Cyber Resilience Act: Der vollständige Leitfaden mit Umsetzungsfahrplan für Unternehmen

Letzte Aktualisierung:

Der Cyber Resilience Act (CRA) markiert einen Wendepunkt für die Cybersicherheit digitaler Produkte in Europa. Erfahren Sie alles über Anforderungen, Fristen und den 6-Phasen-Fahrplan zur erfolgreichen Umsetzung.

Der Cyber Resilience Act (CRA) markiert einen Wendepunkt für die Cybersicherheit digitaler Produkte in Europa. Erstmals müssen Hersteller, Importeure und Händler verbindliche Sicherheitsanforderungen über den gesamten Produktlebenszyklus erfüllen. Dieser Leitfaden erläutert die wesentlichen Anforderungen der Verordnung und bietet einen strukturierten Fahrplan zur erfolgreichen Umsetzung in Unternehmen.

Vertiefende Artikel: Dieser Leitfaden gibt einen Gesamtüberblick. Für detaillierte Informationen zu spezifischen Themen empfehlen wir unsere Fachartikel zu Security by Design, SBOM-Erstellung und Schwachstellenmanagement.

Was ist der Cyber Resilience Act?

Der Cyber Resilience Act (Verordnung (EU) 2024/2847) ist eine EU-Verordnung, die einheitliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt. Die Verordnung wurde am 20. November 2024 im Amtsblatt der EU veröffentlicht und trat am 10. Dezember 2024 in Kraft.

Als EU-Verordnung gilt der CRA unmittelbar in allen Mitgliedstaaten ohne nationale Umsetzungsgesetze. Die vollständige Anwendbarkeit ist ab dem 11. Dezember 2027 vorgesehen, wobei bestimmte Pflichten bereits früher greifen.

Ziele der Verordnung

Der CRA adressiert zwei zentrale Problemfelder, die nach Einschätzung der EU-Institutionen erhebliche Kosten und Risiken verursachen:

Weit verbreitete Schwachstellen: Viele Produkte mit digitalen Elementen weisen ein unzureichendes Cybersicherheitsniveau auf. Sicherheitslücken werden häufig nicht durch regelmäßige Updates beseitigt.

Mangelnde Transparenz: Verbraucher und Unternehmen können oft nicht beurteilen, welche Produkte cybersicher sind oder wie sie diese sicher konfigurieren können.

Die Verordnung soll durch verbindliche horizontale Cybersicherheitsanforderungen und verbesserte Transparenz diese Defizite beheben.

Ist Ihr Unternehmen betroffen?

Der CRA erfasst alle Wirtschaftsakteure, die Produkte mit digitalen Elementen in der EU in Verkehr bringen oder bereitstellen. Die Betroffenheit ist unabhängig vom Unternehmenssitz – auch außereuropäische Hersteller müssen die Anforderungen erfüllen, wenn sie ihre Produkte auf dem EU-Markt anbieten.

Betroffene Akteure

Hersteller tragen die Hauptverantwortung. Als Hersteller gilt, wer Produkte mit digitalen Elementen entwickelt, herstellt oder unter eigenem Namen vermarktet. Die umfangreichsten Pflichten betreffen diesen Adressatenkreis.

Importeure bringen Produkte von Herstellern außerhalb der EU in den europäischen Markt ein. Sie müssen sicherstellen, dass die importierten Produkte den CRA-Anforderungen entsprechen, und tragen Verantwortung für die Prüfung und Archivierung der Herstellerdokumentation.

Händler vertreiben Produkte innerhalb der EU, ohne selbst an Herstellung oder Import beteiligt zu sein. Ihre Pflichten umfassen die Überprüfung der CE-Kennzeichnung und der Konformitätsunterlagen.

Wichtig: Größenbezogene Ausnahmen existieren nicht. Auch kleine und mittlere Unternehmen (KMU) sowie Start-ups unterliegen den Anforderungen, wobei der CRA spezifische Unterstützungsmaßnahmen für diese Gruppen vorsieht.

