Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Gesetz · EU

Cyber Resilience Act — CRA

Aktualisiert am 5 Min. Geprüft von: Cenedril-Redaktion
A.5.7A.5.8A.5.21A.5.24A.5.37A.6.3A.8.8A.8.9A.8.25A.8.26A.8.27A.8.28A.8.29A.8.30 EU

Ein mittelständischer Anbieter industrieller Steuerungssoftware verkauft seine Produkte EU-weit, hat aber kein produktbezogenes Schwachstellenmanagement, kein SBOM und keinen dokumentierten Update-Prozess über die Lebensdauer hinweg. Ab Dezember 2027 reicht das nicht mehr für die CE-Kennzeichnung — und ohne CE-Kennzeichnung darf das Produkt im EU-Binnenmarkt nicht verkauft werden. Die Vorbereitungszeit für ein vollständiges Produktsicherheits-Programm beträgt für die meisten Hersteller mindestens 18 Monate.

Der Cyber Resilience Act ist die erste horizontale EU-Verordnung, die Cybersicherheitsanforderungen an Produkte mit digitalen Elementen stellt. Sie verlagert die Verantwortung von der Endkundin auf den Hersteller und macht Cybersicherheit zur CE-relevanten Produkteigenschaft — vergleichbar mit elektrischer Sicherheit oder elektromagnetischer Verträglichkeit.

Wer ist betroffen?

Praktisch jeder, der Hardware mit Netzwerkfähigkeit oder Software in der EU vertreibt. Der CRA folgt dem klassischen Produktrecht-Modell mit klar abgegrenzten Wirtschaftsakteuren:

  • Hersteller — tragen die volle Konformitätsverantwortung. Auch wer nur sein Logo auf ein OEM-Produkt klebt, gilt als Hersteller.
  • Bevollmächtigte — von Drittstaaten-Herstellern benannte Vertreter in der EU.
  • Importeure — bringen Produkte aus Drittstaaten in den EU-Markt und müssen prüfen, ob die Konformitätsbewertung vorliegt.
  • Händler — müssen die Sorgfaltspflicht walten lassen und nicht-konforme Produkte aus dem Verkehr nehmen.

Drei Risikoklassen bestimmen die Konformitätsbewertung:

  • Standardprodukte (~90 % aller Produkte) — Selbstbewertung durch den Hersteller.
  • Wichtige Produkte Klasse I — z. B. Identitätsmanagement-Systeme, Browser, VPN-Software, Netzwerkmanagement-Tools — Selbstbewertung mit verschärften Anforderungen oder Drittstellenbewertung.
  • Wichtige Produkte Klasse II — z. B. Hypervisoren, Firewalls, Tamper-Resistant-Microprocessors — verpflichtende Drittstellenbewertung.
  • Kritische Produkte — z. B. Hardware Security Modules, Smart-Meter-Gateways, Smartcards — Pflicht zur europäischen Cybersicherheitszertifizierung.

Was verlangt das Gesetz?

Der CRA stellt Anforderungen an das Produkt selbst und an die Prozesse über den gesamten Lebenszyklus. Die wesentlichen Punkte:

  • Sicherheit by Design (Anhang I, Teil I) — Produkte werden ohne bekannte ausnutzbare Schwachstellen ausgeliefert, mit sicheren Standardkonfigurationen, Mechanismen zur Authentifizierung, Vertraulichkeit und Integrität, sowie Protokollierung sicherheitsrelevanter Ereignisse.
  • Schwachstellenbehandlung (Anhang I, Teil II) — koordinierter Offenlegungsprozess (CVD), Pflicht zu kostenlosen Sicherheitsupdates über die erwartete Produktlebensdauer (mindestens fünf Jahre, häufig länger), SBOM in maschinenlesbarem Format.
  • Konformitätsbewertung (Art. 32) — je nach Risikoklasse Selbstbewertung oder Beteiligung einer benannten Stelle. Ergebnis: EU-Konformitätserklärung und CE-Kennzeichnung.
  • Technische Dokumentation (Anhang VII) — Risikoanalyse, Architektur, eingesetzte Komponenten, Testberichte, Schwachstellenmanagement-Prozess. Aufbewahrung mindestens zehn Jahre.
  • Meldepflichten (Art. 14) — aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle innerhalb von 24 Stunden (Frühwarnung), 72 Stunden (Vorfallsmeldung) und einem Monat (Abschlussbericht) an ENISA und die zuständige nationale CSIRT.
  • Kennzeichnungspflichten — CE-Kennzeichnung, Benutzerinformationen mit Sicherheitshinweisen, klare Kommunikation der unterstützten Sicherheitsupdate-Periode am Verkaufsort.

