Cyber Resilience Act, Produktsicherheit und IoT-Security: Neue Anforderungen für Hersteller vernetzter Produkte
Mit dem Inkrafttreten des Cyber Resilience Act verändern sich die Anforderungen an Hersteller vernetzter Produkte grundlegend. Unternehmen müssen künftig Cybersicherheit über den gesamten Produktlebenszyklus berücksichtigen – von der Entwicklung bis zur Bereitstellung von Sicherheitsupdates.
- Warum Cybersicherheit für Produkte heute entscheidend ist
- Produktsicherheit und IT-Sicherheit wachsen zusammen
- Der Cyber Resilience Act verändert die Herstellerpflichten grundlegend
- Welche Pflichten gelten künftig für Hersteller?
- Welche Normen und Standards gewinnen an Bedeutung?
- Produkthaftung und Cyberrisiken
- Produktbeobachtung wird wichtiger
- Was Unternehmen jetzt konkret tun sollten
- Cybersicherheit wird zum Wettbewerbsfaktor
- Unterstützung für Unternehmen
Betroffen sind nahezu alle Produkte mit digitalen Elementen, darunter IoT-Geräte, industrielle Steuerungen, Software, Smart-Home-Produkte und vernetzte Maschinen. Zusätzlich gewinnen Normen wie IEC 62443 oder ETSI EN 303 645 zunehmend an Bedeutung.
Der folgende Beitrag zeigt, welche regulatorischen Entwicklungen Hersteller jetzt kennen sollten, welche Risiken bestehen und wie Unternehmen sich organisatorisch und technisch vorbereiten können.
Warum Cybersicherheit für Produkte heute entscheidend ist
Vernetzte Produkte sind längst Standard. Vom Smart-TV über Connected Cars bis hin zu intelligenten Produktionsanlagen kommunizieren heute zahlreiche Geräte direkt oder indirekt mit dem Internet.
Mit dieser Entwicklung entstehen jedoch neue Risiken:
- Manipulation von Geräten
- Produktionsausfälle
- Datenschutzverletzungen
- Sabotage
- Sicherheitsrisiken für Menschen und Anlagen
- Haftungsrisiken für Hersteller
Während klassische Produktsicherheit („Safety“) seit Jahrzehnten regulatorisch etabliert ist, entwickelt sich die regulatorische Landschaft rund um Cybersicherheit („Security“) derzeit dynamisch weiter.
Insbesondere die Europäische Union verschärft die Anforderungen an Hersteller deutlich.
Produktsicherheit und IT-Sicherheit wachsen zusammen
Traditionell lag der Fokus der Produktsicherheit auf Risiken wie:
- Elektrizität
- Hitze
- mechanischen Gefahren
- elektromagnetischen Störungen
Bei vernetzten Produkten reicht diese Betrachtung heute jedoch nicht mehr aus.
Beispiel: Vernetzter HiFi-Verstärker
Ein internetfähiger Verstärker kann beispielsweise per App gesteuert werden. Wird die Software manipuliert, könnten:
- Lautstärken unkontrolliert erhöht werden,
- Geräte überhitzen,
- Brände entstehen,
- Personen geschädigt werden.
Dadurch wird Cybersicherheit unmittelbar zu einem Aspekt der Produktsicherheit.
Die zentrale Frage lautet daher zunehmend:
Muss ein Hersteller vorhersehbare Cyberangriffe bereits bei der Produktentwicklung berücksichtigen?
Die regulatorische Entwicklung zeigt klar in diese Richtung.
Der Cyber Resilience Act verändert die Herstellerpflichten grundlegend
Mit dem seit Dezember 2024 geltenden Cyber Resilience Act (CRA) schafft die EU erstmals ein einheitliches Cybersicherheitsrecht für Produkte mit digitalen Elementen.
Welche Produkte sind betroffen?
Die Verordnung gilt grundsätzlich für:
- IoT-Geräte
- Smart-Home-Produkte
- industrielle Steuerungen
- Softwareprodukte
- vernetzte Maschinen
- Netzwerkkomponenten
- Consumer Electronics
- industrielle IoT-Lösungen
Entscheidend ist, dass eine direkte oder indirekte Verbindung zu Netzwerken oder anderen Geräten besteht.
Welche Pflichten gelten künftig für Hersteller?
