Was ist der Zweck des CRA und wie fügt er sich in das EU-Cybersicherheitsrecht ein?
Der Cyber Resilience Act ist ein zentraler Baustein der EU-Cybersicherheitsstrategie. Er befasst sich mit Risiken wie DDoS-Angriffen auf vernetzte Geräte und schafft erstmals EU-weit verbindliche Sicherheitsstandards für sogenannte “Produkte mit digitalen Elementen” (nachfolgend auch „Produkt“). Ziel ist es, die Sicherheitsanforderungen für solche Produkte zu harmonisieren und ein hohes Maß an Cybersicherheit zu gewährleisten. Während die NIS2-Richtlinie und DORA sichere Prozesse für bestimmte Branchen regeln, betont der CRA die Verantwortung der Hersteller, sichere Produkte bereitzustellen.
Einen Überblick über die CRA können Sie hier herunterladen
Der CRA verpflichtet Unternehmen entlang der gesamten Lieferkette – von Herstellern über Einführer (Importeure) bis hin zu Händlern – ihre Produkte und Prozesse an die neuen Anforderungen des CRA anzupassen. Dazu gehören unter anderem:
- Regelmäßige Sicherheitsupdates und Schwachstellenmanagement: Hersteller müssen Sicherheitsrisiken aktiv überwachen und beheben.
- Klare Verantwortlichkeiten: Einführer (Importeure) und Händler tragen dazu bei, die Einhaltung der Cybersicherheitsanforderungen sicherzustellen, indem sie Produkte vor dem Inverkehrbringen prüfen und Sicherheitsrisiken melden.
- Strenge Compliance-Anforderungen: Verstöße können zu Geldstrafen von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes nach sich ziehen.
Welche Produkte sind betroffen?
Der CRA deckt unter „Produkte mit digitalen Elementen“ alle Software- und Hardwareprodukte ab, die mit Netzwerken oder anderen Geräten verbunden sind – von IoT-Geräten bis zu kritischen industriellen Steuerungssystemen. Beispiele hierfür sind:
- Vernetzte Geräte wie z.B. intelligente Haushalts- und Industriesysteme, Router und IoT-Sensoren.
- Software wie z.B. Steuerungssoftware für vernetzte Haushaltsgeräte (wie Waschmaschinen, Kühlschränke und Öfen), Plattformen zur Smart-Home-Steuerung, Firmware-Update-Management-Software für IoT-Geräte, Videobearbeitungstools und mobile Apps.
- Hochrisiko-KI-Systeme, wie sie auch im AI Act (EU-Verordnung zu Künstlicher Intelligenz) als hochriskant eingestuft werden, etwa intelligente Überwachungskameras oder Systeme für Gesichtserkennung, sofern diese mit einem Netzwerk verbunden sind.
Welche Produkte fallen nicht in den Anwendungsbereich?
- Produkte, die bereits unter bestimmte andere EU-Vorschriften fallen: z. B. Medizinprodukte, die durch die MDR (Medical Device Regulation) reguliert werden.
- Websites, Cloud- und SaaS-Dienste: Diese sind ausgenommen, sofern sie lediglich unterstützende Funktionen bieten und nicht für die Funktion eines Produkts erforderlich sind – z. B. eine Backup-Software für ein IoT-Gerät im Gegensatz zu einem Clouddienst, der direkt dessen Steuerung übernimmt.
- Nicht-kommerzielle Open-Source-Software: Diese ist ebenfalls ausgenommen, sofern sie ohne Gewinnerzielungsabsicht entwickelt wurde.
Werden Produkte unterschiedlich behandelt?
Produkte müssen Sicherheitsprüfungen durchlaufen – etwa auf Schwachstellen oder die Einhaltung von Sicherheitsstandards – und können bei Erfolg das CE-Zeichen tragen. Der CRA unterteilt Produkte mit digitalen Elementen in vier Kategorien, die je nach Sicherheitsrelevanz insbesondere beim zwingend durchzuführenden Konformitätsbewertungsprozess - also dem Abgleich, ob alle Vorgaben des CRA erfüllt werden – unterschiedlich reguliert werden:
- Standardprodukte: Produkte mit geringem Sicherheitsrisiko, z. B. smarte Fernseher oder einfache Hausautomatisierungssysteme. Diese unterliegen weniger strengen Anforderungen und können meist durch interne Verfahren des Herstellers auf Konformität geprüft werden.
