CRA – Cyber Resilience Act
Der Cyber Resilience Act (CRA) trat am 10. Dezember 2024 in Kraft und ist eine geplante EU-Verordnung, die erstmals einheitliche Anforderungen an die Cybersicherheit von digitalen Produkten und deren Software innerhalb der gesamten Europäischen Union einführt. Die meisten seiner Verpflichtungen – etwa CE-Kennzeichnungspflicht und technische Mindestanforderungen für Produkte mit digitalen Elementen – treten erst 36 Monate nach Inkrafttreten in Kraft, also am 11. Dezember 2027. Die Meldepflicht für Schwachstellen bzw. schwerwiegende Sicherheitsvorfälle wird 21 Monate nach Inkrafttreten aktiv – somit ab dem 11. September 2026. Ziel ist es, die wachsende Bedrohung durch Cyberangriffe einzudämmen und die Sicherheit digitaler Produkte „by design“ und „by default“ sicherzustellen – also bereits bei der Entwicklung und während des gesamten Produktlebenszyklus.
Betroffen sind praktisch alle „mit dem Internet verbundenen Produkte“ – von klassischen IT-Produkten wie Laptops, Smartphones und Betriebssystemen bis hin zu vernetzten Haushaltsgeräten, industriellen Steuerungssystemen und IoT-Anwendungen. Der CRA richtet sich in erster Linie an Hersteller, Importeure und Händler digitaler Produkte, gilt aber auch für Softwareanbieter und Entwickler von Betriebssystemen oder Firmware.
Im Zentrum der neuen Regelungen stehen konkrete Anforderungen an die Cybersicherheit, die Hersteller künftig verpflichtend erfüllen müssen. Dazu zählen unter anderem Maßnahmen zur Absicherung gegen bekannte Schwachstellen, zur sicheren Konfiguration von Geräten, zum Schutz personenbezogener Daten sowie zur Bereitstellung von Sicherheitsupdates – und das über einen definierten Zeitraum hinweg. Hersteller müssen zudem eine Risikobewertung durchführen, technische Unterlagen bereitstellen und ihre Produkte gegebenenfalls einer Konformitätsbewertung unterziehen.
Ein weiteres zentrales Element des Cyber Resilience Act ist die Meldepflicht für Sicherheitslücken und schwerwiegende Vorfälle. Hersteller müssen solche Ereignisse innerhalb von 24 Stunden an die zuständige europäische Cybersicherheitsbehörde (ENISA) melden. Damit soll eine bessere Reaktion auf Bedrohungen ermöglicht und die Transparenz im Umgang mit Sicherheitsrisiken erhöht werden.
Der CRA ergänzt bestehende Regelwerke wie die NIS-2-Richtlinie und die Datenschutz-Grundverordnung (DSGVO), richtet sich aber speziell an den Lebenszyklus von Produkten mit digitalen Elementen. Als EU-Verordnung wird er unmittelbar in allen Mitgliedstaaten gelten, ohne dass eine gesonderte Umsetzung in nationales Recht erforderlich ist.
Für Unternehmen bedeutet der Cyber Resilience Act eine weitreichende Verantwortung – sowohl in technischer Hinsicht als auch im Hinblick auf Produktentwicklung, Dokumentation und Supportprozesse. Verstöße gegen die Verordnung können mit empfindlichen Geldbußen geahndet werden – je nach Schwere und Art des Verstoßes sind Strafen von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes möglich.
Der Cyber Resilience Act ist ein bedeutender Schritt in Richtung eines sicheren digitalen Binnenmarktes und wird weitreichende Auswirkungen auf die Entwicklung und Vermarktung digitaler Produkte in Europa haben. Hersteller, Softwareentwickler und Händler sind gut beraten, sich frühzeitig mit den kommenden Anforderungen auseinanderzusetzen und ihre Prozesse entsprechend anzupassen.