Definition: Produkte mit digitalen Elementen

Der Begriff „Produkte mit digitalen Elementen" umfasst Hardware- und Softwareprodukte, die direkt oder indirekt mit einem Gerät oder Netzwerk verbunden werden können. Dies schließt ein:

Vernetzte Hardwareprodukte:

  • Smartphones, Laptops, Tablets
  • Smart-Home-Geräte und Hausautomatisierungssysteme
  • Smartwatches und Wearables
  • Vernetztes Spielzeug
  • Router, Firewalls, Netzwerkkomponenten
  • IoT-Geräte und industrielle Steuerungssysteme
  • Smart-Meter-Gateways

Reine Softwareprodukte:

  • Betriebssysteme
  • Buchhaltungs- und Unternehmenssoftware
  • Mobile Applikationen
  • Computerspiele
  • Firmware und eingebettete Software

Ausnahmen vom Anwendungsbereich

Bestimmte Produktkategorien sind vom CRA ausgenommen, da sie bereits durch sektorspezifische Regulierungen erfasst werden:

  • Medizinprodukte (Verordnung (EU) 2017/745)
  • In-vitro-Diagnostika (Verordnung (EU) 2017/746)
  • Kraftfahrzeuge (Verordnung (EU) 2019/2144)
  • Produkte der zivilen Luftfahrt
  • Schiffsausrüstung
  • Produkte für Zwecke der nationalen Sicherheit oder Verteidigung
  • Nicht-kommerzielle Open-Source-Software ohne Gewinnerzielungsabsicht

Produktkategorien und Risikoklassen

Der CRA differenziert zwischen verschiedenen Risikoklassen, die unterschiedliche Konformitätsanforderungen nach sich ziehen. Die Klassifizierung basiert auf Funktion, Verwendungszweck und potenziellen Auswirkungen eines Sicherheitsvorfalls.

Nicht-kritische Produkte (Standardkategorie)

Diese Kategorie umfasst den Großteil der Produkte mit digitalen Elementen, darunter typische Konsumentengeräte wie smarte Fernseher, Spielekonsolen, Fotobearbeitungssoftware oder Haushaltsgeräte mit Netzwerkfunktion.

Konformitätsnachweis: Selbstbewertung durch den Hersteller (interne Kontrolle)

Wichtige Produkte der Klasse I (Anhang III)

Diese Kategorie beinhaltet Produkte mit erhöhtem Risikopotenzial:

  • Identitätsmanagementsysteme und Software für privilegierten Zugang
  • Browser und Passwort-Manager
  • VPN-Produkte und Netzwerkmanagement-Software
  • Produkte der Industrieautomatisierung und Gebäudeautomatisierung
  • Physische Netzwerkschnittstellen und Router für den Privatgebrauch
  • Betriebssysteme (nicht für Server oder IoT-Geräte)

Konformitätsnachweis: Standardisierte Konformitätsbewertung nach harmonisierten Normen oder Prüfung durch Dritte

Wichtige Produkte der Klasse II (Anhang III)

Diese höhere Risikoklasse umfasst Produkte mit besonders hohem Schadenspotenzial:

  • Hypervisoren und Container-Laufzeitsysteme
  • Firewalls und Intrusion-Detection-Systeme
  • Manipulationssichere Mikroprozessoren und Mikrocontroller
  • Betriebssysteme für Server, IoT-Geräte und industrielle Steuerungen
  • Industrielle Automatisierungs- und Steuerungssysteme (IACS)
  • Intelligente Zähler (Smart Meter)
  • Smartcards und ähnliche Geräte
  • Hardware-Sicherheitsmodule (HSM)
  • Kryptoprozessoren

Konformitätsnachweis: Verpflichtende Prüfung durch eine benannte Konformitätsbewertungsstelle (Notified Body)

Kritische Produkte (Anhang IV)

Für diese Kategorie, die Produkte wie Smart-Meter-Gateways in intelligenten Messsystemen und Smartcards umfasst, kann die Europäische Kommission durch delegierte Rechtsakte eine verpflichtende europäische Cybersicherheitszertifizierung gemäß dem Cybersecurity Act (CSA) vorschreiben.

