CRA
Cybersicherheit von vernetzten Geräten
Mit dem 2024 vom Rat der EU-Innenminister:innen beschlossen Cyber Resilience Act (CRA) kommen auf Hersteller von vernetzten Geräten zukünftig neue Mindestanforderungen in Sachen Cybersicherheit zu.
So unterstützen wir Sie
Der CRA legt verbindliche Anforderungen an die Cybersicherheit von vernetzten Geräten fest, die innerhalb der EU in Verkehr gebracht werden. Sein Ziel: Einen einheitlichen Sicherheitsstandard für digitale Hardware- und Softwareprodukte auf dem europäischen Markt zu schaffen.
Der Cyber Resilience Act stellt Hersteller vor neue, verbindliche Anforderungen an die Cybersicherheit ihrer Produkte – über den gesamten Lebenszyklus hinweg. Von der Risikobewertung über sichere Entwicklungsprozesse bis hin zu Konformitätsbewertung und Marktüberwachung: CRA-Compliance erfordert Struktur, Fachwissen und klare Verantwortlichkeiten.
TÜVIT unterstützt Hersteller entlang aller relevanten Schritte auf dem Weg zur Compliance – praxisnah, unabhängig und normenkonform.
Unser kostenloses Guidance-Dokument zeigt, worauf es ankommt, welche Pflichten konkret gelten und wie TÜVIT Sie gezielt dabei begleiten kann, die CRA-Anforderungen effizient und nachhaltig zu erfüllen.
Jetzt kostenlos das Dokument auf Englisch herunterladen und den Weg zur CRA-Compliance strukturiert planen.
Der Cyber Resilience Act der Europäischen Union zielt darauf ab, die Cybersicherheit von Produkten mit digitalen Elementen zu verbessern. Betroffen sind Hersteller, Importeure und Händler solcher Produkte, die in der EU auf den Markt gebracht werden. Dies umfasst eine breite Palette von Produkten, von IoT-Geräten sowie Softwareanwendungen, die mit dem Internet verbunden sind oder digitale Funktionen haben bis hin zu Industrie-Komponenten.
Der Act legt Anforderungen an die Cybersicherheit fest, die diese Produkte erfüllen müssen, bevor sie in der EU verkauft werden dürfen. Dazu gehören unter anderem Sicherheitsmaßnahmen, die während des gesamten Lebenszyklus des Produkts aufrechterhalten werden müssen, sowie die Verpflichtung zur Offenlegung von Sicherheitslücken und zur Bereitstellung von Sicherheitsupdates.
Unternehmen, die solche Produkte herstellen, importieren oder vertreiben, müssen sicherstellen, dass ihre Produkte den im Cyber Resilience Act festgelegten Standards entsprechen, um rechtliche und finanzielle Konsequenzen zu vermeiden.
Nur wenige Produktarten sind dagegen vom CRA ausgenommen. Darunter z. B. nicht-kommerzielle Open-Source-Softwareprodukte.
In die “Default-Kategorie” fallen Produkte mit digitalen Komponenten, die ein geringes Cyberrisiko haben. Dazu gehören z. B. Verbraucherprodukte wie Spiele, Software, Geräte zur Bildbearbeitung.
In die Kategorie der „Wichtigen Produkte I“ fallen Produkte, die eine Sicherheitsfunktion enthalten, die wiederum weitere Produkte betreffen. Dazu gehören z. B. Browser, Mikrocontroller, Mikroprozessoren, Passwortmanager, Betriebssysteme, Smart Home, Virtuelle Assistenzen.
In die Kategorie der „Wichtigen Produkte Klasse II“ fallen Produkte mit digitalen Komponenten, die eine Funktion erfüllen, die ein erhebliches Risiko birgt. Dieses Risiko kann eine große Anzahl an der Produkte schädigen oder die Gesundheit und Sicherheit der Nutzer durch Manipulation stören. Zu diesen Produkten gehören z. B. Firewalls, Systeme zur Angriffserkennung und -prävention, manipulationssichere Mikrokontroller und -prozessoren.
