Zum Inhalt springen
Haufe Akademie

Cyber Resilience Act (CRA)

Was Unternehmen jetzt zur neuen EU-Cybersicherheitsverordnung wissen müssen

0
Recht und Datenschutz Aktualisiert am von Online-Redaktion 6 Minuten

Was ist der Cyber Resilience Act?

Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die erstmals verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt, die auf dem EU-Markt erhältlich sind. Der CRA ist Teil der europäischen Cybersicherheitsstrategie, dessen Ziele Resilienz von Systemen und die Erhaltung ihrer operativen Fähigkeit, Abschreckung und Reaktion sowie die Förderung eines globalen und möglichst offenen Cyberspaces sind. Der CRA fokussiert sich dabei auf die Sicherheit von Produkten selbst, während andere Richtlinien, wie beispielsweise die NIS2-Richtlinie die Cybersicherheit von Organisationen und ihrem Betrieb betreffen. Die Umsetzung des CRA erfolgt etappenweise bis Ende 2027. Weitere Informationen gibt es auf den Webseiten des BSI: Cyber Resilience Act.

Wen betrifft der Cyber Resilience Act?

Betroffen vom CRA sind Unternehmen, die Produkte mit digitalen Elementen in der EU verkaufen wollen. Unter diese Unternehmen fallen

  • Hersteller, die für die sichere Entwicklung und Wartung ihrer Produkte verantwortlich sind; ebenso für eine ausreichende Dokumentation,
  • Importeure, die sicherstellen müssen, dass Produkte, die sie aus Drittstaaten einführen, diesen Anforderungen entsprechen und
  • Händler, die nur CRA-konforme Produkte verkaufen dürfen.

Welche Produkte fallen aber nun unter die Verordnung? Grundsätzlich  geht es um Hard- und Softwareprodukte mit digitalen Elementen, einschließlich separat vermarkteter Komponenten. Dies kann von klassischer Software über vernetzte Geräte (Internet of Things) bis hin zu eingebetteten Systemen reichen. Konkrete Beispiele für diese Art von Produkten sind Smartphones, vernetztes Spielzeug, aber auch Mikroprozessoren oder Buchhaltungssoftware.

Für bestimmte Bereiche, wie z. B. Medizinprodukte gelten teilweise andere (und schon bereits existierende) Bestimmungen. Ebenso ausgenommen sind Open-Source-Software-Produkte, die nicht kommerziell bereitgestellt werden.

Welche Anforderungen stellt der CRA an Unternehmen?

Produkte, die unter den CRA fallen, müssen wesentliche Anforderungen an Cybersicherheit erfüllen. Aktivitäten, um dieses Maß an Sicherheit zu erreichen, lassen sich in drei Bereiche herunterbrechen:

  1. Produkte: Cybersicherheit muss bereits in der Produktentwicklung berücksichtigt werden („secure by design“). Ihre Standardkonfiguration sollte die bestmögliche Sicherheit bieten, ohne dass Benutzer manuell Anpassungen vornehmen müssen („secure by default“).
  2. Schwachstellenmanagement: Über den gesamten Supportzeitraum sind Schwachstellen zu identifizieren und über beispielsweise Sicherheitsupdates zu beheben. Der Supportzeitraum muss klar definiert und kommuniziert sein.
  3. Dokumentationsund Meldepflichten: Erforderlich sind eine technische Dokumentation, eine Konformitätsprüfung und -erklärung, sowie eine CE-Kennzeichnung. Die Wahl der einzelnen Module des Konformitätsbewertungsverfahren  hängt von der Produktklasse ab, der das Produkt zugeordnet wird. Ausgenutzte Schwachstellen und Sicherheitsvorfälle sind innerhalb definierter Fristen an die zuständige(n) Behörde(n) zu melden.

Im Richtlinien-Labyrinth: CRA vs. NIS2 vs. DSGVO

Im Bereich der Cyber- und Datensicherheit hat sich über die Jahre ein wahres Labyrinth der Richtlinien entwickelt, in welchem die Übersicht gelegentlich schwerfallen kann. Die folgende Übersicht gibt erste Orientierung.

