Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die erstmals verbindliche Cybersicherheitsanforderungen f\u00fcr Produkte mit digitalen Elementen festlegt, die auf dem EU-Markt erh\u00e4ltlich sind. Der CRA ist Teil der europ\u00e4ischen Cybersicherheitsstrategie, dessen Ziele Resilienz von Systemen und die Erhaltung ihrer operativen F\u00e4higkeit, Abschreckung und Reaktion sowie die F\u00f6rderung eines globalen und m\u00f6glichst offenen Cyberspaces sind. Der CRA fokussiert sich dabei auf die Sicherheit von Produkten selbst, w\u00e4hrend andere Richtlinien, wie beispielsweise die NIS2-Richtlinie die Cybersicherheit von Organisationen und ihrem Betrieb betreffen. Die Umsetzung des CRA erfolgt etappenweise bis Ende 2027. Weitere Informationen gibt es auf den Webseiten des BSI: Cyber Resilience Act<\/a>.<\/p>\n Betroffen vom CRA sind Unternehmen, die Produkte mit digitalen Elementen in der EU verkaufen wollen. Unter diese Unternehmen fallen<\/p>\n Welche Produkte fallen aber nun unter die Verordnung? Grunds\u00e4tzlich\u00a0 geht es um Hard- und Softwareprodukte mit digitalen Elementen, einschlie\u00dflich separat vermarkteter Komponenten. Dies kann von klassischer Software \u00fcber vernetzte Ger\u00e4te (Internet of Things) bis hin zu eingebetteten Systemen reichen. Konkrete Beispiele f\u00fcr diese Art von Produkten sind Smartphones, vernetztes Spielzeug, aber auch Mikroprozessoren oder Buchhaltungssoftware.<\/p>\n F\u00fcr bestimmte Bereiche, wie z. B. Medizinprodukte gelten teilweise andere (und schon bereits existierende) Bestimmungen. Ebenso ausgenommen sind Open-Source-Software-Produkte, die nicht kommerziell bereitgestellt werden.<\/p>\n \n Produkte, die unter den CRA fallen, m\u00fcssen wesentliche Anforderungen an Cybersicherheit erf\u00fcllen. Aktivit\u00e4ten, um dieses Ma\u00df an Sicherheit zu erreichen, lassen sich in drei Bereiche herunterbrechen:<\/p>\n Im Bereich der Cyber- und Datensicherheit hat sich \u00fcber die Jahre ein wahres Labyrinth der Richtlinien entwickelt, in welchem die \u00dcbersicht gelegentlich schwerfallen kann. Die folgende \u00dcbersicht gibt erste Orientierung.<\/p>\n Die drei Richtlinien greifen ineinander und decken unterschiedliche Ebenen der digitalen Sicherheit ab. Der CRA stellt sicher, dass Produkte von Anfang an sicher entwickelt und betrieben werden. NIS2 verpflichtet Organisationen zu einem robusten Sicherheitsmanagement im Betrieb und die DSGVO betrifft die Verarbeitung personenbezogener Daten innerhalb dieser Systeme.<\/p>\n Der CRA ist bereits in Kraft, wird jedoch nur schrittweise wirksam. Unternehmen haben au\u00dferdem \u00dcbergangsfristen, um ihre Produkte und Prozesse anzupassen.<\/p>\n Wichtige Eckdaten:<\/strong><\/p>\n 11. Dezember 2024:<\/strong> Der CRA tritt in Kraft. Was ist also in der Zwischenzeit zu tun? In einer Vorbereitungsphase<\/strong> geht es zun\u00e4chst darum , Betroffenheit zu pr\u00fcfen eine Gap-Analyse gegen\u00fcber den CRA-Anforderungen durchzuf\u00fchren und interne Verantwortlichkeiten zu kl\u00e4ren. Anschlie\u00dfend sind Prozesse f\u00fcr ein effizientes Schwachstellenmanagement<\/strong> aufzubauen. Zust\u00e4ndigkeiten und Meldewege sind bekannt und Sicherheitsvorf\u00e4lle werden erkannt, um der Meldepflicht ab September 2026 gerecht zu werden. Bis Ende 2027 werden Produkte nach \u201esecure by design\/default<\/strong>\u201c entwickelt. Konformit\u00e4tsbewertungsverfahren sind implementiert und technische Dokumentation und Nachweise vollst\u00e4ndig aufgebaut.