter	Smarte Thermostate, Beleuchtung	Sicherheitsfunktionen, Benutzerinfos, Updates
Komponentenhersteller	Komponentenhersteller	Mikrocontroller, Sensoren	Sichere Hardwareentwicklung, Zusammenarbeit mit OEMs
Handel	Online- und Elektronikhändler	Vertrieb von digitalen Produkten	Konformitätsprüfung, CE-Kennzeichnung, Meldungen

Welche Anforderungen stellt der CRA konkret an betroffene Unternehmen?

Die Anforderungen des CRA variieren je nach Rolle im Markt. Hersteller müssen von Beginn der Produktentwicklung an Sicherheitsaspekte berücksichtigen, was unter dem Begriff „Security by Design“ zusammengefasst wird.

Zudem ist eine umfassende Risikobewertung erforderlich, die potenzielle Schwachstellen identifiziert und dokumentiert. Neben der technischen Dokumentation ist auch eine Software-Stückliste (SBOM) zu erstellen, die alle eingesetzten Software-Komponenten transparent aufführt. Nach Markteinführung sind Sicherheitsupdates über mindestens fünf Jahre bereitzustellen.

Sollte es dennoch zu Sicherheitsvorfällen kommen, müssen diese binnen 24 Stunden an die zuständigen Behörden gemeldet werden. Ergänzend dazu sind die CE-Kennzeichnung und eine Konformitätserklärung erforderlich, um den Marktzugang in der EU zu sichern.

Importeure sind dafür verantwortlich, nur Produkte einzuführen, die alle Anforderungen des CRA erfüllen. Sie müssen die Konformität der Hersteller prüfen, die erforderlichen Dokumentationen vorhalten und bei Produkten von außerhalb der EU sicherstellen, dass ihre eigenen Kontaktdaten am Produkt angebracht sind.

Händler wiederum tragen die Verantwortung, nur korrekt gekennzeichnete und zertifizierte Produkte anzubieten. Entdecken sie potenzielle Sicherheitsmängel, sind sie verpflichtet, diese ebenfalls unverzüglich zu melden.

Risikobewertung im Cyber Resilience Act

Die Risikobewertung entscheidet über die Einstufung des Produkts in eine von drei Risikoklassen:

Standardprodukte (Default Category):

• Geringes Risiko, Selbstbewertung durch den Hersteller
• z. B. einfache Anwendungen, smarte Lautsprecher

Wichtige Produkte (Important Products):

• Höheres Risiko, ggf. Prüfung durch benannte Stellen
• Klasse I: Webbrowser, VPN-Software
• Klasse II: Firewalls, Intrusion-Detection-Systeme

Kritische Produkte (Critical Products):

• Sehr hohes Risiko, verpflichtende externe Prüfung
• z. B. Smart-Meter-Gateways, Sicherheitsmodule

Die Risikobewertung umfasst Bedrohungsanalyse, Schwachstellenanalyse und Dokumentation aller Sicherheitsmaßnahmen.

Zeitplan für die Umsetzung des Cyber Resilience Act

Der Cyber Resilience Act wurde am 10. Dezember 2024 offiziell im Amtsblatt der Europäischen Union veröffentlicht. Dieser Tag markiert den Beginn der gesetzlichen Übergangsfrist. Bereits ab dem 11. September 2026 greifen die ersten verpflichtenden Vorgaben, konkret die Meldepflichten bei Sicherheitsvorfällen.

Unternehmen müssen ab diesem Zeitpunkt innerhalb von 24 Stunden relevante Vorfälle an die zuständigen Behörden melden. Die vollständige Anwendung des CRA wird schließlich am 11. Dezember 2027 verpflichtend. Ab diesem Datum dürfen nur noch Produkte in Verkehr gebracht werden, die sämtliche Anforderungen der Verordnung vollständig erfüllen.

Die Fristen ergeben sich unmittelbar aus dem Wortlaut der Verordnung und der darin festgelegten gestaffelten Übergangsregelung, die der Industrie Zeit für technische und organisatorische Anpassungen einräumt.

Welche Konsequenzen drohen bei Nichteinhaltung?

Die EU hat empfindliche Sanktionen vorgesehen: Geldstrafen können bis zu 15 Mio. Euro oder 2,5 % des weltweiten Jahresumsatzes betragen. Zudem drohen Verkaufsverbote innerhalb der EU sowie der Rückruf oder die Marktrücknahme unsicherer Produkte.

Die rechtzeitige Umsetzung der CRA-Anforderungen ist daher für alle betroffenen Unternehmen von großer Bedeutung, um den Zugang zum europäischen Markt nicht zu gefährden.

Fazit

Mit dem Cyber Resilience Act setzt die EU einen bedeutenden Meilenstein im Bereich der Cybersicherheit und stellt klare, einheitliche Anforderungen an Produkte mit digitalen Elementen. Durch die verbindlichen Vorgaben entsteht ein hohes Maß an Transparenz und Sicherheit für Verbraucher und Unternehmen.

Gleichzeitig bedeutet der CRA für die betroffenen Unternehmen aber auch erheblichen organisatorischen und technischen Anpassungsbedarf. Angesichts der bereits festgelegten Übergangsfristen und der teilweise komplexen Anforderungen sollten Unternehmen nicht abwarten, sondern sich frühzeitig und umfassend mit der Umsetzung auseinandersetzen.

Wer jetzt beginnt, die eigenen Produkte, Prozesse und Lieferketten auf CRA-Konformität zu prüfen und anzupassen, verschafft sich nicht nur Rechtssicherheit, sondern auch einen entscheidenden Wettbewerbsvorteil auf dem europäischen Markt.

Unsere Leistungen als ISiCO

Als ISiCO begleiten wir Unternehmen umfassend auf ihrem Weg zur CRA-Konformität.

Im ersten Schritt führen wir eine Produktanalyse und Relevanzprüfung durch, bei der wir klären, ob und in welchem Umfang Ihre Produkte unter den CRA fallen – selbstverständlich unter Berücksichtigung möglicher Ausschlussregelungen wie der MDR.

Anschließend unterstützen wir Sie bei der Konformitätsbewertung und Erstellung der technischen Dokumentation und begleiten Sie Schritt für Schritt durch die komplexen Umsetzungsanforderungen.

Darüber hinaus helfen wir bei der Integration der gesetzlichen Vorgaben in Ihre bestehenden Entwicklungsprozesse, bei der Gestaltung Ihrer Sicherheitsarchitektur sowie bei der Etablierung robuster Qualitätssicherungs- und Update-Strategien .

Nicht zuletzt beraten wir Sie zur Vertragsgestaltung und Haftungsvermeidung , insbesondere im Hinblick auf die Compliance innerhalb der Lieferkette und die vertragliche Absicherung von Verantwortlichkeiten. So sorgen wir dafür, dass Ihr Unternehmen rechtlich abgesichert und technisch optimal aufgestellt ist.