Der Cyber Resilience Act verpflichtet Hersteller unter anderem zu:
| Bereich | Anforderungen |
|---|---|
| Security by Design | Cybersicherheit bereits bei der Entwicklung berücksichtigen |
| Schwachstellenmanagement | Prozesse zur Behandlung von Sicherheitslücken etablieren |
| Sicherheitsupdates | Updates über definierte Zeiträume bereitstellen |
| Dokumentation | Nachweis der Sicherheitsmaßnahmen |
| Risikobewertung | Bewertung möglicher Cyberrisiken |
| Meldepflichten | Meldung aktiv ausgenutzter Schwachstellen |
| CE-Konformität | Erweiterte Anforderungen an die CE-Kennzeichnung |
Besonders relevant ist die Pflicht, Sicherheitsupdates über den definierten Unterstützungszeitraum bereitzustellen.
Damit wird Cybersicherheit zunehmend zu einem zentralen Qualitäts- und Kaufkriterium.
Welche Normen und Standards gewinnen an Bedeutung?
Hersteller sollten bereits heute relevante Sicherheitsnormen berücksichtigen.
Besonders wichtig sind:
| Norm / Standard | Bedeutung |
|---|---|
| IEC 62443 | Industrielle Kommunikationsnetze und OT-Security |
| ETSI EN 303 645 | Mindestanforderungen für Consumer-IoT |
| ISO/SAE 21434 | Cybersicherheit im Automotive-Bereich |
| EN 18031 | Harmonisierung für CRA-Anforderungen für Funkanlagen |
| ISO 27001 | Informationssicherheitsmanagement |
Die Anwendung solcher Standards kann Unternehmen helfen, regulatorische Anforderungen effizient umzusetzen und Haftungsrisiken zu reduzieren.
Produkthaftung und Cyberrisiken
Die zunehmende Vernetzung wirft neue Haftungsfragen auf.
Wenn ein Cyberangriff beispielsweise:
- Personen verletzt,
- Maschinen beschädigt,
- Produktionsausfälle verursacht,
- Datenverluste auslöst,
können Hersteller unter Umständen haftbar gemacht werden.
Gleichzeitig entwickelt sich auch die europäische weiter. Software und Sicherheitsupdates geraten zunehmend in den Fokus regulatorischer Anforderungen.
Dadurch wächst der Druck auf Hersteller, Security-by-Design systematisch umzusetzen.
Produktbeobachtung wird wichtiger
Hersteller sind nicht nur während der Entwicklung verantwortlich. Auch nach dem Inverkehrbringen bestehen Pflichten zur Produktbeobachtung.
Bei vernetzten Produkten bedeutet dies zunehmend:
- Sicherheitsvorfälle analysieren
- Schwachstellen überwachen
- Angriffe erkennen
- Sicherheitsupdates bereitstellen
- Risiken dokumentieren
Besonders wichtig ist dabei die Balance zwischen:
- Cybersicherheit,
- Datenschutz,
- technischer Machbarkeit,
- wirtschaftlichem Aufwand.
Was Unternehmen jetzt konkret tun sollten
Unternehmen sollten die neuen regulatorischen Anforderungen frühzeitig vorbereiten.
Empfehlenswerte Maßnahmen
1. Produktportfolio analysieren
Welche Produkte fallen künftig unter den Cyber Resilience Act?
2. Security-by-Design etablieren
Cybersicherheit sollte bereits in Entwicklungsprozesse integriert werden.
3. Schwachstellenmanagement aufbauen
Unternehmen benötigen Prozesse zur Behandlung von Sicherheitslücken.
4. Update-Strategien definieren
Sicherheitsupdates müssen langfristig geplant werden.
5. Relevante Normen prüfen
Insbesondere IEC 62443 und ETSI EN 303 645 gewinnen an Bedeutung.
6. Lieferketten absichern
Auch Drittsoftware und Open-Source-Komponenten müssen bewertet werden.
7. SBOMs vorbereiten
Software Bill of Materials werden zunehmend regulatorisch relevant.
Cybersicherheit wird zum Wettbewerbsfaktor
Cybersicherheit entwickelt sich zunehmend vom technischen Spezialthema zum strategischen Wettbewerbsfaktor.
Kunden achten verstärkt auf:
- langfristige Updateversorgung,
- Sicherheitszertifizierungen,
- transparente Sicherheitskonzepte,
- Compliance-Nachweise.
Unternehmen, die frühzeitig investieren, können daraus klare Wettbewerbsvorteile entwickeln.
Unterstützung für Unternehmen
Unternehmen sollten regulatorische Entwicklungen kontinuierlich beobachten und bestehende Prozesse frühzeitig anpassen.
Die IHK unterstützt Unternehmen unter anderem bei:
- Produktsicherheit,
- CE-Kennzeichnung,
- Normen,
- Cybersicherheit,
- Innovationsförderung,
- Technologietransfer.
Gerade für kleine und mittlere Unternehmen kann eine frühzeitige Vorbereitung entscheidend sein, um spätere Umsetzungs- und Haftungsrisiken zu reduzieren.