Konformitätsnachweis: Zertifizierung nach einem europäischen Cybersicherheits-Zertifizierungsschema ist zwingend vorgeschrieben

Kernpflichten für Hersteller

Die zentralen Anforderungen des CRA lassen sich in mehrere Pflichtenkreise gliedern, die während des gesamten Produktlebenszyklus zu erfüllen sind.

Security by Design und Security by Default

Der CRA verlangt, dass Cybersicherheit von Anfang an in die Produktentwicklung integriert wird:

  • Integration von Bedrohungsmodellierung (Threat Modeling) in der Designphase
  • Durchführung umfassender Risikoanalysen
  • Implementierung sicherer Entwicklungsstandards (z.B. OWASP Secure Coding Practices)
  • Auslieferung mit sicheren Standardkonfigurationen
  • Minimierung der Angriffsfläche durch Deaktivierung nicht benötigter Funktionen

Eine Zero-Trust-Architektur kann dabei als ergänzendes Sicherheitsparadigma die Produktsicherheit zusätzlich stärken.

Vertiefung: Unser Fachartikel Security by Design: Sichere Produktentwicklung nach dem CRA erläutert die praktische Umsetzung mit Secure Development Lifecycle, Threat Modeling und DevSecOps-Integration.

Schwachstellenmanagement

Hersteller müssen ein strukturiertes Schwachstellenmanagement etablieren:

  • Systematische Identifikation und Dokumentation von Schwachstellen
  • Koordinierte Offenlegung von Schwachstellen (Coordinated Vulnerability Disclosure)
  • Bereitstellung eines Kommunikationskanals für Schwachstellenmeldungen
  • Zeitnahe Behebung bekannter Schwachstellen durch Updates

Vertiefung: Eine detaillierte Anleitung zum Aufbau eines PSIRT, zur Umsetzung der CVD-Policy und zur Erfüllung der Meldepflichten finden Sie im Artikel Schwachstellenmanagement nach dem CRA.

Meldepflichten

Ab dem 11. September 2026 gelten verbindliche Meldepflichten:

Meldung aktiv ausgenutzter Schwachstellen: Innerhalb von 24 Stunden nach Kenntniserlangung an die ENISA und das zuständige nationale CSIRT

Meldung schwerwiegender Sicherheitsvorfälle: Ebenfalls innerhalb von 24 Stunden, mit Folgemeldungen zur Aktualisierung des Sachstands

Die Einhaltung der 24-Stunden-Frist erfordert vorbereitete Prozesse und klare Verantwortlichkeiten. Unternehmen sollten frühzeitig ein Product Security Incident Response Team (PSIRT) aufbauen und Meldeprozesse etablieren. Details hierzu finden Sie im Artikel Schwachstellenmanagement nach dem CRA.

Produktsupport und Sicherheitsupdates

Hersteller müssen kostenlose Sicherheitsupdates bereitstellen:

  • Über die erwartete Produktlebensdauer oder
  • Mindestens fünf Jahre ab Inverkehrbringen (der kürzere Zeitraum gilt)

Die Nutzer sind über verfügbare Updates zu informieren, und die Updates müssen unverzüglich nach Bekanntwerden einer Schwachstelle bereitgestellt werden.

Dokumentationspflichten

Software Bill of Materials (SBOM): Erstellung und Pflege einer maschinenlesbaren Stückliste aller Softwarekomponenten. Die SBOM ist fundamentale Voraussetzung für effektives Schwachstellenmanagement und ermöglicht die schnelle Identifikation betroffener Produkte bei Bekanntwerden von Sicherheitslücken in Drittanbieterkomponenten.

Vertiefung: Eine vollständige Anleitung zur SBOM-Erstellung mit praktischen Beispielen für Java (Maven), JavaScript (npm) und Kubernetes bietet unser Artikel SBOM: Der zentrale Baustein für CRA-Compliance.

