CRA Self-Check: Cyber Resilience Act Betroffenheitsanalyse

Der Cyber Resilience Act (EU-Verordnung 2024/2847) ist eine EU-weite Verordnung, die verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt. Sie gilt für Hardware und Software, die auf dem EU-Markt bereitgestellt wird, und verpflichtet Hersteller, Importeure und Händler zu Security by Design, Schwachstellenmanagement und CE-Kennzeichnung.

Der CRA ist am 10. Dezember 2024 in Kraft getreten. Ab dem 11. Juni 2026 starten die notifizierten Stellen mit Konformitätsbewertungen. Die Meldepflichten für Schwachstellen gelten ab dem 11. September 2026. Ab dem 11. Dezember 2027 müssen alle Anforderungen vollständig erfüllt sein – Produkte ohne CE-Kennzeichnung dürfen dann nicht mehr in Verkehr gebracht werden.

Der CRA betrifft alle Produkte mit digitalen Elementen, die direkt oder indirekt mit einem Netzwerk verbunden werden können. Dazu zählen IoT-Geräte, Smart-Home-Produkte, Software, Apps und vernetzte Industrieanlagen. Ausgenommen sind unter anderem Medizinprodukte, Kraftfahrzeuge, Luftfahrttechnik und nicht-kommerzielle Open-Source-Software.

Der CRA unterscheidet drei Risikokategorien: Standardprodukte (z.B. Smart-TVs, PC-Spiele) können durch Selbstbewertung zertifiziert werden. Kritische Produkte der Klasse I (z.B. Router, Firewalls, Passwort-Manager) erfordern harmonisierte Normen oder eine Drittstellen-Prüfung. Kritische Produkte der Klasse II (z.B. Betriebssysteme, Hypervisoren) müssen zwingend von einer notifizierten Stelle bewertet werden.

Bei Verstößen gegen die wesentlichen Cybersicherheitsanforderungen drohen Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Zusätzlich können Marktüberwachungsbehörden den Rückruf von Produkten anordnen oder ein Verkaufsverbot verhängen.