Was heißt CRA?

Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt. Sie gilt für Hardware und Software, die in der EU in Verkehr gebracht werden, von vernetzten Haushaltsgeräten über Industriekomponenten bis hin zu Betriebssystemen und Anwendungssoftware. Der CRA wurde im Oktober 2024 im Amtsblatt der EU veröffentlicht und wird schrittweise in Kraft gesetzt.

Ziel des CRA

Der CRA schließt eine wesentliche Regulierungslücke: Bislang gab es keine EU-weiten Mindestanforderungen an die Cybersicherheit von Produkten entlang des gesamten Lebenszyklus. Viele Geräte und Softwareprodukte wurden ohne ausreichende Sicherheitsmaßnahmen auf den Markt gebracht oder erhielten nach dem Kauf keine Sicherheitsupdates mehr. Der CRA verpflichtet Hersteller dazu, Sicherheit bereits bei der Entwicklung zu berücksichtigen und Produkte über ihren gesamten Lebenszyklus abzusichern.

Kernanforderungen des CRA

Hersteller sind verpflichtet, Produkte mit digitalen Elementen so zu gestalten, dass sie dem Prinzip „Security by Design" entsprechen. Bekannte Schwachstellen müssen vor dem Inverkehrbringen behoben sein. Sicherheitsupdates müssen für den gesamten vorgesehenen Lebenszyklus des Produkts bereitgestellt werden, mindestens jedoch für einen Zeitraum von fünf Jahren, es sei denn, der erwartete Nutzungszeitraum des Produkts ist nachweislich kürzer. Aktiv ausgenutzte Schwachstellen müssen innerhalb von 24 Stunden an die zuständige EU-Agentur für Cybersicherheit ENISA gemeldet werden. Auch Importeure und Händler tragen Mitverantwortung dafür, dass nur konforme Produkte in der EU vertrieben werden.

Produktkategorien und Risikoklassen

Der CRA unterscheidet zwischen drei Risikoklassen:

  • Standardprodukte: Unterliegen einer Selbstbewertung durch den Hersteller
  • Wichtige Produkte (Klasse I und II): Erhöhte Anforderungen, teils mit Einbindung externer Prüfstellen
  • Kritische Produkte: Strengste Anforderungen mit verpflichtender Drittparteiprüfung; Beispiele sind Hardware-Sicherheitsmodule und Smart-Meter-Gateways

Bedeutung des CRA für Hersteller

Hersteller, Importeure und Händler müssen ihre Prozesse entlang des gesamten Produktlebenszyklus anpassen. Verstöße können mit Bußgeldern von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes geahndet werden – je nachdem, welcher Betrag höher ist.

DSGVO-Website-Audit Schriftzug neben einem Mann

❮   Zurück