Was ist der Cyber Resilience Act?
Der Cyber Resilience Act (CRA) ist ein Gesetzesvorhaben der Europäischen Union, das die Cybersicherheit von Hardware- und Softwareprodukten in Europa deutlich erhöhen soll. Er legt einheitliche Mindestanforderungen an Sicherheit und Update-Fähigkeit für Produkte mit digitalen Elementen fest – von IoT-Geräten über Software bis hin zu industriellen Systemen. Ziel ist es, Sicherheitslücken zu reduzieren, Hersteller stärker in die Verantwortung zu nehmen und das digitale Binnenmarkt-Niveau insgesamt zu erhöhen.
Hintergrund & Zielsetzung des Cyber Resilience Acts
Der CRA reagiert darauf, dass immer mehr Geräte und Anwendungen vernetzt sind, Sicherheitslücken aber oft erst spät oder gar nicht geschlossen werden. Bislang waren Sicherheitsanforderungen in der EU stark fragmentiert und häufig freiwillig. Mit dem Cyber Resilience Act sollen Hersteller verpflichtende Vorgaben erhalten, wie sie Sicherheit bereits in die Produktentwicklung integrieren („Security by Design“), Schwachstellen managen und Updates bereitstellen müssen. Dadurch soll das Risiko von Cyberangriffen, Datenlecks und Ausfällen kritischer Systeme sinken – sowohl für Unternehmen als auch für Verbraucher.
Anwendungsbereich des Cyber Resilience Acts
Der CRA gilt für eine breite Palette von Produkten mit digitalen Elementen. Dazu zählen klassische Softwareprodukte, Betriebssysteme, Anwendungen, vernetzte Geräte (z. B. Smart-Home, IoT, Consumer Electronics), aber auch professionelle und industrielle Lösungen. Ausgenommen sind in der Regel Produkte, die bereits unter speziellere Regulierungen fallen (z. B. bestimmte Medizinprodukte oder Luftfahrt), sofern dort gleichwertige Sicherheitsauflagen gelten. Für Hersteller, Importeure und Händler bedeutet der Cyber Resilience Act, dass sie nachweisen müssen, dass ihre Produkte die vorgegebenen Sicherheitsanforderungen erfüllen, bevor sie im EU-Binnenmarkt in Verkehr gebracht werden.
Zentrale Pflichten für Hersteller
Der Cyber Resilience Act sieht mehrere Kerpflichten vor. Hersteller müssen Cybersicherheit bereits in der Konzeption und Entwicklung berücksichtigen und ein dokumentiertes Risikomanagement für Sicherheitsbedrohungen vorweisen. Sie sind verpflichtet, Schwachstellen systematisch zu überwachen und zu melden sowie Sicherheitsupdates bereitzustellen – in der Regel über einen definierten Zeitraum der Produktlebensdauer. Zudem müssen sie technische Dokumentationen und Sicherheitsinformationen (z. B. über bekannte Risiken, Update-Mechanismen und Supportzeiträume) bereitstellen. Darüber hinaus werden Anforderungen an sichere Standardkonfigurationen, robuste Authentifizierung und den Schutz vor unbefugtem Zugriff formuliert.
Bedeutung für Unternehmen und Entwickler
Für Unternehmen, die Software oder vernetzte Produkte in der EU anbieten, hat der Cyber Resilience Act weitreichende Auswirkungen. Produktentwicklung, Qualitätssicherung und Compliance müssen enger verzahnt werden, um Sicherheitsanforderungen nachvollziehbar zu erfüllen und dies im Rahmen von Konformitätsbewertungen nachweisen zu können. Auch Zulieferer- und Open-Source-Komponenten rücken stärker in den Fokus, da bekannte Schwachstellen (z. B. in Bibliotheken) entlang der Lieferkette berücksichtigt werden müssen. Für IT- und Entwicklungsteams bedeutet das eine stärkere Orientierung an Secure-Development-Lifecycles, automatisiertem Schwachstellen-Scanning und der klaren Planung von Update- und Supportstrategien.
Verhältnis zu anderen EU-Regelwerken
Der Cyber Resilience Act ergänzt bestehende EU-Regulierungen im Bereich Cybersicherheit und Digitalisierung. Während die NIS2-Richtlinie vor allem Betreiber wesentlicher Dienste und kritischer Infrastrukturen adressiert, fokussiert der CRA direkt auf die Produktseite – also auf die Sicherheit der eingesetzten Hard- und Software. Zusammen mit Vorgaben wie der DSGVO (Datenschutz) und branchenspezifischen Regelungen entsteht so ein dichterer Rahmen, der Datenschutz, Betriebssicherheit und Produktsicherheit im digitalen Raum stärker miteinander verzahnt. Für Unternehmen wird es damit wichtiger, Cybersicherheit nicht als isoliertes IT-Thema, sondern als festen Bestandteil von Produktstrategie, Governance und Compliance zu betrachten.