Technische Dokumentation: Umfassende Dokumentation von Konzeption, Entwicklung, Herstellung, Risikobewertung und angewandten Sicherheitsmaßnahmen. Diese Dokumentation ist mindestens zehn Jahre nach Inverkehrbringen aufzubewahren.

EU-Konformitätserklärung: Formelle Erklärung über die Einhaltung der CRA-Anforderungen

CE-Kennzeichnung

Die CE-Kennzeichnung wird um den Aspekt Cybersicherheit erweitert. Produkte dürfen nur mit CE-Kennzeichnung in Verkehr gebracht werden, wenn sie die grundlegenden Cybersicherheitsanforderungen erfüllen.

Umsetzungsfristen im Überblick

Der CRA sieht eine gestaffelte Implementierung vor, um Unternehmen ausreichend Vorbereitungszeit zu gewähren:

Datum Meilenstein
10. Dezember 2024 Inkrafttreten der Verordnung
11. Juni 2026 Konformitätsbewertungsstellen können CRA-Konformität prüfen
11. September 2026 Meldepflichten für Schwachstellen und Sicherheitsvorfälle greifen
11. Dezember 2027 Vollständige Anwendbarkeit aller CRA-Anforderungen

Wichtig: Produkte, die vor dem 11. Dezember 2027 in Verkehr gebracht wurden, unterliegen den neuen Regeln nur, wenn nachträglich wesentliche Änderungen vorgenommen werden, die Auswirkungen auf die Cybersicherheit haben.

Der 6-Phasen-Fahrplan zur CRA-Compliance

Die Umsetzung der CRA-Anforderungen erfordert ein strukturiertes Vorgehen. Der folgende Fahrplan bietet eine Orientierung für die praktische Implementierung.

Phase 1: Betroffenheitsanalyse und Bestandsaufnahme (Monate 1–2)

Ziel: Klärung der Betroffenheit und Erfassung des Status quo

Maßnahmen:

  1. Produktportfolio analysieren: Identifizieren Sie alle Produkte mit digitalen Elementen im Portfolio. Prüfen Sie für jedes Produkt, ob es unter den CRA fällt oder eine Ausnahme greift.

  2. Klassifizierung durchführen: Ordnen Sie die Produkte den Risikoklassen gemäß Anhang III zu. Diese Klassifizierung bestimmt die erforderlichen Konformitätsbewertungsverfahren.

  3. Stakeholder identifizieren: Ermitteln Sie alle relevanten Fachabteilungen (Entwicklung, IT, Qualitätsmanagement, Recht, Einkauf) und benennen Sie Verantwortliche.

  4. Gap-Analyse durchführen: Bewerten Sie den aktuellen Reifegrad der Prozesse und Produkte gegenüber den CRA-Anforderungen. Identifizieren Sie Lücken und dokumentieren Sie diese systematisch.

Ergebnis: Vollständige Übersicht über betroffene Produkte, deren Klassifizierung und identifizierte Handlungsfelder

Phase 2: Projektorganisation und Ressourcenplanung (Monate 2–3)

Ziel: Etablierung einer tragfähigen Projektstruktur

Maßnahmen:

  1. CRA-Projektteam bilden: Stellen Sie ein interdisziplinäres Team zusammen, bestehend aus Vertretern der Produktentwicklung, IT-Sicherheit, Qualitätsmanagement, Rechtsabteilung und Geschäftsleitung.

  2. Rollen und Verantwortlichkeiten definieren: Klären Sie eindeutig, wer für welche Aufgaben verantwortlich ist. Benennen Sie einen Projektleiter mit entsprechenden Befugnissen. Für Unternehmen ohne eigene Sicherheitsexperten kann ein externer CISO die strategische Steuerung übernehmen.

  3. Budget und Ressourcen planen: Kalkulieren Sie die erforderlichen Investitionen für Personal, Schulungen, Tools und externe Unterstützung.

