Cyber Resilience Act: Produktsicherheit wird Pflicht
Der Cyber Resilience Act der Europäischen Union definiert verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen. Für Hersteller, Importeure und Händler bedeutet das: Produktsicherheit wird zum integralen Bestandteil des Entwicklungsprozesses. Der CRA ist kein Schreckgespenst – sondern eine Chance für systematische Produktsicherheit.
Was der Cyber Resilience Act bedeutet
Die Erfahrung zeigt: Die meisten Unternehmen unterschätzen zunächst den Anwendungsbereich des CRA oder haben den CRA bisher komplett ignoriert. Die Verordnung erfasst nahezu alle Produkte, die Software enthalten oder mit dem Internet verbunden werden können – vom Smart-Home-Gerät über industrielle Steuerungen bis zur Software-Anwendung.
Der CRA trat im Dezember 2024 in Kraft. Nach einer Übergangsfrist von 36 Monaten müssen alle betroffenen Produkte die Anforderungen erfüllen. Für Meldepflichten bei Sicherheitsvorfällen gilt eine kürzere Frist von 21 Monaten.
Konkret bedeutet das: Ab Dezember 2027 dürfen nur noch CRA-konforme Produkte auf den europäischen Markt gebracht werden. Die Zeit für die Vorbereitung läuft.
Wen der CRA betrifft
Der CRA richtet sich primär an Hersteller von Produkten mit digitalen Elementen. Doch auch Importeure und Händler tragen Verantwortung: Sie müssen sicherstellen, dass die von ihnen vertriebenen Produkte den Anforderungen entsprechen.
Hersteller
Hersteller tragen die Hauptverantwortung. Sie müssen die Sicherheitsanforderungen während des gesamten Produktlebenszyklus erfüllen – von der Entwicklung über die Markteinführung bis zum Lebensende des Produkts.
Importeure
Importeure müssen prüfen, ob die importierten Produkte CRA-konform sind, und entsprechende Dokumentation vorhalten.
Händler
Händler müssen auf offensichtliche Nicht-Konformität achten und Produkte im Zweifelsfall nicht vertreiben.
Die wesentlichen Anforderungen
Der CRA definiert grundlegende Sicherheitsanforderungen, die alle betroffenen Produkte erfüllen müssen.
CRA und andere Regelwerke
Der CRA steht nicht isoliert. Er fügt sich in ein Gesamtsystem europäischer Cybersicherheitsregulierung ein und überschneidet sich teilweise mit anderen Anforderungen.
CRA und NIS-2
CRA und NIS-2 adressieren unterschiedliche Aspekte: Während der CRA die Produktsicherheit regelt, betrifft NIS-2 die Cybersicherheit von Unternehmen und Organisationen. Viele Unternehmen sind von beiden Regelwerken betroffen – etwa Hersteller, die gleichzeitig kritische Infrastrukturen betreiben.
Die Zusammenhänge zwischen beiden Regelwerken erläutert unser Artikel Cyber Resilience Act und NIS‒2: Wie die Regelwerke zusammenhängen.
ISO 27001 als Basis
ISO 27001 als etablierter Standard für Informationssicherheits-Managementsysteme bildet eine solide Grundlage für die CRA-Compliance. Wer bereits ein ISMS betreibt, hat viele Prozesse und Dokumentationen, die sich für den CRA nutzen lassen.
Wie ISO 27001 als Basis für die CRA-Compliance dient, zeigt unser Artikel ISO 27001 als Basis für CRA.
Unser Beratungsansatz
Wir begleiten Hersteller systematisch auf dem Weg zur CRA-Compliance. Unser Ansatz berücksichtigt Ihre bestehenden Prozesse und baut auf vorhandenen Strukturen auf.
01
Betroffenheitsanalyse
Zunächst klären wir, welche Ihrer Produkte unter den CRA fallen und in welche Risikokategorie sie einzuordnen sind. Der CRA unterscheidet zwischen Standardprodukten und kritischen Produkten, für die strengere Anforderungen gelten.
02
Gap-Analyse
Wir analysieren Ihre aktuellen Entwicklungsprozesse, Sicherheitsmaßnahmen und Dokumentationen. Wo stehen Sie heute? Welche Anforderungen erfüllen Sie bereits? Wo besteht Handlungsbedarf?
03
Risikobewertung
Der CRA verlangt eine produktspezifische Risikobewertung. Wir entwickeln mit Ihnen eine Methodik, die zu Ihren Produkten passt und die Anforderungen der Verordnung erfüllt.
04
Prozessintegration
Sicherheit muss in den Entwicklungsprozess integriert werden. Wir helfen Ihnen, Security by Design in Ihren bestehenden Workflows zu verankern – ohne Ihre Entwicklung zu lähmen.
05
Dokumentation
Die technische Dokumentation ist der Nachweis Ihrer Compliance. Wir erstellen strukturierte Vorlagen und unterstützen bei der Erstellung der erforderlichen Unterlagen.
06
Schwachstellenmanagement
Ein funktionierendes Vulnerability Management ist Pflicht. Wir entwickeln mit Ihnen Prozesse für die Entgegennahme von Meldungen, die Bewertung von Schwachstellen und die zeitnahe Bereitstellung von Updates.
Einen detaillierten Weg von ISO 27001 zur CRA-Compliance beschreibt unser Artikel Von ISO 27001 zur CRA‒Compliance
Zeitplan und Fristen
Die Übergangsfristen des CRA sind gestaffelt:
- Ab Dezember 2025 gelten die Meldepflichten für aktiv ausgenutzte Schwachstellen und Sicherheitsvorfälle. Hersteller müssen dann entsprechende Prozesse etabliert haben.
- Ab Dezember 2027 müssen alle neu auf den Markt gebrachten Produkte die vollständigen CRA-Anforderungen erfüllen. Dies betrifft auch bereits bestehende Produkte, die weiter vertrieben werden.
Die Zeit bis dahin sollte genutzt werden. Wer jetzt startet, kann die Anforderungen systematisch und ohne Hektik umsetzen.
Für wen wir arbeiten
Als Beratung für Informationssicherheit sind wir auf den gehobenen Mittelstand spezialisiert. Wir arbeiten mit Herstellern, die ihre Produktsicherheit professionalisieren wollen – pragmatisch und auf Augenhöhe.
Unsere Methodik basiert auf etablierten Standards und berücksichtigt die aktuellen regulatorischen Entwicklungen. Wir bieten keine überdimensionierten Konzernlösungen, sondern praktikable Ansätze für mittelständische Strukturen.