In die Kategorie der „Kritischen Produkte“ fallen Produkte, die eine kritische Abhängigkeit für von NIS-2 betroffenen Unternehmen darstellen (Artikel 3 der Richtlinie (EU) 2022/2555). Es handelt sich dabei um Produkte, die bei Fehlfunktion zu ernsthaften Unterbrechungen oder Störungen in Diensten oder Lieferketten führen können. Dazu gehören z. B. Smartcards und SEs, Smart Meter Gateways, Hardwaregeräte mit Security Boxes.
Der Weg zur Erreichung der CRA Compliance ist selten ein Sprint. Unter dem Dach der TÜV NORD GROUP finden sich eine Vielzahl von helfenden Händen, die Hersteller von Produkten mit digitalem Element auf ihrem Weg unterstützen. Vom initialen Training bei TÜV NORD Akademie, über Produktprüfungen der TÜVIT bis hin zur Zertifikatsvergabe durch TÜV NORD CERT.
Grundlagen-Seminar
Cyber Resilience Act (CRA): Europäische Cybersecurity Strategie, Technische Umsetzung der Anforderungen in der Praxis, Vertragsgestaltung und Haftung.
Scoping Workshop for Starters
CRA auf einen Blick, einschließlich Geltungsbereichen, Verpflichtungen, Fristen, Produktklassifizierung, Risikomanagement, Dokumentationspflichten, Konformitätspfade, Rollen und nächste Schritte für eine effektive Vorbereitung auf den CRA.
Gap Analysis
Analyse einschließlich Anforderungsabgleich, Architekturüberprüfung, Dokumentationsabgleich (nach Definition), Lieferkettenprüfungen, Schwachstellenmanagement und Planung von Abhilfemaßnahmen.
Pre-Penetration Testing
Pentesting und Test Reports aus der Hand eines unabhängigen Labors als technisches Quality Gate im Rahmen von Hersteller-Self Assessments.
Produkt-Evaluation
Produkt-Evaluation durch eine benannte Bewertungsstelle (TÜVIT) gemäß EUCC oder speziellen harmonisierten Normen (hEN), die derzeit auf Grundlage von z. B. IEC 62443, ETSI EN 303 645 entwickelt werden.
Zertifizierung
Zertifizierungsentscheidung und Ausstellung des Zertifikats.
Der CRA enthält neue Mindestanforderungen an die Sicherheit von vernetzten Geräten. So müssen in Zukunft alle vernetzten Produkte, die innerhalb der EU auf den Markt gebracht werden, das CE-Kennzeichen tragen. Dies belegt sichtbar nach außen, dass das gekennzeichnete Produkt die Anforderungen des CRA erfüllt.
Der CRA ist am 10.10.2024 durch den Rat der EU-Innenminister:innen beschlossen und am 20.11.2024 als Regulation (EU) 2024/2847 im Amtsblatt der Europäischen Union veröffentlicht worden.
Internes Fertigungskontrollverfahren und Selbsterklärung zur Konformitätsbewertung.
Wichtige Produkte mit digitalen Elementen Klasse I
Default Produkte mit digitalen Elementen
Merke: Im Rahmen der Herstellerselbsterklärung in Modul A ist keine Einbindung einer notifizierten Stelle erforderlich.
Konformität auf Basis eines umfassenden Qualitätsmanagementsystems
Fokus auf Systemqualität statt Einzelproduktprüfung
Der CRA fordert die Implementierung eines maßgeschneiderten Qualitätsmanagementsystems (QMS) zur Erfüllung der Cybersecurity-Anforderungen, schreibt aber keine konkreten Normen vor. Die im folgenden gelisteten ISO-Standards können jedoch als Fundament genutzt werden, um CRA-Anforderungen ergänzt um CRA-spezifische Anforderungen, umzusetzen.
Auditierung und Zertifizierung des Qualitätsmanagementsystems durch eine notifizierte Stelle sowie regelmäßige Durchführung von Überwachungsaudits.
