Unter den sicherheitsorientierten Regulierungen der EU sticht der CRA als das am breitesten anwendbare allgemeine Sicherheitsrahmenwerk hervor und erfordert Handeln von jedem Hersteller, Importeur und Händler digitaler Produkte in der EU.
Kostenfreie Beratung sichernLesedauer: 8 Minuten
Es gibt keine gesetzliche Definition von Cyberresilienz. Der Begriff kann als Widerstandsfähigkeit eines Unternehmens gegen Hackerangriffe und als Vorbereitung auf den Ausfall systemrelevanter Komponenten definiert werden. Um in Europa eine allgemeine Widerstandsfähigkeit gegen Cyberangriffe im Sinne moderner IT-Sicherheit und Informationssicherheit zu schaffen, hat die EU mehrere sicherheitsorientierte Regulierungen auf den Weg gebracht, darunter den Cyber Resilience Act (CRA), die Richtlinie zur Sicherung von Netz- und Informationssystemen (NIS2) und den Digital Operational Resilience Act (DORA).
Unter diesen sticht der CRA als das am breitesten anwendbare allgemeine Sicherheitsrahmenwerk hervor. Der CRA soll die Sicherheit digitaler Produkte stärken, die in der gesamten EU hergestellt und verkauft werden. Nach dem CRA müssen alle digitalen Produkte eine Konformitätsbewertung durchlaufen und in einigen Fällen mit der CE-Kennzeichnung versehen werden, bevor sie auf den Markt gelangen.
Der Cyber Resilience Act ist ein neuer Satz verbindlicher Sicherheitsanforderungen, der von der EU-Kommission erlassen wurde. Er soll die Sicherheit digitaler Produkte stärken, die in der gesamten EU verkauft werden. Nach dem CRA müssen alle Produkte mit digitalen Elementen eine Konformitätsbewertung durchlaufen und in einigen Fällen mit der CE-Kennzeichnung versehen werden, bevor sie auf den Markt gelangen.
Der Cyber Resilience Act definiert drei zentrale Anforderungen für alle digitalen Produkte auf dem EU-Markt.
Der CRA gilt für alle digitalen Produkte, die an Endverbraucher innerhalb der EU-Mitgliedstaaten verkauft werden. Dazu gehören sowohl Endprodukte wie Smartphones als auch Komponenten wie Chips und Betriebssysteme. Darüber hinaus gilt der CRA gleichermaßen für alle digitalen Produkte, die auf dem EU-Markt bereitgestellt werden. Es gibt keine Ausnahmen auf Grundlage der Marktgröße. Der CRA schreibt außerdem Sicherheitsbewertungen für IT-Infrastruktur und Software vor, die im Rahmen der „digitalen Lieferkette“ in den eigenen IT-Abläufen eines Unternehmens verwendet werden.
Für Produkte, die auf dem EU-Markt verkauft werden, unterscheidet der CRA zwischen digitalen Produkten nach ihrer Kritikalität für die Sicherheit der Verbraucher, die Cyberresilienz von Unternehmen sowie die nationale und regionale Sicherheit.
Vierstufige Darstellung (Standard, Wichtig Klasse I, Klasse II, Kritisch) der CRA-Produktklassifizierung.
Der Cyber Resilience Act definiert folgende Produktklassifizierungen:
Dazu gehören Speicherchips, mobile Apps, smarte Lautsprecher und Computerspiele sowie weitere gängige digitale Produkte.
Dazu gehören IT-Zugangsmanagement, Browser und Betriebssysteme, VPNs sowie Netzwerkmanagement und Smart-Home-Geräte.
Dazu gehören Hypervisoren und Container-Systeme, Firewalls und IDS/IPS sowie manipulationssichere Mikrocontroller und Prozessoren.
Dazu gehören Smartcards, sichere Kartenleser, Tachographen und HSMs sowie Smart-Meter-Gateways und kryptografische Systeme.
Die Europäische Kommission geht davon aus, dass die meisten betroffenen Produkte in die Standardkategorie fallen und lediglich einer Selbstbewertung durch den Produkthersteller unterliegen. Produkte, die in den Kategorien „Wichtig“ und „Kritisch“ aufgeführt sind, unterliegen jedoch strengeren Anforderungen im Hinblick auf die Konformitätsbewertung. Hersteller von Produkten, die als kritisch eingestuft sind, könnten verpflichtet sein, ein spezielles europäisches Cybersicherheitszertifikat zu erhalten, und die Konformität muss durch die CE-Kennzeichnung am Produkt ausgewiesen werden, ergänzt durch eine nationale Marktüberwachung nach dem Inverkehrbringen zur ordnungsgemäßen Umsetzung.