In der Praxis

SBOM-Pflicht ernst nehmen — auch für Eigenentwicklungen. Ohne maschinenlesbares Software-Stückverzeichnis lässt sich keine sinnvolle Schwachstellenbewertung führen. CycloneDX und SPDX sind die etablierten Formate. Wer mit einem Produkt im Markt ist, braucht das SBOM als laufend gepflegtes Artefakt, nicht als einmalige Anlage zur Konformitätsbewertung.

Coordinated Vulnerability Disclosure (CVD) operationalisieren. Eine security.txt auf der Website, ein klarer Eingangskanal (z. B. PGP-verschlüsseltes Postfach), definierte Reaktionszeiten und ein interner Eskalationspfad sind die Mindestausstattung. Wer Schwachstellenmeldungen ignoriert oder klagt, verstößt gegen den CRA-Geist und riskiert Reputationsschaden.

Update-Pflicht in die Produktkalkulation einrechnen. Sicherheitsupdates über fünf bis zehn Jahre kosten Geld — Backports, Test, Verteilung, Kundeninformation. Wer das nicht in die Total Cost of Ownership einrechnet, gerät in eine wirtschaftliche Klemme, sobald die Produkte im Feld sind.

Mapping zu ISO 27001

Der CRA ergänzt das ISMS um eine produktbezogene Sicht. Viele ISO-27001-Kontrollen lassen sich direkt auf den CRA-Lebenszyklus mappen, vor allem im Bereich sichere Entwicklung und Schwachstellenmanagement.

Direkt relevante Kontrollen:

Typische Audit-Befunde

  • Kein gepflegtes SBOM — entweder gar nicht vorhanden oder einmalig erstellt und seither nicht aktualisiert. Dependency-Updates sind nicht nachvollziehbar.
  • Update-Periode nicht kommuniziert — am Verkaufsort und in der Dokumentation fehlt die Aussage zur unterstützten Sicherheitsupdate-Dauer.
  • Schwachstellenmeldungen ohne Prozess — Mails an info@ werden nicht bearbeitet, kein zentraler Eingangskanal, keine Triage.
  • Konformitätsbewertung wurde gemacht, aber nie aktualisiert — bei größeren Produktänderungen muss neu bewertet werden, das wird häufig übersehen.
  • Lieferkettentransparenz fehlt — Open-Source-Komponenten und Drittanbieter-Bibliotheken sind nicht inventarisiert, kritische Schwachstellen werden zu spät erkannt.
  • Risikoklasse falsch eingeschätzt — Selbstbewertung obwohl das Produkt eigentlich in Klasse I oder II fällt; bei Kontrolle führt das direkt zur Vertriebsuntersagung.

Quellen

Abgedeckte ISO-27001-Kontrollen

A.5.7 Bedrohungsintelligenz A.5.8 Informationssicherheit im Projektmanagement A.5.21 Management der IKT-Lieferkette A.5.24 Planung des Vorfallmanagements A.5.37 Dokumentierte Betriebsverfahren A.6.3 Sensibilisierung und Schulung A.8.8 Management technischer Schwachstellen A.8.9 Konfigurationsmanagement A.8.25 Sicherer Entwicklungslebenszyklus A.8.26 Anforderungen an die Anwendungssicherheit A.8.27 Sichere Systemarchitektur A.8.28 Sicheres Programmieren A.8.29 Sicherheitstests in Entwicklung und Abnahme A.8.30 Ausgelagerte Entwicklung

Häufig gestellte Fragen

Welche Produkte fallen unter den CRA?

Alle Produkte mit digitalen Elementen, die direkt oder indirekt mit einem Gerät oder Netz verbunden werden können — von smarter Haushaltselektronik über industrielle Steuerungen bis zu Software-Bibliotheken. Ausgenommen sind nur sektoral bereits regulierte Produkte (Medizinprodukte, Automotive nach UNECE R155, Luftfahrt) sowie reine SaaS-Dienste, sofern sie nicht als Komponente verkauft werden. Open-Source-Software ist grundsätzlich erfasst, mit Erleichterungen für nicht-kommerzielle Projekte.

Was ändert sich für Hersteller?

Hersteller müssen vor dem Inverkehrbringen eine Konformitätsbewertung durchführen, eine technische Dokumentation und eine Risikoanalyse vorhalten und das CE-Zeichen anbringen. Über die Lebensdauer des Produkts (mindestens fünf Jahre, in der Regel länger) müssen sie Schwachstellen behandeln, Sicherheitsupdates bereitstellen und ein SBOM pflegen. Aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle sind innerhalb von 24 Stunden an ENISA und die zuständige nationale Behörde zu melden.

Wann gilt der CRA verbindlich?

Die Verordnung ist im November 2024 in Kraft getreten. Die Meldepflichten gelten ab September 2026, die vollständige Anwendbarkeit (inklusive CE-Kennzeichnungspflicht) ab Dezember 2027. Hersteller, die danach Produkte ohne Konformitätsbewertung in den EU-Markt bringen, riskieren Bußgelder bis 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes.