Cyberresilienzgesetz: Europäischer Rat stärkt mit dem Cyber Resilience Act (CRA) zukünftig die Sicherheit digitaler Produkte
Digitale Produkte sind ein beliebtes Ziel für Cyberangriffe: Ein einziger Vorfall kann Organisationen maßgeblich beeinträchtigen, Lieferketten unterbrechen und sich in kürzester Zeit über Ländergrenzen hinweg ausbreiten. Bislang erschwerten uneinheitliche und fragmentierte Regelungen innerhalb der EU eine kohärente Antwort auf diese Bedrohungen – ein Umstand, der sowohl für Hersteller als auch für Nutzer rechtliche Unsicherheiten und zusätzliche Belastungen bedeutete.
Mit dem im November 2024 veröffentlichten Cyber Resilience Act (CRA) verfolgt die EU nun das Ziel, einen verbindlichen Rahmen zu schaffen, der digitale Produkte sicherer machen und den wachsenden Herausforderungen unserer zunehmend vernetzten Welt begegnen soll.
Zentrale Elemente der neuen Verordnung
Der Cyber Resilience Act (CRA) etabliert EU-weite Cybersicherheitsanforderungen für die Entwicklung, Herstellung und den Vertrieb von Hardware- und Softwareprodukten. Die Verordnung gilt für alle Produkte, die mit anderen Geräten oder Netzwerken verbunden sind. Dabei unterscheidet der Cyber Resilience Act (CRA) zwischen allgemeinen und kritischen Produkten. Allgemeine Produkte müssen Cybersicherheitsanforderungen wie Schutz vor Schwachstellen, sichere Konfiguration und automatische Updates erfüllen. Kritische Produkte, z.B. Firewalls, Router und Mikroprozessoren, unterliegen strengeren Vorgaben der EU-Kommission. Nach erfolgreicher Prüfung erhalten konforme Produkte die CE-Kennzeichnung, mit der der Hersteller die Verantwortung für deren Sicherheit übernimmt.
Was bedeutet der Cyber Resilience Act für Hersteller?
Das bereits bestehende IT-Sicherheitskennzeichen des Bundesamt für Sicherheit in der Informationstechnik (BSI), das freiwillig beantragt werden kann, bietet eine wertvolle Grundlage für die Vorbereitung auf den Cyber Resilience Act (CRA), da sich die Anforderungen beider Konzepte in vielen Bereichen überschneiden. Es unterstützt Hersteller und Diensteanbieter dabei, frühzeitig Maßnahmen zur Erfüllung zukünftiger EU-Regulierungen zu ergreifen. Allerdings besteht weiterhin Ergänzungsbedarf, insbesondere bei Prozessanforderungen wie Schwachstellenmanagement, Risikomanagement und Dokumentation. Hierfür stellt das BSI umfassende Guidance-Dokumente bereit, die Herstellern als Orientierungshilfe dienen.
Für smarte Verbrauchergeräte, insbesondere IoT- und Smart-Home-Produkte, hat das BSI bereits die produktspezifische Cyber Resilience Guidance for Smart Consumer Devices veröffentlicht. Diese Richtlinie unterstützt Hersteller dabei, die Sicherheitsanforderungen in diesem Bereich gezielt umzusetzen. Darüber hinaus arbeitet das BSI gemeinsam mit Wirtschaft und Gesellschaft an der Weiterentwicklung der Anforderungen, um diese langfristig in europäische Standardisierungsprozesse zu integrieren.
Hersteller, die das IT-Sicherheitskennzeichen nutzen, verpflichten sich zur Meldung und zeitnahen Behebung bekannt gewordener Schwachstellen. Zudem werden ihre Produkte stichprobenartig und anlassbezogen auf Konformität überprüft. Diese Praxis ermöglicht es Herstellern, sich bereits jetzt mit den Mechanismen des Schwachstellenmanagements und der Marktaufsicht vertraut zu machen, bevor die verbindlichen Anforderungen des CRA in Kraft treten.
Obwohl das IT-Sicherheitskennzeichen ausdrücklich keine vollständige CRA-Konformität garantiert, wird es schrittweise an die Schutzziele des CRA angepasst und durch zusätzliche Prozessanforderungen erweitert. Das BSI unterstützt interessierte Hersteller und Diensteanbieter durch Beratung bei der Beantragung des IT-Sicherheitskennzeichens und erleichtert so den Einstieg in die künftigen regulatorischen Vorgaben.
Zudem erarbeitet das BSI eine Technische Richtlinie zur Umsetzung der CRA-Anforderungen, die Hersteller und Produkte hinsichtlich Cyberresilienz konkret beschreibt. Teil 1 behandelt allgemeine Anforderungen an Hersteller und Produkte gemäß den Artikeln und Anhängen des CRA. Teil 2 legt Vorgaben für die Software Bill of Materials (SBOM) fest, und Teil 3 beschreibt den Umgang mit Schwachstellenmeldungen.
Wann wird der Cyber Resilience Act wirksam?
Die neue Verordnung tritt am 10. Dezember 2024, somit 20 Tage nach ihrer Veröffentlichung im EU-Amtsblatt, in Kraft.
Ab dem 11. Dezember 2027 muss sie in allen EU-Mitgliedstaaten vollständig und unmittelbar angewendet werden.
Einige der Bestimmungen werden jedoch bereits früher greifen:
- Juni 2026: Konformitätsbewertungsstellen dürfen die Einhaltung der Anforderungen des CRA überprüfen
- September 2026: Die Verpflichtung zur Meldung von Schwachstellen und Sicherheitsvorfällen tritt in Kraft
- Dezember 2027: Alle neuen Produkte müssen den Anforderungen des CRA vollständig entsprechenQuelle: BSI *KBS: Konformitätsbewertungsstellen
Hinweis: Die dargestellten Informationen sind ausschließlich zu Informationszwecken und ersetzen keine rechtliche Beratung. Der rechtliche Text des CRA ist verbindlich und geht den hier genannten Erläuterungen vor.
Links/Hinweise
Verordnung CRA
IT Sicherheitskennzeichen
Cyber Resilience Guidance for Smart Consumer Devices
BSI Technische Richtlinie zur Umsetzung der CRA-Anforderungen