Neue Cybersicherheits-Anforderungen für digitale Produkte
Der Cyber Resilience Act (CRA) ist am 10. Dezember 2024 in Kraft getreten. Es ist die erste europäische Verordnung, die ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte auf dem EU-Markt festlegt. Ziel ist es, die Cybersicherheit innerhalb der Europäischen Union zu erhöhen. Die neuen Regelungen gelten in allen EU-Mitgliedstaaten und werden schrittweise umgesetzt. Welche Unternehmen und Produkte sind betroffen? Und was ist zu tun?
EU Hintergrund zum CRA
Die Cybersicherheit ist einer der größten Herausforderungen für die Europäische Union. Die Anzahl und Vielfalt vernetzter Geräte werden weiter zunehmen. Cyberangriffe sind von öffentlichem Interesse, da sie kritische Auswirkungen nicht nur auf die Wirtschaft, sondern auch auf die Demokratie sowie die Sicherheit und Gesundheit der Verbraucher haben. Vor diesem Hintergrund sieht die EU die Notwendigkeit, die Cyberresilienz in der Union zu stärken und das Funktionieren des Binnenmarkts zu gewährleisten, indem ein einheitlicher Rechtsrahmen für grundlegende Cybersicherheitsanforderungen für das Inverkehrbringen von Produkten mit digitalen Elementen auf dem Unionsmarkt festgelegt wird. Mit dem Inkrafttreten des Cyber Resilience Act sollen zwei Hauptprobleme angegangen werden, die hohe Kosten für die Nutzer und die Gesellschaft verursachen:
- Das geringe Cybersicherheitsniveau von Produkten mit digitalen Elementen, was sich in weitverbreiteten Schwachstellen und unzureichenden Sicherheitsupdates widerspiegelt.
- Unternehmen und Verbraucher verfügen nicht über ausreichende und genaue Informationen für die Auswahl sicherer Produkte. Sie wissen auch nicht, wie sie sicherstellen können, dass die von ihnen gekauften Produkte sicher konfiguriert sind.
Zeitplan für die Umsetzung des CRA
Am 20. November 2024 wurde die EU-Verordnung „CRA“ im Amtsblatt der Europäischen Union veröffentlicht und trat 20 Tage später, am 10. Dezember 2024, in Kraft. Die Umsetzung der Verordnung erfolgt in mehreren Stufen. Bis Ende 2027 müssen alle neuen Produkte die Anforderungen der CRA erfüllen.
Welche Produkte werden vom CRA reguliert?
Der Cyber Resilience Act bezieht sich auf Produkte, die auf dem EU-Markt bereitgestellt werden und digitale Elemente enthalten – also Produkte, die eine direkte oder indirekte Datenverbindung mit anderen Geräten oder Netzwerken herstellen können. Dabei handelt es sich sowohl um Software- als auch Hardwareprodukte.
Die betroffenen Produkte mit digitalen Elementen werden zudem mit aufsteigendem Sicherheitsrisiko in folgende Kategorien eingeteilt:
- Standardprodukte: z.B. Smart-Home-System, Laptop, Smartphone
- Wichtige Produkte mit digitalen Elementen der Klasse 1: z.B. Antivirensoftware, Mikroprozessoren (Teil des Anhangs 3)
- Wichtige Produkte mit digitalen Elementen der Klasse 2: z.B. Firewalls, manipulationssichere Mikroprozessoren (Teil des Anhangs 3)
- Kritische Produkte mit digitalen Elementen: z.B. Chipkarten (Teil des Anhangs 4)
Ausgenommen von der CRA sind Produkte mit digitalen Elementen in den folgenden fünf Ausnahmesektoren: Medizinprodukte, Fahrzeuge, In-vitro-Diagnostika, zivile Luftfahrt und Produkte im Kontext der nationalen Sicherheit!
Wer ist vom CRA betroffen?
Der Cyber Resilience Act legt einen umfassenden Pflichtenkatalog für die betroffenen Wirtschaftsakteure fest. Nach dem CRA sind Wirtschaftsakteure insbesondere Hersteller, Bevollmächtigte, Importeure, Händler oder jede andere natürliche oder juristische Person, die Produkte mit digitalen Elementen gemäß dieser Verordnung herstellt oder auf dem EU-Markt bereitstellt.
Welche Pflichten müssen umgesetzt werden?
Der CRA legt verbindliche Cybersicherheitsanforderungen für den Umgang mit digitalen Produkten fest. Diese Anforderungen können je nach Rolle des betroffenen Wirtschaftsakteurs variieren. In erster Linie richten sich die Verpflichtungen des CRA an die Hersteller von Produkten mit digitalen Elementen. Eine zentrale Verpflichtung der Hersteller ist die Umsetzung der grundlegenden Cybersicherheitsanforderungen während des Produktlebenszyklus (Konzeption, Entwicklung, Herstellung, Lieferung und Wartung) sowie der Umgang mit Schwachstellen (Anhang 1 CRA). Hinzu kommen Meldepflichten für Schwachstellen und Sicherheitsvorfälle, Dokumentationspflichten sowie die Pflicht zur Durchführung eines geeigneten Konformitätsverfahrens zum Nachweis der Erfüllung der grundlegenden Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (Anhang 1 CRA). Die Pflichten für Importeure und Händler sehen u.a. vor, dass sie in unterschiedlichem Umfang sicherstellen und überprüfen müssen, dass die Hersteller die CRA-Pflichten in Bezug auf das jeweilige Produkt mit digitalen Elementen erfüllt haben (z.B. CE-Kennzeichnungspflicht).
Welche Unterstützungsangebote gibt es für die Wirtschaft?
- Das BSI hat eine technische Richtlinie erarbeitet, um die Anforderungen des CRA für die Hersteller und Produkte greifbar zu machen
- FAQ des BSI
Aktuelle Veranstaltungen
Cyber Resilience Act: Neue Pflichten für Hersteller, Händler und Importeure von Produkten mit digitalen Elementen –
Tipps für die praktische Umsetzung aus rechtlicher und technischer Perspektive
Format: Online
Datum: 03. Juli 2025
Uhrzeit: 16:00 Uhr - 17:30 Uhr
Kostenfreie Anmeldung hier.
Tipps für die praktische Umsetzung aus rechtlicher und technischer Perspektive
Format: Online
Datum: 03. Juli 2025
Uhrzeit: 16:00 Uhr - 17:30 Uhr
Kostenfreie Anmeldung hier.