  4. Meilensteinplan erstellen: Entwickeln Sie einen realistischen Zeitplan mit klaren Meilensteinen, der die regulatorischen Fristen berücksichtigt.

  5. Management-Commitment sichern: Stellen Sie sicher, dass die Geschäftsleitung das Projekt unterstützt und die notwendigen Ressourcen freigibt.

Ergebnis: Funktionsfähige Projektorganisation mit klaren Verantwortlichkeiten und realistischem Zeitplan

Phase 3: Prozessanpassung und Security by Design (Monate 3–12)

Ziel: Integration von Cybersicherheit in die Produktentwicklung

Maßnahmen:

  1. Sichere Entwicklungsrichtlinien einführen: Implementieren Sie verbindliche Coding-Standards (z.B. OWASP Secure Coding Practices) und schulen Sie die Entwicklungsteams entsprechend.

  2. Threat Modeling etablieren: Integrieren Sie Bedrohungsmodellierung als festen Bestandteil der Designphase. Identifizieren Sie potenzielle Angriffsvektoren systematisch.

  3. Risikoanalysen standardisieren: Entwickeln Sie ein einheitliches Verfahren für Cybersicherheits-Risikoanalysen, das für alle Produkte angewendet wird.

  4. Sicherheitstests integrieren: Implementieren Sie automatisierte Sicherheitstests (Static Application Security Testing, Dynamic Application Security Testing) in die CI/CD-Pipeline.

  5. DevSecOps-Kultur fördern: Verankern Sie Sicherheit als gemeinsame Verantwortung aller Entwickler, nicht nur der Sicherheitsspezialisten.

  6. Sichere Standardkonfigurationen definieren: Legen Sie fest, wie Produkte ab Werk konfiguriert sein müssen, um die Angriffsfläche zu minimieren.

Vertiefung: Detaillierte Anleitungen zur Integration von Security by Design in den Entwicklungsprozess, einschließlich Beispiel-Pipelines für GitLab CI und GitHub Actions, finden Sie im Artikel Security by Design: Sichere Produktentwicklung nach dem CRA.

Ergebnis: Angepasste Entwicklungsprozesse mit integrierter Cybersicherheit

Phase 4: Schwachstellenmanagement und Incident Response (Monate 6–12)

Ziel: Etablierung effektiver Prozesse für Schwachstellen und Sicherheitsvorfälle

Maßnahmen:

  1. Vulnerability Disclosure Policy erstellen: Entwickeln Sie eine Richtlinie für die koordinierte Offenlegung von Schwachstellen und kommunizieren Sie diese öffentlich.

  2. Meldekanal einrichten: Etablieren Sie einen dedizierten Kommunikationskanal (z.B. security@unternehmen.de), über den externe Sicherheitsforscher Schwachstellen melden können.

  3. Schwachstellen-Tracking implementieren: Führen Sie ein System zur systematischen Erfassung, Bewertung und Nachverfolgung von Schwachstellen ein.

  4. Incident-Response-Prozess definieren: Entwickeln Sie einen strukturierten Prozess für die Reaktion auf Sicherheitsvorfälle mit klaren Eskalationswegen.

  5. Meldeprozesse vorbereiten: Etablieren Sie interne Prozesse, die die Einhaltung der 24-Stunden-Meldefrist an ENISA und CSIRT gewährleisten.

  6. Update-Mechanismen implementieren: Stellen Sie sicher, dass Sicherheitsupdates zeitnah entwickelt und an die Nutzer verteilt werden können.

Vertiefung: Der Artikel Schwachstellenmanagement nach dem CRA bietet eine vollständige Anleitung zum Aufbau eines PSIRT, zur Erstellung einer CVD-Policy mit Template und zur Umsetzung der Meldepflichten.

Ergebnis: Funktionsfähiges Schwachstellenmanagement und Incident-Response-Fähigkeit

Phase 5: Dokumentation und Konformitätsnachweis (Monate 9–18)

Ziel: Erstellung aller erforderlichen Dokumentationen und Nachweise

Maßnahmen:

  1. SBOM erstellen: Generieren Sie für jedes Produkt eine vollständige Software Bill of Materials. Nutzen Sie standardisierte Formate wie SPDX oder CycloneDX.