<\/p>\n Der CRA ist ein Baustein im Kontext der EU-Cybersicherheitsstrategie und bezieht sich auf Produkte mit digitalen Elementen \u00fcber ihren gesamten Lebenszyklus. Bisherige Regelwerke wie NIS2 und die DSGVO bezogen sich vor allem auf den Betrieb und Umgang mit Daten in Organisationen, nun also neu ist der Produktfokus.<\/p>\n Eben jener Produktfokus macht es schwierig, die Anforderungen des CRA kurzfristig nachzuziehen. Denn er betrifft Entwicklungsprozesse und Produktarchitekturen oft ma\u00dfgeblich. Fr\u00fchzeitiges Starten ist also essenziell, um die Sicherheitsanforderungen effizient in bestehende Prozesse zu integrieren und Produkte auf den Markt zu bringen, die den Anforderungen gerecht werden.<\/p>\n \n","protected":false},"excerpt":{"rendered":" Was ist der Cyber Resilience Act? Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die erstmals verbindliche Cybersicherheitsanforderungen f\u00fcr Produkte mit digitalen Elementen festlegt, die auf dem EU-Markt erh\u00e4ltlich sind. Der CRA ist Teil der europ\u00e4ischen Cybersicherheitsstrategie, dessen Ziele Resilienz von Systemen und die Erhaltung ihrer operativen F\u00e4higkeit, Abschreckung und Reaktion sowie die F\u00f6rderung eines<\/p>\nWen betrifft der Cyber Resilience Act?<\/h2>\n
\n
Welche Anforderungen stellt der CRA an Unternehmen?<\/h2>\n
\n
Im Richtlinien-Labyrinth: CRA vs. NIS2 vs. DSGVO<\/h2>\n
\n\n
\n <\/th>\n CRA<\/th>\n NIS2<\/th>\n DSGVO<\/th>\n<\/tr>\n \n Voller Titel<\/td>\n Cyber Resilience Act<\/td>\n The Network and Information Security Directive<\/td>\n Datenschutz-Grundverordnung<\/td>\n<\/tr>\n \n Adressaten<\/td>\n Hersteller, Importeure und H\u00e4ndler von Produkten mit digitalen Elementen in der EU<\/td>\n Wesentliche und wichtige Einrichtungen (z. B. Energie, IT, Gesundheit)<\/td>\n Alle Organisationen, die personenbezogene Daten verarbeiten<\/td>\n<\/tr>\n \n Gegenstand<\/td>\n Cybersicherheit von Produkten mit digitalen Elementen \u00fcber ihren gesamten Lebenszyklus<\/td>\n Cybersicherheit von Organisationen und kritischen Diensten im laufenden Betrieb<\/td>\n Schutz personenbezogener Daten und der Privatsph\u00e4re<\/td>\n<\/tr>\n \n Fokus<\/td>\n Sichere Entwicklung (\u201esecure by design\u201c), sichere Voreinstellungen und regelm\u00e4\u00dfige Updates<\/td>\n Risikomanagement, technische und organisatorische Sicherheitsma\u00dfnahmen in Unternehmen<\/td>\n Rechtm\u00e4\u00dfige Datenverarbeitung, Datensicherheit und Schutz der Betroffenenrechte<\/td>\n<\/tr>\n \n Meldepflichten<\/td>\n Meldung aktiv ausgenutzter Schwachstellen und Sicherheitsvorf\u00e4lle bei Produkten<\/td>\n Meldung erheblicher Sicherheitsvorf\u00e4lle an zust\u00e4ndige Beh\u00f6rden<\/td>\n Meldung von Datenschutzverletzungen an Aufsichtsbeh\u00f6rden<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<\/div>\n Ab wann gilt der Cyber Resilience Act?<\/h2>\n
\n11. September 2026:<\/strong> Die Meldepflicht f\u00fcr aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorf\u00e4lle gilt.
\n11. Dezember 2026:<\/strong> Es stehen ausreichend notifizierte Konformit\u00e4tsbewertungsstellen (KBS) zur Verf\u00fcgung.
\n11. Dezember 2027:<\/strong> Alle CRA-Anforderungen sind bei neuen Produkten eingehalten.<\/p>\nCRA in der Praxis<\/h2>\n
Fazit<\/h2>\n