2020 ebnet die Europäische Union den Weg für den Cyber Resilience Act (CRA) mit der Veröffentlichung der EU-Cybersicherheitsstrategie und reagiert damit auf eine zunehmende Digitalisierung aller Lebensbereiche und steigenden Bedrohungen im Bereich Cybersicherheit. 4 Jahre später ist es so weit: Im Dezember 2024 tritt der CRA innerhalb der EU in Kraft und betrifft sowohl Hersteller als auch Händler und Importeure von Produkten mit digitalen Komponenten. Damit ist der CRA relevant für nahezu alle Unternehmen, die Hard- oder Softwareprodukte in der EU auf den Markt bringen – vom IoT-Gerät bis zur industriellen Steuerung, vom Laptop bis zum Babyphone – und das ganz unabhängig von der Größe des Unternehmens: Egal ob Start-up, KMU oder Großunternehmen. Grob geschätzt sind das allein in Deutschland mehrere zehntausend (!) Unternehmen.

Warum der CRA umgesetzt werden sollte

Eine rigorose Umsetzung des CRA ist aber nicht nur wegen etwaigen Strafzahlungen ratsam, sondern auch vor allem deshalb erforderlich, weil es ohne die Einhaltung kein CE-Label mehr gibt. Dieses ist Voraussetzung für den Vertrieb von digitalen Produkten in der EU. Für den CRA finden dieselben Anforderungen Anwendung, egal ob eine Einstufung als allgemeines, wichtiges oder kritisches Produkt erfolgt. Allerdings gelten für „wichtige“ Produkte wie Betriebssysteme, Passwort-Manager, Netzwerkgeräte wie Firewalls oder Switches sowie Cloud-Dienste für KMU höhere Anforderungen an die Konformitätsbewertung für das CE-Label. Kritische Produkte müssen im Gegensatz zu allgemeinen und wichtigen Produkten gar zwingend von einer unabhängigen notifizierten Stelle geprüft werden. Um als kritisches Produkt eingestuft zu werden, muss das Produkt schwerwiegende Auswirkungen auf kritische Lieferketten haben und Sicherheitsvorfälle zu erheblichen Störungen kritischer Lieferketten führen.

Nationale oder internationale Regulierungen der Cybersicherheit von Unternehmen oder Produkten, die bereits in Kraft getreten sind, bleiben weiterhin gültig und sind vom CRA unberührt. Das Ziel des CRA ist es nicht den Regulierungs-Jungle für Unternehmen noch undurchdringlicher zu machen – im Gegenteil: Der CRA bildet das Dach, indem er alle Produkte reguliert, die bisher nicht von Cybersecurity-Regularien betroffen waren. So fallen nun auch etwa Zulieferer wie z. B. Automobilkomponenten mit digitaler Schnittstelle unter den CRA, die vorher nicht direkt von der Regulierung der Automobilindustrie (UN 155) betroffen waren. Das heißt endlich gelingt ein umfassender, ganzheitlicher Regulierungsansatz in Puncto Cybersicherheit, der sowohl Hersteller, Händler und Importeure gleichermaßen betrifft. Der Import unregulierter, „unsicherer“ Produkte von außerhalb der EU ist nicht mehr möglich. Aus Perspektive der Verbraucher*innen sind das gute Nachrichten. Aus Sicht der betroffenen Unternehmen dürfte sich allerdings wohl zunächst Unsicherheit breit machen.

Wie kann der CRA umgesetzt werden?

In den letzten Monaten war unser aller LinkedIn Timeline zwar voll mit Beiträgen, Webinaren & Angeboten rund um den CRA. Doch trotz dieser Nachrichtenflut scheint es, als wüsste kaum jemand, was Unternehmen jetzt konkret tun müssen, um die Regulierung zu erfüllen und Strafzahlungen vorzubeugen.

Eine Annäherung an die Umsetzung des CRA lässt sich aus unserer Sicht am besten über den klassischen – sehr vereinfachten – Security Engineering Process (SEP)  nachvollziehen (siehe Schaubild). Dabei wird deutlich: der CRA ist in doppelter Hinsicht umfassend. Zum einen hinsichtlich der Wirksamkeit über Branchen, Unternehmensgrößen und Landesgrenzen hinweg. Zum anderen hinsichtlich des Lebenszyklus eines Produktes: von dem Design inkl. Konzeption und Risikoanalyse, über die Spezifikation und Implementierung bis hin zum Testen. Über den SEP hinaus wird im CRA aber auch die Inbetriebnahme, Updates sowie die Einstellung von Produkten adressiert. Gemäß dem Credo „Security by Design“ erzwingt der CRA die Berücksichtigung von Security fortan in allen Phasen und ermöglicht so einen holistischen Ansatz.