- Wichtige Produkte – Klasse I: Produkte mit sicherheitsrelevanten Funktionen, wie Router, Betriebssysteme oder intelligente Türschlösser. Diese erfordern entweder die Einhaltung eines harmonisierten Standards – das sind von der EU anerkannte technische Normen, die es Herstellern ermöglichen, die Einhaltung relevanter EU-Vorschriften nachzuweisen – oder eine externe Konformitätsbewertung.
- Wichtige Produkte – Klasse II: Produkte mit erhöhter Sicherheitsrelevanz, wie Firewalls oder manipulationssichere Mikrocontroller. Hier ist eine verpflichtende externe Prüfung erforderlich, um die Konformität sicherzustellen.
- Kritische Produkte: Produkte für fortgeschrittene Sicherheitszwecke, wie Smart-Meter-Gateways oder Geräte für sichere Kryptoverarbeitung. Falls ein Produkt sicherheitsrelevante Komponenten enthält (z. B. für kritische Infrastrukturen) und unter Anhang IV des CRA fällt, ist die Einhaltung eines EU-Cybersicherheitszertifizierungsschemas nach dem EU Cyber Security Act verpflichtend – sofern ein solches verfügbar ist. Andernfalls gelten die Anforderungen der Klasse II.
Die Klassifizierung nach Sicherheitsrelevanz sorgt dafür, dass Produkte mit höherem Risiko strenger reguliert werden, um ein angemessenes Sicherheitsniveau zu gewährleisten.
Welches sind die wichtigsten Cybersicherheits-Anforderungen für Hersteller?
Der CRA enthält in seinen Anhängen umfangreiche Vorgaben für Hersteller, darunter Anforderungen an technische Dokumentationen und Bedienungsanleitungen. Im Mittelpunkt des CRA steht dabei die Hauptverantwortung der Hersteller für die Sicherheit ihrer Produkte. Zu den zentralen Anforderungen gehören:
- Sicherheit im Lebenszyklus: Sicherheit muss von der Produktentwicklung bis zum Ende der Nutzung berücksichtigt werden – etwa durch sichere Softwarearchitektur und regelmäßige Sicherheitsupdates.
- Schwachstellenmanagement: Sicherheitslücken des Produkts müssen innerhalb von 24 Stunden an das zuständige Computer Security Incident Response Team (CSIRT), also die zuständige nationale Aufsicht, und die ENISA gemeldet werden. In den folgenden Tagen und Wochen müssen weiterführende Informationen, etwa zu der Art des Angriffs, betroffenen Produkten und Abhilfemaßnahmen, bereitgestellt werden.
- Konformitätsbewertung und CE-Kennzeichnung: Alle Produkte müssen vor dem Inverkehrbringen eine Konformitätsbewertung durchlaufen, um die Einhaltung der CRA-Anforderungen nachzuweisen. Nach erfolgreicher Prüfung darf (und muss) das CE-Zeichen angebracht werden, das die Konformität des Produkts bestätigt.
- Integration sicherer Komponenten: Drittanbieterkomponenten, einschließlich Open-Source-Software, müssen vor ihrer Integration in das Produkt überprüft werden.
- Sicherheitsupdates: Sicherheitsupdates müssen für das Produkt über einen Zeitraum von in der Regel fünf Jahren und grundsätzlich kostenfrei angeboten werden.
- Transparenz und Dokumentation: Hersteller sind verpflichtet, umfassende technische Dokumentationen des Produktes zu erstellen, die die Einhaltung der Sicherheitsanforderungen belegen. Diese Dokumente müssen u.a. für Aufsichtsbehörden verfügbar sein und während des gesamten Lebenszyklus des Produkts aktuell gehalten werden.
Welche Pflichten treffen Einführer (Importeure) und Händler?
