01Was der CRA ist
Die Cyberresilienz-Verordnung ist das erste EU-weite Gesetz, das verbindliche Cybersicherheitsanforderungen festlegt für Produkte mit digitalen Elementen; Hardware und Software; über ihren gesamten Lebenszyklus. Sie verlagert die Verantwortung für die Sicherheit auf die Organisationen, die diese Produkte in Verkehr bringen, anstatt sie den Nutzern zu überlassen. Art. 1
In der Praxis darf ein Produkt nur dann auf dem EU-Markt bereitgestellt werden, wenn es die in Anhang I festgelegten grundlegenden Anforderungen erfüllt und der Hersteller die damit verbundenen Pflichten erfüllt hat. Die Konformität wird durch die CE-Kennzeichnung.
Wenn Ihr Produkt digitale Elemente enthält und auf den EU-Markt gelangt, muss es nach einem definierten Cybersicherheitsstandard konzipiert, gebaut und gewartet werden; und Sie müssen dies nachweisen können.
02Für wen sie gilt
Die Verordnung erfasst Produkte mit digitalen Elementen, deren bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte Datenverbindung umfasst. Die Pflichten verteilen sich entlang der Lieferkette: Art. 13–28
- Hersteller; tragen die wesentlichen Pflichten: Konstruktion, Dokumentation, Konformitätsbewertung und Schwachstellenbehandlung.
- Einführer; dürfen nur konforme Produkte in Verkehr bringen und müssen überprüfen, ob die Pflichten des Herstellers erfüllt wurden.
- Händler; müssen mit der gebotenen Sorgfalt handeln und prüfen, ob die CE-Kennzeichnung und die Dokumentation vorhanden sind.
Produkte, die bereits sektorspezifischen Vorschriften unterliegen; etwa Medizinprodukte, Kraftfahrzeuge und die zivile Luftfahrt; sind ausgenommen, ebenso wie nicht kommerzielle Open-Source-Komponenten.
03Produktklassen
Der erforderliche Konformitätsweg hängt davon ab, wie kritisch das Produkt ist. Die meisten Produkte führen eine interne Kontrolle durch; die in den Anhängen aufgeführten Kategorien mit höherem Risiko unterliegen strengeren Verfahren. Art. 6–7 · Annex III–IV
| Klasse | Beispiele | Konformitätsweg |
|---|---|---|
| Standard | Die Mehrheit der Produkte mit digitalen Elementen | Selbstbewertung |
| Wichtig; I | Passwortmanager, Netzwerkmanagement, VPNs | Normen oder Drittbewertung |
| Wichtig; II | Betriebssysteme, Firewalls, Mikroprozessoren | Bewertung durch Dritte |
| Kritisch | Intelligente Messgeräte, Chipkarten, Sicherheitselemente | Verpflichtende Zertifizierung |
04Wesentliche Pflichten
Die grundlegenden Anforderungen in Anhang I teilen sich in zwei Gruppen; Eigenschaften, die das Produkt aufweisen muss, und Prozesse, die der Hersteller betreiben muss. Anhang I
- Sicher durch Design und Voreinstellung; ausgeliefert mit einer sicheren Konfiguration und einer minimierten Angriffsfläche.
- Keine bekannten ausnutzbaren Schwachstellen; ausgeliefert ohne bekannte ausnutzbare Schwachstellen.
- Schwachstellenbehandlung; ein Verfahren, um Probleme zu erkennen, zu dokumentieren, zu beheben und offenzulegen.
- Sicherheitsupdates; kostenlose, zeitnahe Updates während des gesamten festgelegten Unterstützungszeitraums.
- Software-Stückliste (SBOM); pflegen eine SBOM, die die Komponenten des Produkts abdeckt.
- Meldung; melden aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle an die ENISA und das zuständige CSIRT, mit einer Frühwarnung innerhalb von 24 Stunden.
05Zeitplan und Sanktionen
Die Verordnung ist bereits in Kraft; ihre Pflichten treten in den folgenden Jahren schrittweise in Kraft. Art. 71
- Okt. 2024Angenommen und in Kraft gesetzt.
- Dez. 2024In Kraft getreten.
- Sep. 2026Meldepflichten gelten (21 Monate nach Inkrafttreten).
- Dez. 2027Vollständige Anwendung; die meisten Bestimmungen gelten (36 Monate).
Verstöße gegen die grundlegenden Anforderungen können mit Geldbußen von bis zu €15 Millionen oder 2,5 % des gesamten weltweiten Jahresumsatzes geahndet werden, je nachdem, welcher Betrag höher ist.
06Wie es weitergeht
Klären Sie zunächst, ob die Verordnung auf Ihr Produkt anwendbar ist, und folgen Sie anschließend dem für Ihre Rolle verfassten Leitfaden.