  2. Technische Dokumentation aufbauen: Erstellen Sie die geforderte technische Dokumentation gemäß Anhang V des CRA, einschließlich:

    • Allgemeine Produktbeschreibung
    • Konzeption und Entwicklungsdokumentation
    • Cybersicherheits-Risikoanalyse
    • Angewandte harmonisierte Normen oder technische Spezifikationen
    • Prüfberichte und Testergebnisse

  3. EU-Konformitätserklärung vorbereiten: Entwerfen Sie die formelle Konformitätserklärung nach dem Muster in Anhang IV.

  4. Konformitätsbewertung durchführen: Führen Sie je nach Produktklassifizierung die erforderliche Konformitätsbewertung durch – entweder als interne Kontrolle oder durch eine benannte Stelle.

  5. Nutzerinformationen erstellen: Entwickeln Sie klare Anweisungen für Nutzer zur sicheren Installation, Konfiguration und Nutzung der Produkte.

  6. Archivierungssystem einrichten: Stellen Sie sicher, dass alle Dokumentationen mindestens zehn Jahre aufbewahrt werden können.

Vertiefung: Eine praktische Anleitung zur SBOM-Erstellung mit Code-Beispielen für verschiedene Technologie-Stacks (Java/Maven, JavaScript/npm, Kubernetes) und Tool-Vergleichen finden Sie im Artikel SBOM: Der zentrale Baustein für CRA-Compliance.

Ergebnis: Vollständige Konformitätsdokumentation für alle betroffenen Produkte

Phase 6: Kontinuierliche Compliance und Verbesserung (ab Monat 12, fortlaufend)

Ziel: Nachhaltige Aufrechterhaltung der CRA-Konformität

Maßnahmen:

  1. Monitoring etablieren: Überwachen Sie kontinuierlich neue Schwachstellen, Bedrohungen und regulatorische Entwicklungen.

  2. Regelmäßige Audits durchführen: Führen Sie interne Audits durch, um die fortlaufende Einhaltung der Anforderungen zu überprüfen.

  3. Normungsprozesse verfolgen: Beobachten Sie die Entwicklung harmonisierter Normen (EN 40000-Reihe) und passen Sie die Prozesse bei Bedarf an.

  4. Schulungen aktualisieren: Halten Sie das Wissen der Mitarbeiter durch regelmäßige Schulungen auf dem aktuellen Stand.

  5. Lieferkette einbeziehen: Stellen Sie sicher, dass auch Zulieferer die CRA-Anforderungen erfüllen, insbesondere bei zugekauften Komponenten.

  6. Verbesserungsprozess etablieren: Nutzen Sie Erkenntnisse aus Sicherheitsvorfällen und Audits zur kontinuierlichen Verbesserung der Prozesse.

Ergebnis: Nachhaltige CRA-Compliance mit kontinuierlicher Verbesserung

Unterstützung: Ein strukturiertes ISMS nach ISO 27001 oder BSI IT-Grundschutz bietet den methodischen Rahmen für die kontinuierliche Compliance. Beachten Sie jedoch, dass eine seriöse ISMS-Implementierung Zeit benötigt und nicht überstürzt werden sollte.

Sanktionen bei Nichteinhaltung

Die Nichteinhaltung der CRA-Anforderungen kann erhebliche Konsequenzen haben:

Bußgelder

  • Bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes (der höhere Betrag gilt) für Verstöße gegen grundlegende Cybersicherheitsanforderungen
  • Bis zu 10 Millionen Euro oder 2 Prozent des Umsatzes für sonstige Verstöße
  • Bis zu 5 Millionen Euro oder 1 Prozent des Umsatzes für falsche, unvollständige oder irreführende Angaben

Weitere Konsequenzen

Marktzugangsverbot: Nicht-konforme Produkte dürfen ab Dezember 2027 nicht mehr in der EU in Verkehr gebracht werden.

