Der Cyber Resilience Act der EU: Cybersicherheitspflichten für digitale Produkte im Binnenmarkt
Warum der CRA notwendig ist: IT Sicherheit für Produkte mit digitalen Elementen
Bisher galten europäische Produktsicherheitsvorgaben primär für physische Güter wie Maschinen, Spielzeug oder Elektrogeräte. Mit der zunehmenden Digitalisierung steigt jedoch auch das Risiko durch vernetzte Hard- und Software. Produkte, die mit Netzwerken oder anderen Geräten verbunden sind, müssen daher künftig grundlegende Cybersicherheitsanforderungen erfüllen.
Während der AI Act bereits Vorgaben für KI-Anwendungen regelt, schafft der Cyber Resilience Act erstmals einheitliche Cybersicherheitsstandards für sämtliche digitale Produkte, die im Binnenmarkt bereitgestellt werden.
Was gilt als „Produkt mit digitalen Elementen“?
Produkte, die in der EU verkauft werden und „digitale Elemente“ enthalten, müssen den Anforderungen des Cyber Resilience Act (CRA) entsprechen – unabhängig davon, ob es sich um einen „Ein-Euro-Artikel“ oder um komplexe Unternehmenssoftware handelt.
Als digitale Elemente gelten sämtliche Komponenten, die direkt oder indirekt mit einem Netzwerk oder anderen Geräten verbunden werden können.
Dazu gehören beispielsweise:
- Hardware: Smartphones, vernetzte Uhren, intelligente Zähler, Mikroprozessoren, Spielzeuge u. v. m.
- Software: Apps, Buchhaltungsprogramme, Spiele, Kommunikationslösungen usw.
Ausgenommen vom CRA sind:
- Nicht-kommerzielle Open-Source-Produkte
- Produkte für nationale Sicherheits- oder Verteidigungszwecke
Was fällt nicht unter den CRA?
Der CRA enthält gezielte Ausnahmen für bestimmte Produktkategorien, die bereits anderen spezialisierten EU-Verordnungen oder EU-Richtlinien unterliegen. Diese sind:
- Medizinprodukte: Verordnung (EU) 2017/745
- In-vitro-Diagnostika: Verordnung (EU) 2017/746
- Fahrzeuge und Zubehör: Verordnung (EU) 2019/2144
- Zivile Luftfahrt: Verordnung (EU) 2018/1139
- Schiffsausrüstung: Richtlinie 2014/90/EU
Auch Produkte, die ausschließlich für nationale Sicherheits- oder Verteidigungszwecke entwickelt wurden oder der Verarbeitung von Verschlusssachen dienen, sind ausgenommen.
Wichtig: Für diese Produktarten wird von den Mitgliedstaaten erwartet, dass ein vergleichbares oder höheres Schutzniveau sichergestellt wird.
Inkrafttreten und Übergangsfristen
Die Verordnung trat am 10. Dezember 2024 in Kraft – 20 Tage nach ihrer Veröffentlichung im Amtsblatt der EU. Verbindlich anzuwenden ist sie jedoch erst ab dem 11. Dezember 2027. Diese Übergangsfrist gibt Unternehmen Zeit, ihre Produkte und Prozesse an die neuen Anforderungen anzupassen.
Bis dahin sollten Hersteller:
- Cybersicherheit in ihre Entwicklungsprozesse integrieren
- Risikobewertungen dokumentieren
- Maßnahmen wie Datenverschlüsselung, Schutz vor schwachen Passwörtern und automatische Sicherheitsupdates umsetzen
Technische Anforderungen & Konformitätsbewertung
Die Konformität mit dem CRA wird wie bei anderen CE-Vorgaben durch eine Konformitätserklärung des Herstellers (oder Importeurs) bestätigt.
Die Anforderungen und Produktkategorien werden in mehreren Anhängen der Verordnung konkretisiert:
- Anhang I: Grundlegende Cybersicherheitsanforderungen
- Anhang III: Relevante und wichtige Produkte (z. B. Passwortmanager, Firewalls)
- Anhang IV: Kritische Produkte mit Pflicht zur Cybersicherheitszertifizierung (z. B. Smart-Meter-Gateways, Chipkarten)
Bis 10. Dezember 2025 wird ein ergänzender Durchführungsrechtsakt technische Details zu Produktkategorien und Zertifizierungspflichten festlegen.
Meldepflichten und Sicherheitsupdates
Eine EU-Meldeplattform für Schwachstellen soll bis Ende August 2026 bereitgestellt werden. Ab September 2026 müssen entdeckte Sicherheitslücken und Vorfälle dort gemeldet werden.
Hersteller sind verpflichtet, über den gesamten Unterstützungszeitraum von mindestens fünf Jahren Sicherheitsupdates bereitzustellen.
Weiterführende Informationen
Quellen
- Titelbildquelle: Frank H._AdobeStock_1255676251