CRA NIS2 DSGVO
Voller Titel Cyber Resilience Act The Network and Information Security Directive Datenschutz-Grundverordnung
Adressaten Hersteller, Importeure und Händler von Produkten mit digitalen Elementen in der EU Wesentliche und wichtige Einrichtungen (z. B. Energie, IT, Gesundheit) Alle Organisationen, die personenbezogene Daten verarbeiten
Gegenstand Cybersicherheit von Produkten mit digitalen Elementen über ihren gesamten Lebenszyklus Cybersicherheit von Organisationen und kritischen Diensten im laufenden Betrieb Schutz personenbezogener Daten und der Privatsphäre
Fokus Sichere Entwicklung („secure by design“), sichere Voreinstellungen und regelmäßige Updates Risikomanagement, technische und organisatorische Sicherheitsmaßnahmen in Unternehmen Rechtmäßige Datenverarbeitung, Datensicherheit und Schutz der Betroffenenrechte
Meldepflichten Meldung aktiv ausgenutzter Schwachstellen und Sicherheitsvorfälle bei Produkten Meldung erheblicher Sicherheitsvorfälle an zuständige Behörden Meldung von Datenschutzverletzungen an Aufsichtsbehörden

Die drei Richtlinien greifen ineinander und decken unterschiedliche Ebenen der digitalen Sicherheit ab. Der CRA stellt sicher, dass Produkte von Anfang an sicher entwickelt und betrieben werden. NIS2 verpflichtet Organisationen zu einem robusten Sicherheitsmanagement im Betrieb und die DSGVO betrifft die Verarbeitung personenbezogener Daten innerhalb dieser Systeme.

Ab wann gilt der Cyber Resilience Act?

Der CRA ist bereits in Kraft, wird jedoch nur schrittweise wirksam. Unternehmen haben außerdem Übergangsfristen, um ihre Produkte und Prozesse anzupassen.

Wichtige Eckdaten:

11. Dezember 2024: Der CRA tritt in Kraft.
11. September 2026: Die Meldepflicht für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle gilt.
11. Dezember 2026: Es stehen ausreichend notifizierte Konformitätsbewertungsstellen (KBS) zur Verfügung.
11. Dezember 2027: Alle CRA-Anforderungen sind bei neuen Produkten eingehalten.

CRA in der Praxis

Was ist also in der Zwischenzeit zu tun? In einer Vorbereitungsphase geht es zunächst darum , Betroffenheit zu prüfen eine Gap-Analyse gegenüber den CRA-Anforderungen durchzuführen und interne Verantwortlichkeiten zu klären. Anschließend sind Prozesse für ein effizientes Schwachstellenmanagement aufzubauen. Zuständigkeiten und Meldewege sind bekannt und Sicherheitsvorfälle werden erkannt, um der Meldepflicht ab September 2026 gerecht zu werden. Bis Ende 2027 werden Produkte nach „secure by design/default“ entwickelt. Konformitätsbewertungsverfahren sind implementiert und technische Dokumentation und Nachweise vollständig aufgebaut.

Fazit

Der CRA ist ein Baustein im Kontext der EU-Cybersicherheitsstrategie und bezieht sich auf Produkte mit digitalen Elementen über ihren gesamten Lebenszyklus. Bisherige Regelwerke wie NIS2 und die DSGVO bezogen sich vor allem auf den Betrieb und Umgang mit Daten in Organisationen, nun also neu ist der Produktfokus.

Eben jener Produktfokus macht es schwierig, die Anforderungen des CRA kurzfristig nachzuziehen. Denn er betrifft Entwicklungsprozesse und Produktarchitekturen oft maßgeblich. Frühzeitiges Starten ist also essenziell, um die Sicherheitsanforderungen effizient in bestehende Prozesse zu integrieren und Produkte auf den Markt zu bringen, die den Anforderungen gerecht werden.

Lust, den Beitrag zu teilen?

Über den:die Autor:in

Online-Redaktion

Weitere Beiträge

Dieser Beitrag hat Ihnen gefallen?
Unsere kostenlosen Newsletter halten Sie rund
um betriebliche Themen auf dem Laufenden.
Einfach anmelden:
www.haufe.de/akademie/newsletter

Wir freuen uns über Feedback und Anregungen unter
service@haufe-akademie.de

Copyright by Haufe Akademie GmbH & Co. KG, Lörracher Str. 9, 79115 Freiburg. Abdruck nur mit Genehmigung der Haufe Akademie.