EU Cyber Resilience Act (CRA): Neue EU-Cybersicherheitsvorgaben

Mit der Cyberresilienz-Verordnung – offiziell Verordnung (EU) 2024/2847 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen – führt die Europäische Union einen einheitlichen Rechtsrahmen für die Sicherheit vernetzter Produkte ein. Ziel ist es, das bislang fragmentierte Geflecht nationaler und sektorspezifischer Vorgaben zu beenden und Cybersicherheit als verbindliche Produkteigenschaft im gesamten Binnenmarkt zu verankern.

Ausgangspunkt: Von Insellösungen zu einem EU-weiten Sicherheitsniveau

Die Zahl vernetzter Geräte wächst rasant – von Smart-Home-Komponenten über Industrieanlagen bis hin zu reiner Software. Gleichzeitig zeigen Vorfälle der vergangenen Jahre, wie stark Sicherheitslücken in Produkten ganze Lieferketten, kritische Infrastrukturen und letztlich auch Verbraucherinnen und Verbraucher treffen können. Die EU reagiert darauf mit einem Paradigmenwechsel: Cybersicherheit soll nicht länger freiwillige Zusatzleistung einzelner Hersteller sein, sondern verpflichtende Marktzugangsvoraussetzung – ähnlich wie klassische Produktsicherheit.

Die Cyberresilienz-Verordnung setzt genau hier an. Sie schafft einen horizontalen Rahmen für „Produkte mit digitalen Elementen“ und verpflichtet die beteiligten Wirtschaftsakteure, Cybersicherheitsrisiken systematisch zu adressieren – über den gesamten Lebenszyklus eines Produkts hinweg, von der Entwicklung bis zum Ende des Unterstützungszeitraums.

Anwendungsbereich: Produkte mit digitalen Elementen im Fokus

Kernbegriffe der Verordnung sind „Produkte mit digitalen Elementen“ und deren integrierte Datenfernverarbeitungslösungen. Erfasst sind im Grundsatz alle Hardware- und Softwareprodukte, die direkt oder indirekt mit einem Netzwerk oder einem anderen Gerät verbunden werden können. Dazu gehören klassische IT-Produkte, IoT-Geräte, Embedded Systems, Betriebssysteme, Security-Produkte wie Firewalls oder Intrusion-Detection-Systeme, aber auch reine Software, sofern sie vernetzbar ist.

Nicht in den Anwendungsbereich fallen unter anderem bestimmte bereits anderweitig streng regulierte Produktkategorien wie Medizinprodukte oder bestimmte Luftfahrt- und Automotive-Komponenten, sofern diese bereits vergleichbare Cybersicherheitsanforderungen unterliegen. Ebenfalls ausgenommen sind Produkte, die ausschließlich für Zwecke der nationalen Sicherheit oder Verteidigung beschafft werden.

Besonders relevant für die Praxis ist, dass auch Datenfernverarbeitungslösungen des Herstellers erfasst sind, ohne die das Produkt seine Funktion nicht erfüllen könnte, etwa cloudbasierte Steuermodelle für smarte Geräte. Damit wird sichergestellt, dass nicht nur das lokale Gerät, sondern die Gesamtfunktion „Produkt plus angebundener Dienst“ abgesichert werden muss.

Zentrale Pflichten für Hersteller: Security by Design als Rechtsanspruch

Der Cyber Resilience Act verankert für Hersteller ein Bündel an Pflichten, das weit über punktuelle Sicherheitsmaßnahmen hinausgeht und auf ein durchgängiges Security-by-Design-Prinzip zielt. Zu den zentralen Elementen gehören:

Hersteller müssen zunächst eine systematische Risikobewertung ihrer Produkte mit digitalen Elementen vornehmen und diese Risiken bereits in der Konzeption und Entwicklung adressieren. Sicherheitsanforderungen sind also nicht nachträgliches Add-on, sondern integraler Bestandteil des Entwicklungsprozesses.

