Zum Inhalt springen

CRA

Cyber Resilience Act

Cybersicherheit von vernetzten Geräten

Mit dem 2024 vom Rat der EU-Innenminister:innen beschlossen Cyber Resilience Act (CRA) kommen auf Hersteller von vernetzten Geräten zukünftig neue Mindestanforderungen in Sachen Cybersicherheit zu.

Weißer Saugroboter fährt von links in das Bild hinein

Was ist der Cyber Resilience Act (CRA)?

Der Cyber Resilience Act (CRA) legt verbindliche Anforderungen an die Cybersicherheit von vernetzten Geräten fest, die innerhalb der EU in Verkehr gebracht werden. Sein Ziel: Einen einheitlichen Sicherheitsstandard für digitale Hardware- und Softwareprodukte auf dem europäischen Markt zu schaffen.

Smart Home Gerät in einem Wohnzimmer

Wer ist betroffen?

Der Cyber Resilience Act der Europäischen Union zielt darauf ab, die Cybersicherheit von Produkten mit digitalen Elementen zu verbessern. Betroffen sind Hersteller, Importeure und Händler solcher Produkte, die in der EU auf den Markt gebracht werden. Dies umfasst eine breite Palette von Produkten, von IoT-Geräten bis hin zu Softwareanwendungen, die mit dem Internet verbunden sind oder digitale Funktionen haben.

Der Act legt Anforderungen an die Cybersicherheit fest, die diese Produkte erfüllen müssen, bevor sie in der EU verkauft werden dürfen. Dazu gehören unter anderem Sicherheitsmaßnahmen, die während des gesamten Lebenszyklus des Produkts aufrechterhalten werden müssen, sowie die Verpflichtung zur Offenlegung von Sicherheitslücken und zur Bereitstellung von Sicherheitsupdates.

Unternehmen, die solche Produkte herstellen, importieren oder vertreiben, müssen sicherstellen, dass ihre Produkte den im Cyber Resilience Act festgelegten Standards entsprechen, um rechtliche und finanzielle Konsequenzen zu vermeiden.

Nur wenige Produktarten sind dagegen vom CRA ausgenommen. Darunter z. B. nicht-kommerzielle Open-Source-Softwareprodukte.

Risikobewertung

Der CRA definiert Produktkategorien basierend auf ihrem Cyber-Risiko

Default Kategorie

In die “Default-Kategorie” fallen Produkte mit digitalen Komponenten, die ein geringes Cyberrisiko haben. Dazu gehören z. B. Verbraucherprodukte wie Spiele, Software, Geräte zur Bildbearbeitung.

  • Prüfungen: Selbstbewertung durch den Hersteller
  • Sicherheitsupdates und Schwachstellenmanagement sind erforderlich

Wichtige Produkte Klasse I

In die Kategorie der „Wichtigen Produkte I“ fallen Produkte, die eine Sicherheitsfunktion enthalten, die wiederum weitere Produkte betreffen. Dazu gehören z. B. Browser, Mikrocontroller, Mikroprozessoren, Passwortmanager, Betriebssysteme, Smart Home, Virtuelle Assistenzen.

  • Prüfungen: Zertifizierung durch eine Konformitätsbewertungsstelle (KBS)
  • Regelmäßige Sicherheitsüberprüfungen und Updates sind erforderlich2

Wichtige Produkte Klasse II

In die Kategorie der „Wichtigen Produkte Klasse II“ fallen Produkte mit digitalen Komponenten, die eine Funktion erfüllen, die ein erhebliches Risiko birgt. Dieses Risiko kann eine große Anzahl an derer Produkte schädigen oder die Gesundheit und Sicherheit der Nutzer durch Manipulation stören. Zu diesen Produkten gehören z. B. Firewalls, Systeme zur Angriffserkennung und -prävention, manipulationssichere Mikrokontroller und -prozessoren.

  • Prüfungen: Intensive Prüfungen durch eine KBS
  • Detaillierte Risikobewertungen, regelmäßige Sicherheitsüberprüfungen und sofortige Reaktionen auf Schwachstellen sind erforderlich

Kritische Produkte

In die Kategorie der „Kritischen Produkte“ fallen Produkte, die eine kritische Abhängigkeit für von NIS-2 betroffenen Unternehmen darstellen (Artikel 3 der Richtlinie (EU) 2022/2555). Es handelt sich dabei um Produkte, die bei Fehlfunktion zu ernsthaften Unterbrechungen oder Störungen in Diensten oder Lieferketten führen können. Dazu gehören z. B. Smartcards und SEs, Smart Meter Gateways, Hardwaregeräte mit Security Boxes

  • Hier gelten verpflichtende Konformitätsbewertung und Zertifizierung durch eine Zertifizierungsstelle

Wir helfen Ihnen weiter - so oder so

Endlich loslegen!

Wir beraten Sie


TÜV NORD IT Secure Communication I Berlin
Ziel erreicht?

Wir prüfen das


TÜV Informationstechnik I Essen

Anforderungen und Aktuelles

Was bringt der CRA mit sich?

Der CRA enthält neue Mindestanforderungen an die Sicherheit von vernetzten Geräten. So müssen in Zukunft alle vernetzten Produkte, die innerhalb der EU auf den Markt gebracht werden, das CE-Kennzeichen tragen. Dies belegt sichtbar nach außen, dass das gekennzeichnete Produkt die Anforderungen des CRA erfüllt.
 

Anforderungen, die an Hersteller gestellt werden, sind unter anderem:

  • Berücksichtigung & Umsetzung von Cybersicherheit über den gesamten Produktlebenszyklus (Planung, Entwicklung, Produktion, Betrieb)
  • Dokumentation aller Cybersicherheitsrisiken
  • Meldung von Cybersicherheitsvorfällen sowohl an die ENISA als auch an betroffene Nutzer:innen
  • Sicherstellung, dass mögliche Schwachstellen über die erwartete Produktlebensdauer (maximal 5 Jahre) wirksam behandelt werden
  • Bereitstellung von Sicherheitsupdates für mindestens 5 Jahre
  • Klare & verständliche Bedienungsanleitungen für Produkte mit digitalen Elementen

Wie ist der aktuelle Stand?

Der CRA ist am 10.10.2024 durch den Rat der EU-Innenminister:innen beschlossen und am 20.11.2024 als Regulation (EU) 2024/2847 im Amtsblatt der Europäischen Union veröffentlicht worden.

Die Fristen zur Umsetzung:

  • 10. Dezember 2024: Inkrafttreten des CRA
  • 11. Juni 2026: Kapitel IV (Notifizierung von Konformitätsbewertungsstellen) tritt in Kraft.
  • 11. September 2026: Hersteller sind verpflichtet, nationale Behörden sowie die ENISA über aktiv ausgenutzte Sicherheitslücken in ihren Produkten zu informieren (Meldepflichten).  
  • 11. Dezember 2027: Ab diesem Datum gelten alle Anforderungen des CRA. Das bedeutet, dass alle vernetzten Produkte, die innerhalb der EU auf den Markt gebracht werden, eine CE-Kennzeichnung tragen müssen.