| Kategorie | Konformitätsbewertung | CE-Kennzeichnung | Beispiele |
|---|---|---|---|
| Standard | Selbstbewertung durch den Hersteller | Erforderlich | Speicherchips, mobile Apps, smarte Lautsprecher, Computerspiele |
| Klasse I | Strengere Regeln, Bewertung durch Dritte möglich | Erforderlich | IT-Zugangsmanagement, Browser, Betriebssysteme, VPNs, Netzwerkmanagement, Smart-Home-Geräte |
| Klasse II | Bewertung durch Dritte erforderlich | Erforderlich | Hypervisoren, Container-Runtime, Firewalls, IDS/IPS, manipulationssichere Mikrocontroller |
| Kritisch | Verpflichtende zertifizierte Stelle, EU-Cybersicherheitszertifikat möglich | Erforderlich | Smartcards, sichere Kartenleser, Tachographen, HSMs, Smart-Meter-Gateways |
Der Cyber Resilience Act definiert seinen Geltungsbereich über den Begriff der „Wirtschaftsakteure“. Dazu zählen Hersteller, Bevollmächtigte, Importeure, Händler sowie alle natürlichen oder juristischen Personen, die an der Herstellung oder dem Vertrieb digitaler Produkte in der EU beteiligt sind. Betroffen sind sowohl Produzenten von Endgeräten wie Smartphones als auch Anbieter einzelner Komponenten wie Chips oder Betriebssysteme. Die Regelung gilt zudem unabhängig vom Unternehmenssitz. Auch Hersteller außerhalb der EU müssen die Vorgaben einhalten, sofern sie ihre Produkte auf dem europäischen Markt anbieten.
Der Cyber Resilience Act definiert „Wirtschaftsakteure“ wie folgt:
Der Cyber Resilience Act legt eine Reihe von Pflichten für Wirtschaftsakteure fest, die an der Herstellung oder dem Vertrieb digitaler Produkte in der EU beteiligt sind. Grundsätzlich müssen betroffene Akteure Maßnahmen ergreifen, um die Produktsicherheit über den gesamten Lebenszyklus vom Design bis zur Ausmusterung zu stärken, Prozesse für den Umgang mit Schwachstellen und deren Meldung umzusetzen und Maßnahmen zur Behebung für Endnutzer zu ermöglichen.
Sicheres Produktdesign und Lebenszyklus, Sicherheitsbewertungen und SBOM, Umgang mit Schwachstellen und Meldepflichten.
Je nach Schwere des Verstoßes können Verstöße gegen den CRA zu erheblichen Geldbußen führen.
OPENVAS SECURITY INTELLIGENCE unterstützt die CRA-Compliance On Premise oder in der Cloud. Kontaktieren Sie uns, um mehr zu erfahren.
Der CRA wurde am 23. Oktober 2024 als EU-Recht verabschiedet und trat am 10. Dezember 2024 offiziell in Kraft. Bestimmte CRA-Compliance-Fristen gelten stufenweise und führen zur vollständigen Durchsetzung am 11. Dezember 2027. Die Kommission wird die Einhaltung der neuen Cybersicherheitsvorschriften für die EU fortlaufend überwachen und Verstöße gegebenenfalls sanktionieren.
Zeitplan der kritischen Phasen der CRA-Einführung:
Ab dem 11. September 2026 müssen Hersteller strenge Meldefristen für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle einhalten.
Erste Meldung an ENISA und das nationale CSIRT.
Betroffene Produkte, Details zur Schwachstelle und Hinweise zur Risikominimierung.
Abschließende Informationen zu Maßnahmen nach einem Sicherheitsupdate oder Workaround.
Greenbone hilft seit mehr als 15 Jahren dabei, unsere Kunden auf den bestmöglichen Sicherheitsstandard vorzubereiten. Wir sehen den Cyber Resilience Act als Chance, Unterstützung zu leisten und die stärkstmögliche Cyberresilienz aufzubauen. Die OPENVAS SECURITY INTELLIGENCE Plattform hilft Unternehmen dabei, die Anforderungen On Premise oder in der Cloud zu erfüllen.
OPENVAS SECURITY INTELLIGENCE Dashboard mit Ergebnissen von Schwachstellenscans, CVSS-Schweregradverteilung und Asset-Inventar, ausgerichtet an den CRA-Meldeanforderungen.
Horizontaler Prozessablauf: Assets scannen, SBOM bewerten, CVEs priorisieren, Bericht erzeugen, ENISA benachrichtigen.
Was ist Cyberresilienz?
Es gibt keine gesetzliche Definition von Cyberresilienz. Der Begriff kann als Widerstandsfähigkeit eines Unternehmens gegen Hackerangriffe und als Vorbereitung auf den Ausfall systemrelevanter Komponenten definiert werden.
Was ist der EU Cyber Resilience Act (CRA)?
Der Cyber Resilience Act ist ein neuer Satz verbindlicher Sicherheitsanforderungen, der von der EU-Kommission erlassen wurde. Er soll die Sicherheit digitaler Produkte stärken, die in der gesamten EU verkauft werden. Nach dem CRA müssen alle Produkte mit digitalen Elementen eine Konformitätsbewertung durchlaufen und in einigen Fällen mit der CE-Kennzeichnung versehen werden, bevor sie auf den Markt gelangen.
Welche Produkte sind vom Cyber Resilience Act betroffen?
