newsonline24

Die EU reagiert darauf mit dem Cyber Resilience Act (CRA), der bereits am 11. Dezember 2024 in Kraft getreten ist. Er verfolgt das Ziel, einheitliche Sicherheitsanforderungen für Produkte mit digitalen Elementen zu etablieren und so die Resilienz gegenüber Cyberattacken zu erhöhen. Der CRA ist eine Verordnung, keine Richtlinie. Damit entfaltet er unmittelbare Geltung in allen EU-Mitgliedstaaten, ohne dass es einer nationalen Umsetzung bedarf.

CRA: Hersteller digitaler Produkte müssen handeln

Für Hersteller digitaler Produkte bedeutet das: Ab dem 11. September 2026 gelten erste verpflichtende Anforderungen wie die Meldung von Schwachstellen und ab dem 11. Dezember 2027, 36 Monate nach dem Inkrafttreten des CRA, müssen alle Anforderungen erfüllt sein, damit Produkte weiterhin auf dem EU-Markt vertrieben werden dürfen. Anpassungen werden abhängig vom Produkt auf technischer und organisatorischer Ebene notwendig. Die gute Nachricht: Unternehmen können bestehende Best Practices nutzen und müssen das Rad nicht neu erfinden.

Der Geltungsbereich des CRA und seine Produktkategorien

Die CRA-Regulierung betrifft Produkte mit digitalen Elementen, das heißt Hard- oder Software, welche digitale Daten verarbeiten und vernetzt werden können: von Smartphones und Browsern über Steuerungssysteme im industriellen Bereich bis hin zu kritischen Komponenten wie Smartcards und Hardware Security Modulen.

Je nach Risikoklasse variiert die Tiefe des erforderlichen Nachweises der Konformität: Der CRA benennt allgemeine Produkte, Produkte mit direktem Cybersecuritybezug, bis hin zu hochsensiblen Anwendungen in kritischen Infrastrukturen. Für kritische Produkte sind externe Prüfungen durch Dritte erforderlich, während allgemeine Produkte lediglich eine Selbsterklärung benötigen.

Die neuen Pflichten der Hersteller nach CRA

Die Pflichten des CRA lassen sich in zwei Bereiche unterteilen: 

• die Anforderungen an die Produktsicherheit und 
• die Anforderungen an die Herstellerprozesse.

1. Die Anforderungen an die Produktsicherheitbeziehen sich auf die Produkteigenschaften, auf dessen technische Sicherheit und die Kommunikationswege. Der CRA stellt hier eine ganze Reihe von Forderungen: Vertraulichkeit und Integrität der verarbeiteten Daten müssen zum Beispiel sichergestellt sein, der Schutz vor unbefugtem Zugriff bestehen und wesentliche Funktionen auch im Angriffsfall verfügbar sein. Angriffsflächen müssen reduziert werden, Logging- und Monitoring-Möglichkeiten vorhanden sein und Sicherheitsupdates durchgeführt werden.
2. Die Anforderungen an Herstellerprozessebetreffen die unternehmensinternen Abläufe. Hersteller müssen unter anderem Prozesse zur koordinierten Behandlung von Schwachstellen einführen, ein Schwachstellenmanagement etablieren und eine Meldepflicht gegenüber Behörden wie der ENISA einhalten. Die Prozesse, mit denen die Anforderungen erfüllt werden, müssen zudem dokumentiert werden, um der Nachweispflicht Genüge zu tun. Das bedeutet, dass der CRA nicht nur formal die Konformität einfordert, sondern funktionierende Sicherheitsprozesse.

Die Herausforderungen bei der Umsetzung des CRA

Die zentrale Herausforderung für Unternehmen liegt in der Umsetzung der regulatorischen Anforderungen: Teilweise sind diese interpretationsbedürftig formuliert. So lässt der CRA beispielsweise offen, wie konkret Datenintegrität geschützt oder der Zugriff auf sensible Daten kontrolliert werden soll. Die konkreten Anforderungen sind nur kurz ausgeführt und schaffen keine Klarheit. Harmonisierte Standards und Leitliniendokumente der EU-Kommission wurden noch nicht veröffentlicht und teilweise werden sie erst kurz vor dem endgültigen Inkrafttreten der CRA-Pflichten im Dezember 2027 erwartet.

Die harmonisierten Standards werden in drei Kategorien eingeteilt: 

• Typ A Standards (horizontale Frameworks) legen die übergreifenden Prinzipien und Begriffe fest, sind aber nicht produktspezifisch. 
• Typ B Standards (horizontale Standards) formulieren produktunabhängige Anforderungen und zielen auf Prozesse ab. 
• Typ C Standards (vertikale Standards) konzentrieren sich auf konkrete Produktfamilien wie Firewalls oder Steuergeräte und sollen eine vollständige Abdeckung der Anforderungen ermöglichen. 

Mit der Veröffentlichung eines geplanten Typ A Standards wird im August 2026 gerechnet, 14 Typ B Standards sollen zwischen September 2026 und Oktober 2027 veröffentlicht werden, ein Typ C Standard im Oktober 2026.

Auch die Leitliniendokumente sind noch nicht veröffentlicht: Bisher wurde nur ein Veröffentlichungsdatum für ein Leitliniendokument zur Produktklassifikation benannt – der 11. Dezember 2025.

Fragen, die durch diese Dokumente geklärt werden sollen, sind unter anderem, welche Pflichten sich aus der Nutzung von Open-Source-Komponenten ergeben, wann ein Produkt als wesentlich verändert gilt oder wie eine Risikobewertung durchgeführt werden kann.

CRA: Mit Best Practices die Umsetzung anstoßen

Warten, bis alle relevanten Dokumente vorliegen, ist keine Option. Wer früh mit der Umsetzung beginnt, kann den hohen Zeitdruck gen Ende umgehen – und auch Kosten vermeiden, die bei einer verzögerten Umsetzung zwangsläufig entstehen.

Das gelingt, indem sich Unternehmen an bereits etablierten Best Practices und Sicherheitsstandards wie der IEC 62443 Reihe oder branchenspezifischen IoT-Richtlinien orientieren. Damit lassen sich bereits heute viele der technischen und organisatorischen Anforderungen des CRA erfüllen. Viele Pflichten etwa zum Schwachstellenmanagement können mit den bestehenden Prozessen erfüllt werden.

Essenziell ist darüber hinaus die frühzeitige Durchführung einer Risikoanalyse. Diese bildet die Grundlage, um zu bestimmen, welche Assets geschützt werden müssen, welche Bedrohungen existieren und welche Schwachstellen kritisch sind. Eine solche proaktive Herangehensweise spart Ressourcen und minimiert Risiken.

Erfahren Sie hier mehr über die Einhaltung der CRA-Vorschriften und darüber, wie achelos Sie bei der Erfüllung der neuen Anforderungen unterstützen kann: https://www.achelos.de/de/services-loesungen/services/cyber-resilience-act/

Autoren:                  Philip Asmuth, Team Lead Security Architecture & Evaluation, achelos GmbH

                                Denis Bock, Sales Manager Cybersecurity, achelos GmbH