Rückrufanordnungen: Marktüberwachungsbehörden können die Rücknahme oder den Rückruf von Produkten anordnen.

Reputationsschäden: Öffentlich bekannt gewordene Sicherheitsvorfälle oder Compliance-Verstöße können erhebliche Reputationsschäden verursachen.

Eine Cyberversicherung kann zwar finanzielle Risiken abfedern, entbindet jedoch nicht von der Pflicht zur CRA-Compliance.

Unterstützung für KMU und Start-ups

Der CRA sieht spezifische Unterstützungsmaßnahmen für kleine und mittlere Unternehmen vor:

  • Leitlinien: Die Europäische Kommission wird Leitlinien für die praktische Umsetzung bereitstellen
  • Helpdesks: Unterstützung bei den Meldepflichten durch dedizierte Anlaufstellen
  • Vereinfachte Dokumentation: Möglichkeit zur vereinfachten technischen Dokumentation für KMU
  • Regulatory Sandboxes: Testumgebungen zur Überprüfung von Produkten vor dem Inverkehrbringen

Das BSI bietet mit dem IT-Sicherheitskennzeichen bereits jetzt eine Möglichkeit, sich auf die CRA-Anforderungen vorzubereiten.

Synergien mit anderen Regelwerken

Unternehmen, die bereits Compliance-Maßnahmen für andere Regelwerke umgesetzt haben, können Synergien nutzen:

NIS-2-Richtlinie: Während NIS-2 die organisatorische Cybersicherheit adressiert, fokussiert der CRA auf Produktsicherheit. Ein integriertes Informationssicherheits-Managementsystem kann beide Anforderungen abdecken. Einen detaillierten Vergleich beider Regelwerke finden Sie im Artikel Cyber Resilience Act und NIS-2: Synergien und Unterschiede.

ISO/IEC 27001: Viele CRA-Anforderungen an Prozesse und Dokumentation lassen sich mit einem bestehenden ISMS nach ISO 27001 abbilden. Eine detaillierte Analyse, welche zusätzlichen Maßnahmen ISO-27001-zertifizierte Unternehmen für die CRA-Compliance umsetzen müssen, zeigt die konkreten Handlungsfelder auf. Auch die Synergien zwischen DSGVO und ISO 27001 können bei einem integrierten Ansatz genutzt werden.

IEC 62443: Für industrielle Automatisierungssysteme bietet die Norm IEC 62443 eine gute Grundlage zur Erfüllung der CRA-Anforderungen. Weiterführende Informationen zur OT-Security in Produktionsunternehmen zeigen, wie IT und OT sicher verbunden werden können.

Vertiefende Ressourcen

Für die detaillierte Umsetzung spezifischer CRA-Anforderungen empfehlen wir unsere Fachartikel:

Thema Artikel Schwerpunkt
Sichere Entwicklung Security by Design nach dem CRA SDLC, Threat Modeling, DevSecOps
Komponenten-Transparenz SBOM: Der zentrale Baustein für CRA-Compliance SBOM-Formate, Tools, Praxisbeispiele
Meldepflichten Schwachstellenmanagement nach dem CRA PSIRT, CVD, ENISA-Meldungen
ISMS-Integration ISO 27001 als Basis für den CRA Mapping, zusätzliche Maßnahmen
Regulatorische Abgrenzung CRA und NIS-2: Synergien Unterschiede, Überschneidungen

Häufig gestellte Fragen (FAQ)

Was ist der Cyber Resilience Act?

Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die einheitliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt. Sie verpflichtet Hersteller, Importeure und Händler zur Einhaltung von Sicherheitsstandards über den gesamten Produktlebenszyklus und gilt unmittelbar in allen EU-Mitgliedstaaten.

Ab wann gilt der CRA vollständig?

Die vollständige Anwendbarkeit aller CRA-Anforderungen ist ab dem 11. Dezember 2027 vorgesehen. Jedoch greifen die Meldepflichten für Schwachstellen und Sicherheitsvorfälle bereits ab dem 11. September 2026.