Einführer und Händler spielen eine zentrale Rolle bei der Gewährleistung der Cybersicherheit von Produkten mit digitalen Elementen entlang der gesamten Lieferkette.
- Einführer (Importeure) müssen sicherstellen, dass Produkte, die sie importieren, den Anforderungen des CRA entsprechen. Sie tragen unter anderem die Verantwortung, dass der Hersteller die vorgeschriebenen Konformitätsbewertungsverfahren durchgeführt hat, die technische Dokumentation vorliegt, das Produkt die CE-Kennzeichnung trägt und eine gültige EU-Konformitätserklärung beigefügt ist.
- Händler sind dafür verantwortlich, dass Produkte, die sie auf dem Markt bereitstellen, den Anforderungen des CRA entsprechen. Sie müssen unter anderem sicherstellen, dass das Produkt die CE-Kennzeichnung trägt und mit einer EU-Konformitätserklärung versehen ist und alle erforderlichen Informationen und Anleitungen für den Endnutzer vorliegen.
Zusätzlich müssen Einführer und Händler entdeckte Sicherheitsrisiken oder Schwachstellen unverzüglich den zuständigen Behörden melden. Diese Pflichten binden Einführer und Händler stärker in die Verantwortung ein und ergänzen die Vorgaben für Hersteller, um ein durchgängiges Sicherheitsniveau von der Entwicklung bis zum Endkunden sicherzustellen.
Anwendungsfristen und Zeitplan
- Ab 11. Juni 2026: Anforderungen für Konformitätsbewertungsstellen (Institutionen, die die Einhaltung von Sicherheitsstandards prüfen) treten in Kraft.
- Ab 11. September 2026: Meldepflichten für Schwachstellen werden verbindlich.
- Ab 11. Dezember 2027: Die sonstigen CRA-Regelungen treten vollständig in Kraft, einschließlich der Anforderungen an Sicherheitsupdates und des Schwachstellenmanagements.
Produkte, die vor diesem Datum auf den Markt gebracht wurden, sind in der Regel nur betroffen, wenn sie wesentlich verändert werden, z. B. durch eine neue Hardware-Integration oder signifikante Software-Updates.
Durchsetzung und Sanktionen
Die Marktaufsicht wird von nationalen Behörden der EU-Mitgliedstaaten in Zusammenarbeit mit der ENISA (Europäische Agentur für Cybersicherheit) durchgeführt, etwa durch gemeinsame Überprüfungen oder Leitlinien zur Umsetzung der CRA-Vorgaben.
Sanktionen richten sich nach der Schwere des Verstoßes:
- 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes: Bei Verstößen gegen Cybersicherheitsanforderungen.
- 10 Millionen Euro oder 2 % des Umsatzes: Für andere Verstöße, z. B. fehlende Sicherheitsprüfungen.
- 5 Millionen Euro oder 1 % des Umsatzes: Für falsche Angaben oder unzureichende Dokumentation.
Zusätzlich können Behörden Produkte vom Markt nehmen und Unternehmen verpflichten, Sicherheitslücken zu schließen, wenn schwerwiegende Sicherheitsmängel festgestellt werden, etwa bei ungesicherten IoT-Geräten.
Zusammenfassung und Ausblick
Der CRA führt erstmals EU-weit verbindliche Sicherheitsanforderungen für Produkte mit digitalen Elementen ein. Ziel ist es, Schwachstellenmanagement und Sicherheitsstandards zu harmonisieren und die Cybersicherheit in der EU zu stärken. Für Unternehmen bedeuten diese Regelungen jedoch erhebliche Anpassungen in Entwicklungs-, Herstellungs- und Wartungsprozessen.
Die harmonisierten Regeln bieten Chancen wie erhöhtes Verbrauchervertrauen, bringen jedoch Herausforderungen: Unternehmen müssen Standards und Prozesse prüfen, ihre Konformität sicherstellen und ggf. zusätzliche Sicherheitsmaßnahmen umsetzen. Dies gilt insbesondere, wenn die etablierten Standards die Anforderungen des CRA nicht vollständig abdecken.
Einen Überblick über die CRA können Sie hier herunterladen