Kontakt
11
März

Cyber Resilience Act (CRA): Was auf Hersteller digitaler Produkte jetzt zukommt

11. März 2025

Mit dem Cyber Resilience Act (CRA) führt die EU erstmals einheitliche und verpflichtende Anforderungen an die Cybersicherheit digitaler Produkte ein. Ziel ist es, das Sicherheitsniveau in Europa dauerhaft zu erhöhen – über den gesamten Lebenszyklus eines Produkts hinweg, vom Design bis zum letzten Sicherheitsupdate.

Der CRA betrifft insbesondere Softwarehersteller, IT-Anbieter und Hersteller vernetzter Geräte. In diesem Beitrag zeigen wir, was der CRA regelt, welche Produkte betroffen sind, wie der Gesetzestext aufgebaut ist und bis wann Unternehmen aktiv werden müssen.

Was ist der Cyber Resilience Act?

Der CRA ist eine EU-Verordnung, die im Dezember 2024 in Kraft getreten ist. Ziel ist es, digitale Produkte von Anfang an sicher zu gestalten (Security by Design) und über ihren gesamten Lebenszyklus hinweg sicher zu halten – etwa durch Updates, Risikomanagement und Schwachstellenüberwachung.

Im Gegensatz zu bisherigen Regelwerken wie NIS2 oder der DSGVO betrifft der CRA nicht nur Organisationen, sondern direkt das Produkt selbst.

Wen betrifft der CRA?

Betroffen sind alle Unternehmen, die Produkte mit digitalen Elementen in der EU in Verkehr bringen oder bereitstellen. Dazu zählen:

  • Hersteller von Software (lokal, webbasiert, SaaS)
  • Hersteller von Geräten mit eingebetteter Software (z. B. IoT)
  • Distributoren, Importeure und Händler digitaler Produkte

Beispiele: Business-Software, Sicherheitsanwendungen, Smart-Home-Geräte, APIs oder Bibliotheken.

Ausnahmen: Reine Open-Source-Projekte ohne wirtschaftliche Absicht, militärische Produkte oder kundenspezifische Entwicklungen ohne Weiterverbreitung.

Welche Anforderungen stellt der CRA?

Der CRA verpflichtet Hersteller, eine Reihe technischer und organisatorischer Maßnahmen umzusetzen. Produkte müssen:

  • keine bekannten, nicht behobenen Schwachstellen beim Inverkehrbringen enthalten
  • sicher konfiguriert ausgeliefert werden
  • sichere Updates unterstützen – inklusive Signierung und Nachvollziehbarkeit
  • über ein aktives Schwachstellenmanagement verfügen
  • eine Meldestelle für Sicherheitsvorfälle bereitstellen
  • eine technische Dokumentation enthalten – inklusive Risikoanalyse (TARA) und SBOM
  • eine EU-Konformitätserklärung und CE-Kennzeichnung vorweisen

Wie ist der CRA aufgebaut?

Die Verordnung gliedert sich in Artikel und mehrere Anhänge. Besonders relevant sind:

  • Anhang I: Cybersecurity-Anforderungen – z. B. Zugriffsschutz, Datenintegrität, sichere Updates
  • Anhang II: Anforderungen an die technische Dokumentation – z. B. Beschreibung des Produkts, TARA, Sicherheitsmaßnahmen
  • Anhang III: Kritische Produktklassen – z. B. Passwortmanager, VPNs, Betriebssysteme. Für diese gilt eine verschärfte Prüfungspflicht (mit „notified body“)

Ab wann gilt der CRA?

  • Dezember 2024: Inkrafttreten der Verordnung
  • September 2026: Beginn der Meldepflicht für Hersteller (z. B. bei Vorfällen)
  • Dezember 2027: Allgemeine Anwendbarkeit der Hauptpflichten für Hersteller

Hinweis: Unternehmen, die kritische Produkte gemäß Anhang III herstellen, müssen sich auf umfangreichere Anforderungen und ggf. kürzere Umsetzungsfristen einstellen.

Was sollten Unternehmen jetzt tun?

Der CRA bietet eine Übergangszeit – aber der Umsetzungsaufwand ist nicht zu unterschätzen. Deshalb empfehlen wir:

  1. Betroffenheit klären: Welche Produkte sind relevant? Gehören sie zu Anhang III?
  2. Risikoanalyse (TARA) durchführen: Identifikation potenzieller Bedrohungen und Schwachstellen
  3. SBOM erstellen: Software-Bill-of-Materials für jede Produktversion
  4. Update- & Schwachstellenmanagement etablieren: inkl. Nachweisbarkeit
  5. Dokumentation vorbereiten: gemäß Anhang II
  6. Verantwortlichkeiten & Prozesse definieren: z. B. Meldestelle, Product Security Office
  7. ISMS nutzen oder aufbauen: Ein ISMS (z. B. nach ISO 27001) hilft bei der strukturierten Umsetzung vieler CRA-Anforderungen (Cyber Resilience Act: Warum ein ISMS jetzt unverzichtbar ist)

Fazit

Der CRA wird in den nächsten Jahren massiven Einfluss auf den europäischen Software- und Elektronikmarkt haben. Wer frühzeitig beginnt, kann sich nicht nur absichern – sondern auch als vertrauenswürdiger Anbieter positionieren.

Jetzt ist der richtige Zeitpunkt, sich mit den Anforderungen auseinanderzusetzen – bevor sie zur Pflicht werden.

Unterstützung gesucht?

Wir helfen Softwareherstellern und Technologieunternehmen, die Anforderungen des CRA zu verstehen, zu planen und in ihre Prozesse zu integrieren – praxisnah, effizient und mit der passenden Softwarelösung zur Umsetzung.

Jetzt Kontakt aufnehmen – bevor der CRA Realität wird.