Der Cyber Resilience Act gilt für alle digitalen Produkte, die an Endverbraucher innerhalb der EU-Mitgliedstaaten verkauft werden. Dazu gehören sowohl Endprodukte wie Smartphones als auch Komponenten wie Chips und Betriebssysteme. Es gibt keine Ausnahmen auf Grundlage der Marktgröße. Der CRA schreibt außerdem Sicherheitsbewertungen für IT-Infrastruktur und Software vor, die im Rahmen der „digitalen Lieferkette“ in den eigenen IT-Abläufen eines Unternehmens verwendet werden.
Gilt der CRA auch für Hersteller außerhalb der EU?
Ja. Der CRA ist nicht auf Hersteller mit Hauptsitz in der EU beschränkt. Hersteller außerhalb der EU unterliegen den Anforderungen des CRA, wenn sie Produkte in der EU verkaufen. Importeure und Händler sind außerdem dafür verantwortlich zu überprüfen, dass der Hersteller die erforderlichen Compliance-Schritte abgeschlossen hat, bevor ein Produkt auf dem EU-Markt bereitgestellt wird.
Was ist eine Konformitätsbewertung nach dem CRA?
Eine Konformitätsbewertung ist das Verfahren, mit dem ein Hersteller nachweist, dass ein Produkt die wesentlichen Sicherheitsanforderungen des CRA erfüllt. Die meisten Produkte in der Standardkategorie unterliegen lediglich der Selbstbewertung durch den Hersteller. Produkte in den Kategorien Wichtig Klasse I, Klasse II und Kritisch unterliegen strengeren Anforderungen. Hersteller kritischer Produkte könnten verpflichtet sein, ein spezielles europäisches Cybersicherheitszertifikat zu erhalten, wobei die Konformität durch die CE-Kennzeichnung angezeigt wird.
Welche Meldepflichten für Schwachstellen sieht der CRA vor?
Ab dem 11. September 2026 müssen betroffene Hersteller bekannte Schwachstellen und bekannte Exploits innerhalb von 24 Stunden an ENISA melden, Sicherheitsvorfälle an Produktnutzer zusammen mit den erforderlichen Schritten zur Behebung melden und identifizierte Schwachstellen in Komponenten Dritter an die jeweiligen Drittanbieter melden.
Was ist eine Software Bill of Materials (SBOM) und warum verlangt der CRA sie?
Eine Software Bill of Materials (SBOM) ist ein vollständiges Verzeichnis aller Softwarekomponenten in einem digitalen Produkt. Der CRA verlangt von Herstellern, Schwachstellenscans einschließlich SBOM-Bewertungen durchzuführen, um sicherzustellen, dass Produkte frei von bekannten Schwachstellen sind, und eine SBOM mit den Softwarekomponenten eines Produkts für nachgelagerte Kunden bereitzustellen.
Gilt der CRA auch für Open-Source-Software?
Kommerziell vertriebene Open-Source-Software kann unter die Vorgaben des CRA fallen. Nicht-kommerzielle FOSS-Beiträge sind in der Regel ausgenommen.
Für Open-Source-Software-Stewards können reduzierte Pflichten gelten, beispielsweise die Pflege einer Cybersicherheitsrichtlinie, die Koordination von Schwachstellenmeldungen sowie die Zusammenarbeit mit Marktüberwachungsbehörden.
Wann tritt der CRA vollständig in Kraft?
Der CRA wurde am 23. Oktober 2024 als EU-Recht verabschiedet und trat am 10. Dezember 2024 offiziell in Kraft. Die Compliance-Fristen gelten stufenweise: Kapitel-IV-Bestimmungen zu Konformitätsbewertungsstellen ab dem 11. Juni 2025, Meldepflichten für Schwachstellen gemäß Artikel 14 ab dem 11. September 2026 und vollständige Durchsetzung aller übrigen Anforderungen ab dem 11. Dezember 2027.
Wie verhält sich der CRA zu NIS2 und DORA?
Der CRA, die Richtlinie über Netz- und Informationssicherheit (NIS) und der Digital Operational Resilience Act (DORA) sind alle Teil des sicherheitsorientierten Regulierungsrahmens der EU. Unter diesen sticht der CRA als das am breitesten anwendbare allgemeine Sicherheitsrahmenwerk hervor, das alle digitalen Produkte erfasst, die auf dem EU-Markt bereitgestellt werden, unabhängig von Branche oder Unternehmensgröße.
Wie hilft Greenbone bei der CRA-Compliance?
Greenbone hilft seit mehr als 15 Jahren dabei, Kunden auf den bestmöglichen Sicherheitsstandard vorzubereiten. Greenbones OPENVAS SECURITY INTELLIGENCE Plattform unterstützt Unternehmen bei den fortlaufenden Schwachstellenanalysen und externen Audits, die der CRA verlangt, On Premise oder in der Cloud.
Die vollständige Durchsetzung beginnt im Dezember 2027, aber die Meldepflicht für Schwachstellen tritt bereits im September 2026 in Kraft. Sprechen Sie jetzt mit uns und erfahren Sie, wie OPENVAS SECURITY INTELLIGENCE Ihr CRA-Compliance-Programm On Premise oder in der Cloud unterstützt.