Das Produkt muss so gestaltet sein, dass bekannte Schwachstellen minimiert werden, ein sicherer Grundzustand („secure by default“) vorliegt und etwaige Konfigurationsmöglichkeiten nicht dazu führen, dass das Produkt im Auslieferungszustand unsicher betrieben wird. Dazu gehören auch angemessene Mechanismen zur Authentifizierung, Zugriffskontrolle, Protokollierung von sicherheitsrelevanten Ereignissen sowie die Absicherung der Update-Mechanismen.

Zwingend ist zudem ein strukturiertes Schwachstellenmanagement. Hersteller müssen Prozesse vorhalten, um Schwachstellen zu identifizieren, zu bewerten und zu beheben, Sicherheitsupdates bereitzustellen und über bekannte Schwachstellen sowie verfügbare Patches transparent zu informieren. Für bestimmte sicherheitsrelevante Vorfälle und ausnutzbare Schwachstellen sieht der CRA Meldepflichten gegenüber zuständigen Stellen vor.

Schließlich werden Hersteller verpflichtet, den Unterstützungszeitraum für Sicherheitsupdates klar zu definieren und hierüber Klarheit zu schaffen. Nutzer sollen bei ihrer Kaufentscheidung erkennen können, wie lange sie mit Sicherheitsaktualisierungen rechnen können und welche Annahmen dem Sicherheitskonzept zugrunde liegen.

Weitere Akteure: Importeure, Händler und Open-Source-Projekte

Die Cyberresilienz-Verordnung richtet sich nicht nur an Hersteller im engen Sinne. Auch Importeure und Händler werden eingebunden: Sie müssen insbesondere prüfen, ob Produkte mit digitalen Elementen die formalen Anforderungen erfüllen, mit CE-Kennzeichnung und Konformitätserklärung versehen sind und die Herstellerangaben vollständig vorliegen. Bei Verdacht auf Nichtkonformität trifft sie eine Pflicht zur Kooperation mit den Marktüberwachungsbehörden.

Ein besonderes Augenmerk legt die Verordnung auf freie und quelloffene Software. Nicht-kommerzielle Open-Source-Projekte sollen nicht durch überzogene Regulierung ausgebremst werden. Daher differenziert der CRA: Freie und quelloffene Software, die nicht im Rahmen einer Geschäftstätigkeit bereitgestellt wird, bleibt grundsätzlich außerhalb des Pflichtenkatalogs. Dagegen gelten vereinfachte, aber bewusste Vorgaben für Organisationen, die Open-Source-Komponenten dauerhaft für kommerzielle Zwecke entwickeln und pflegen.

Klassifizierung: Allgemeine, wichtige und kritische Produkte

Nicht jedes Produkt mit digitalen Elementen birgt dasselbe Risiko. Die Verordnung führt daher abgestufte Kategorien ein. Neben den „allgemeinen“ Produkten unterscheidet der CRA „wichtige“ und „kritische“ Produkte mit digitalen Elementen. Maßstab ist insbesondere, ob das Produkt eine zentrale Sicherheitsfunktion ausübt, eine große Zahl weiterer Systeme beeinflusst oder bei einem Angriff erhebliche Auswirkungen auf Gesundheit, Sicherheit oder Unversehrtheit der Nutzer haben kann.

Wichtige Produkte werden in zwei Klassen eingeteilt. Klasse-II-Produkte, etwa bestimmte Sicherheitsprodukte und zentrale Netzkomponenten, unterliegen strengeren Konformitätsbewertungsverfahren. Für bestimmte kritische Produktkategorien sieht die Verordnung die Möglichkeit einer verpflichtenden europäischen Cybersicherheitszertifizierung vor, die auf bestehenden Zertifizierungsschemata aufbaut.

Zeitplan und Übergangsfristen: Bis 2027 bleibt wenig Zeit

Der Cyber Resilience Act wurde am 20. November 2024 im Amtsblatt der EU veröffentlicht und ist zwanzig Tage später, im Dezember 2024, in Kraft getreten.

Die meisten materiellen Pflichten – insbesondere die Einhaltung der Cybersicherheitsanforderungen und die CE-Konformitätspflichten – gelten nach einer Übergangsfrist von 36 Monaten, also ab dem 11. Dezember 2027, unmittelbar in allen Mitgliedstaaten.