Welche Produkte fallen unter den CRA?

Der CRA erfasst alle Hardware- und Softwareprodukte, die direkt oder indirekt mit einem Netzwerk verbunden werden können. Dies umfasst IoT-Geräte, Smart-Home-Produkte, industrielle Steuerungssysteme, Betriebssysteme, Apps und viele weitere Produktkategorien. Ausgenommen sind unter anderem Medizinprodukte, Fahrzeuge und nicht-kommerzielle Open-Source-Software.

Sind auch kleine Unternehmen betroffen?

Ja, der CRA enthält keine größenbezogenen Ausnahmen. Auch KMU und Start-ups müssen die Anforderungen erfüllen. Allerdings sieht die Verordnung spezifische Unterstützungsmaßnahmen wie Leitlinien, Helpdesks und vereinfachte Dokumentationsmöglichkeiten für kleinere Unternehmen vor.

Welche Strafen drohen bei Nichteinhaltung?

Verstöße gegen grundlegende Cybersicherheitsanforderungen können mit Bußgeldern von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes geahndet werden. Zusätzlich drohen Marktzugangsverbote, Rückrufanordnungen und Reputationsschäden.

Was ist eine SBOM und warum ist sie erforderlich?

Eine Software Bill of Materials (SBOM) ist eine maschinenlesbare Stückliste aller in einem Produkt enthaltenen Softwarekomponenten. Sie ermöglicht die schnelle Identifikation betroffener Produkte bei Bekanntwerden von Schwachstellen in einzelnen Komponenten und ist eine zentrale Dokumentationsanforderung des CRA. Eine ausführliche Anleitung zur SBOM-Erstellung finden Sie im Artikel SBOM: Der zentrale Baustein für CRA-Compliance.

Wie unterscheidet sich der CRA von NIS-2?

Der CRA ist produktbezogen und adressiert die Cybersicherheit von Produkten mit digitalen Elementen. Die NIS-2-Richtlinie ist organisationsbezogen und regelt die Cybersicherheit von Unternehmen in kritischen Sektoren. Beide Regelwerke ergänzen sich und können gleichzeitig auf ein Unternehmen Anwendung finden. Eine ausführliche Gegenüberstellung finden Sie im Artikel Cyber Resilience Act und NIS-2: Synergien und Unterschiede.

Wie lange dauert die CRA-Umsetzung?

Die Umsetzungsdauer hängt vom aktuellen Reifegrad des Unternehmens ab. Für eine vollständige Implementierung sollten mindestens 12 bis 18 Monate eingeplant werden. Da die vollständige Anwendbarkeit ab Dezember 2027 gilt, ist ein zeitnaher Beginn dringend empfohlen.

Was bedeutet Security by Design im CRA-Kontext?

Security by Design verlangt, dass Cybersicherheit von Anfang an in den Produktentwicklungsprozess integriert wird – nicht nachträglich hinzugefügt. Dies umfasst Threat Modeling, sichere Coding-Praktiken, automatisierte Sicherheitstests und die Auslieferung mit sicheren Standardkonfigurationen (Security by Default). Details finden Sie im Artikel Security by Design nach dem CRA.

Was muss ich bei einer Schwachstelle melden und an wen?

Aktiv ausgenutzte Schwachstellen müssen innerhalb von 24 Stunden an die ENISA und das zuständige nationale CSIRT (in Deutschland: BSI) gemeldet werden. Eine detaillierte Meldung mit Auswirkungen und Gegenmaßnahmen folgt nach 72 Stunden, ein Abschlussbericht nach 14 Tagen. Der Artikel Schwachstellenmanagement nach dem CRA erläutert den vollständigen Meldeprozess.

Haben Sie Fragen zu diesem Thema?

In einem kostenfreien Erstgespräch klären wir Ihre individuellen Anforderungen und zeigen Ihnen, wie wir Sie unterstützen können.

Kostenloses Erstgespräch vereinbaren