Schaubild 1: Security Engineering Process (SEP)

Das wichtigste Fundament bildet dabei im ersten Schritt das Risikomanagement: Ziel ist hierbei die systematische Erkennung, Bewertung und Kontrolle von Risiken während der gesamten Produktlebensdauer zu erzielen; klassischerweise eignet sich dafür eine Threat Analysis and Risk Assessment (TARA) (Anhang I Teil 1 (1)). Durch die strukturierte Risikoanalyse entsteht eine Entscheidungsgrundlage, welche Maßnahmen erforderlich sind und wie diese priorisiert werden sollten. Wichtig ist, dass die Risikoanalyse konkrete Angriffspfade identifiziert und die Auswirkungen der Gegenmaßnahmen auf das Risiko sichtbar macht.

Im zweiten Schritt können diese dann in der Implementierung durch Einhaltung des SEP (Anhang I Teil 1 (2) e & f) direkt implementiert werden. Der CRA fordert ein umfassendes Schwachstellenmanagement (Vulnerability Management) (Anhang I Teil 1 (2) a). Um diese Anforderung erfüllen zu können, ist die Erstellung und das Pflegen einer Software Bill of Materials (SBOM) unvermeidbar, diese listet alle eingesetzten Komponenten und Abhängigkeiten und dient der Transparenz – vor allem, wenn viele Opensource Komponenten verwendet wurden. Die SBOM erleichtert damit die Identifizierung und Behebung von Schwachstellen ungemein und stärkt die Sicherheit in der Software-Lieferkette. Ein umfassendes Testing – nicht nur der Funktionalität, sondern auch hinsichtlich Security-Komponenten – legt Schwachstellen offen und wird im CRA gefordert (Anhang I Teil 2 (3)).

Ferner adressiert der CRA Updates, d. h. Sicherheitsupdates müssen unverzüglich und kostenlos bereitgestellt werden (Anhang I Teil 2 (8)).

Abschließend wird sogar der „End-of-Life-Process“ (Anhang I Teil 1 (2) m) eines Produktes thematisiert: Sprich eine dauerhafte und sichere Löschung von Daten und Einstellungen, sowie (sofern möglich) deren sichere Übertragung wird verpflichtend (Anhang I Teil 1 (2) m).

Konkrete(re) Zusatzverordnungen und Leitlinien von der EU-Kommission, sowie eine Harmonisierung der Normen sind zwar geplant, werden aber wohl noch unbestimmte Zeit auf sich warten lassen. Wer auf deutlichere Regeln hofft, sollte nicht warten, denn wer zu lange zögert, riskiert Verkaufsverbote in der EU – weil die Fristen auch ohne allzu konkrete Vorgaben (und Hilfestellungen) unberührt bleiben:

• 11. Juni 2026: Die Konformitätsbewertungsstellen (KBS) (Artikel 35 – 51) sind ermächtigt, die Konformität von Produkten nach den Anforderungen des CRA zu bewerten (Artikel 72 (2)).

• 11. September 2026: Die Hersteller von vernetzten Produkten unterliegen der Meldepflicht (Artikel 14) für Schwachstellen und Vorfälle (Artikel 72 (2)). Daher muss zu diesem Zeitpunkt ein Schwachstellenmanagement etabliert sein, ansonsten sind die Meldefristen nicht einhaltbar.

• 11. Dezember 2027: Alle CRA-Anforderungen sind voll anwendbar (Artikel 72 (2)).

Der erste Schritt in Richtung CRA-Konformität

Der erste Schritt könnte eine Gap-Analyse sein: hier wird der Ist- und Soll-Stand systematisch erhoben und gegenübergestellt. Diese bildet die Grundlage für den Umsetzungsplan und zeigt die größten Abweichungen deutlich auf.  Unser Tipp: Gehen Sie das Thema systematisch und strukturiert mit einem erfahrenen Partner an und planen Sie genügend Zeit für die Umsetzung ein.

Haben Sie Fragen zu dem Thema oder benötigen Hilfe bei der Umsetzung des CRA? Melden Sie sich bei uns: Friederike Schneider, Cybersecurity Expert & Manager, friederike.schneider@carbyte.de

Weitere Informationen finden Sie hier: