Cyber Resilience Act (CRA) – Cybersicherheit für digitale Produkte

Verordnung (EU) 2024/2847 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (Cyber Resilience Act)

In Kraft Gültig ab: 10.12.2024 EU-weit EU-Verordnung

Überblick

Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die erstmals verbindliche Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen festlegt. Hersteller müssen Sicherheit über den gesamten Produktlebenszyklus gewährleisten – von der Entwicklung bis zum Ende des Supports.

Wer ist betroffen?

Der CRA betrifft die gesamte Lieferkette digitaler Produkte:

  • Hersteller von Hardware und Software mit digitalen Komponenten
  • Importeure, die solche Produkte in der EU in Verkehr bringen
  • Händler und Distributoren
  • Open-Source-Software-Verwalter (unter bestimmten Bedingungen)

Ausgenommen sind Produkte, die bereits unter sektorale Regulierungen fallen (z.B. Medizinprodukte, Luftfahrt, Kfz).

Kernpflichten

  1. Security by Design: Cybersicherheit muss ab der Entwurfsphase berücksichtigt werden
  2. Schwachstellenmanagement: Prozess zur Identifikation und Behebung von Schwachstellen über die gesamte Produktlebensdauer
  3. Sicherheitsupdates: Kostenlose Sicherheitsupdates für mindestens 5 Jahre
  4. Meldepflichten: Aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden an die ENISA melden
  5. Software Bill of Materials (SBOM): Dokumentation aller Softwarekomponenten
  6. CE-Kennzeichnung: Nachweis der Konformität mit Cybersicherheitsanforderungen

Nationale Umsetzung

Als EU-Verordnung gilt der CRA direkt und bedarf keiner nationalen Umsetzung:

  • Deutschland: BSI als zuständige Marktüberwachungsbehörde
  • Österreich: Zuständige Behörden werden bestimmt
  • Schweiz: Nicht direkt betroffen, aber relevant für Exporte in den EU-Markt

Rechtsquellen

CRA: Sind Sie betroffen?

Erfahren Sie, ob und wie diese Regulierung Ihr Unternehmen betrifft – wir beraten Sie gerne.

Häufige Fragen

Wer ist vom Cyber Resilience Act betroffen?

Alle Hersteller, Importeure und Händler von Produkten mit digitalen Elementen, die auf dem EU-Markt bereitgestellt werden – von IoT-Geräten über Software bis hin zu industriellen Steuerungssystemen.

Ab wann gilt der CRA?

Der CRA ist am 10. Dezember 2024 in Kraft getreten. Die meisten Pflichten gelten ab dem 11. September 2026, Meldepflichten für Schwachstellen bereits ab dem 11. September 2025.

Was sind die wichtigsten Pflichten unter dem CRA?

Security by Design, Schwachstellenmanagement über den gesamten Produktlebenszyklus, Sicherheitsupdates, Meldung aktiv ausgenutzter Schwachstellen innerhalb von 24 Stunden an die ENISA und CE-Kennzeichnung für Cybersicherheit.