Einige Verpflichtungen greifen bereits früher. So werden bestimmte Meldepflichten im Zusammenhang mit ausnutzbaren Schwachstellen und Sicherheitsvorfällen bereits 21 Monate nach Inkrafttreten wirksam, also voraussichtlich im Herbst 2026. Hersteller und andere Wirtschaftsakteure haben damit faktisch nur wenige Jahre, um ihre Entwicklungsprozesse, Produktportfolios und internen Governance-Strukturen CRA-konform auszurichten.

Zusammenspiel mit NIS-2, DSGVO und Produkthaftung

Der CRA steht nicht isoliert, sondern ergänzt bestehende EU-Rechtsakte. Während die NIS-2-Richtlinie vor allem Betreiber wesentlicher und wichtiger Einrichtungen adressiert und von diesen ein eigenes Risikomanagement und Sicherheitsniveau verlangt, zielt die Cyberresilienz-Verordnung auf die Produktsicherheitsebene ab. Betreiber sollen in Zukunft auf Produkte zurückgreifen können, bei denen grundlegende Cybersicherheitsanforderungen bereits gesetzlich abgesichert sind – auch mit Blick auf Lieferkettenrisiken.

Daneben verstärkt der CRA das Zusammenspiel mit der Datenschutz-Grundverordnung. Sichere Produkte reduzieren regelmäßig auch das Risiko für Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten. Die Verordnung (EU) 2024/2853 über die Haftung für fehlerhafte Produkte knüpft wiederum an die Produktsicherheit an: Bleiben etwa notwendige Sicherheitsupdates aus und führt dies zu einem Schaden, kann dies zu verschuldensunabhängiger Herstellerhaftung führen.

Für Unternehmen bedeutet dies, dass Cybersicherheit, Datenschutz und Produkthaftung künftig noch enger zusammengedacht werden müssen. Isolierte Einzelinitiativen reichen nicht mehr aus; gefragt ist eine integrierte Compliance-Strategie.

Was Unternehmen jetzt tun sollten

Auch wenn zentrale Pflichten erst ab Ende 2027 greifen, handelt es sich nicht um ein „Fernziel“. Hersteller, Softwareanbieter, Importeure und Händler sollten die Übergangszeit aktiv nutzen, um ihre Prozesse und Produkte auszurichten. Strategisch sinnvoll ist zunächst eine Bestandsaufnahme: Welche Produkte fallen überhaupt in den CRA-Anwendungsbereich, welche Sicherheitsprozesse existieren bereits und wo bestehen Lücken gegenüber den künftigen Anforderungen?

Im nächsten Schritt empfiehlt sich der Aufbau oder die Anpassung eines strukturierten Secure-Development-Lifecycle, der die regulatorischen Anforderungen ausdrücklich einbezieht. Entwicklungsabteilungen, Produktmanagement, Informationssicherheit, Recht und Compliance sollten hierfür eng zusammenarbeiten. Parallel sind Vertragswerke, Produktdokumentation und interne Richtlinien daraufhin zu überprüfen, ob sie die künftigen Pflichten – insbesondere zum Schwachstellenmanagement, zur Update-Strategie und zu Meldeprozessen abbilden.

Schließlich wird es für viele Unternehmen entscheidend sein, frühzeitig mit den zuständigen Marktüberwachungsbehörden und gegebenenfalls Zertifizierungsstellen Erfahrungen zu sammeln, um die eigenen Produkte und internen Prozesse praxistauglich an den neuen EU-Standard anzupassen.

Die Cyberresilienz-Verordnung ist damit mehr als nur eine weitere Compliance-Anforderung. Sie ist der Versuch der EU, Cybersicherheit als grundlegende Produkteigenschaft EU-weit zu denken und verbindlich durchzusetzen. Unternehmen, die diesen Wandel frühzeitig aufgreifen, können Cybersicherheit nicht nur als Pflicht, sondern als Wettbewerbsfaktor nutzen.