Der Cyber Resi­li­ence Act: Inhalt und prak­ti­sche Umsetzung

Mit dem Cyber Resi­li­ence Act (CRA) wer­den die Anfor­de­run­gen an die Cyber­si­cher­heit für zahl­rei­che Pro­duk­te deut­lich ver­schärft. Ziel des CRA ist die Schaf­fung eines ein­heit­li­chen Sicher­heits­stan­dards für Pro­duk­te mit digi­ta­len Ele­men­ten auf dem Euro­päi­schen Markt. Die Ver­ord­nung soll ab dem Jahr 2027 unmit­tel­bar in allen EU-Mitgliedstaaten gel­ten. In die­sem Bei­trag erläu­tern wir Ihnen, was der CRA für Unter­neh­men bedeu­tet, und geben Ihnen Tipps zur Umsetzung.

Für wen ist der CRA relevant?

Betrof­fen sind Her­stel­ler, Ein­füh­rer und Händ­ler von Pro­duk­ten mit digi­ta­len Ele­men­ten. Der Begriff des Pro­dukts mit digi­ta­len Ele­men­ten ist weit zu ver­ste­hen und umfasst Software- oder Hard­ware­pro­duk­te ein­schließ­lich deren Backendsys­te­me. Dazu gehö­ren u.a.: Ver­netz­te Maschi­nen, IoT-Geräte, Apps, Weara­bles, Soft­ware und Com­pu­ter­spie­le, Fest­plat­ten, Fire­walls, Passwort-Manager, Mikro­pro­zes­so­ren mit sicher­heits­re­le­van­ten Funk­tio­nen, uvm. Nur eini­ge weni­ge Pro­dukt­ar­ten sind vom CRA ausgenommen.

Wor­auf müs­sen sich Unter­neh­men vorbereiten?

Der CRA ver­pflich­tet Her­stel­ler von Pro­duk­ten mit digi­ta­len Ele­men­ten, bestimm­te Anfor­de­run­gen an die Cyber­si­cher­heit und das Schwach­stel­len­ma­nage­ment zu erfüllen:

  • Risi­ko­be­wer­tung und ‑beherr­schung: Her­stel­ler müs­sen Pro­duk­te mit digi­ta­len Ele­men­ten so kon­zi­pie­ren und ent­wi­ckeln, dass wäh­rend des gesam­ten Pro­dukt­le­bens­zy­klus ein ange­mes­se­nes Cyber­si­cher­heits­ni­veau gewähr­leis­tet ist. Auf der Grund­la­ge einer Bewer­tung der Cyber­si­cher­heits­ri­si­ken müs­sen zahl­rei­che Maß­nah­men ergrif­fen wer­den. Unter ande­rem dür­fen die erfass­ten Pro­duk­te nur mit einer siche­ren Stan­dard­kon­fi­gu­ra­ti­on und ohne bekann­te aus­nutz­ba­re Schwach­stel­len auf den Markt gebracht werden.
  • Schwach­stel­len­ma­nage­ment und Pro­dukt­über­wa­chung: Her­stel­ler von Pro­duk­ten mit digi­ta­len Ele­men­ten müs­sen außer­dem weit­rei­chen­de Anfor­de­run­gen an die Behand­lung von Schwach­stel­len erfül­len. Aus­ge­hend von einer fort­lau­fen­den Über­wa­chung der Pro­duk­te müs­sen Her­stel­ler bekannt gewor­de­ne Schwach­stel­len durch kos­ten­lo­se Sicher­heits­up­dates beseitigen.
  • Mel­de­pflich­ten und Doku­men­ta­ti­on: Aktiv aus­ge­nutz­te Schwach­stel­len sind der Auf­sichts­be­hör­de zu mel­den. Die Risi­ko­be­wer­tung sowie alle getrof­fe­nen Abhil­fe­maß­nah­men müs­sen sorg­fäl­tig doku­men­tiert werden.
  • Cyber­si­cher­heit in der Lie­fer­ket­te: Die Cyber­si­cher­heit muss auch in der Lie­fer­ket­te gewähr­leis­tet wer­den. Zur Ein­hal­tung des CRA sind in der Regel umfang­rei­che Anpas­sun­gen an Ver­trä­ge mit Zulie­fe­rern und Dienst­leis­tern erforderlich.

Für Ein­füh­rer und Händ­ler gel­ten abge­stuf­te Pflichten.

Was droht bei Verstößen?

Die Markt­über­wa­chungs­be­hör­den ver­fü­gen über weit­rei­chen­de Untersuchungs‑, Abhilfe- und Sank­ti­ons­be­fug­nis­se. Bei Ver­stö­ßen gegen den CRA dro­hen unter ande­rem Pro­dukt­war­nun­gen und Buß­gel­der bis zu 15 Mil­lio­nen Euro oder 2,5 Pro­zent des welt­wei­ten Jahresumsatzes.

Was soll­ten Unter­neh­men jetzt tun?

Der CRA wird im Jahr 2027 unmit­tel­bar in allen EU-Mitgliedstaaten gel­ten. Mit Blick auf die viel­fäl­ti­gen und kom­ple­xen Anfor­de­run­gen sowie die not­wen­di­ge Vor­be­rei­tung in der Pro­dukt­ent­wick­lung soll­ten Unter­neh­men jedoch umge­hend prü­fen, ob ihre Pro­duk­te von den Anfor­de­run­gen des CRA betrof­fen sind und klä­ren, wel­che Rol­le (Her­stel­ler, Ein­füh­rer oder Händ­ler) sie bezüg­lich der jewei­li­gen Pro­duk­te ein­neh­men. In einer Gap-Analyse ist sodann zu prü­fen, wel­che Vor­ga­ben in Bezug auf das Pro­dukt bereits erfüllt sind und wel­che noch umge­setzt wer­den müs­sen. Zudem ist es rat­sam, die Ver­trä­ge inner­halb der Lie­fer­ket­te zu über­prü­fen und an die neu­en Vor­ga­ben anzupassen.

Wei­ter­füh­ren­de Informationen

  • Unser One­pager gibt einen kom­pak­ten Über­blick über die wesent­li­chen Infor­ma­tio­nen zum Cyber Resi­li­ence Act und erläu­tert unse­re Unterstützungsleistungen.
  • CRA Quick-Check: Mit unse­rem kos­ten­lo­sen Quick-Check kön­nen Sie ein­fach und unver­bind­lich die Betrof­fen­heit Ihrer Pro­duk­te überprüfen.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.