Der Cyber Resilience Act (CRA): Neue Anforderungen an die IT-Sicherheit von Produkten

Gerechtigkeit, Gesetz, Hexagon — Bild von Gerd Altmann auf Pixabay

Mit dem Cyber Resilience Act (CRA) schafft die Europäische Union einen einheitlichen Rechtsrahmen zur Stärkung der Cybersicherheit von Produkten mit digitalen Elementen. Ziel der Verordnung ist es, Sicherheitsanforderungen über den gesamten Lebenszyklus dieser Produkte hinweg verbindlich festzulegen und so das Risiko von Cyberangriffen systematisch zu reduzieren. Für Unternehmen bedeutet dies neue Compliance-Pflichten, insbesondere im Zusammenhang mit der Entwicklung, Herstellung, dem Import und der Bereitstellung entsprechender Produkte auf dem Unionsmarkt.

Der CRA richtet sich in erster Linie an Hersteller, Importeure und Händler von Produkten mit digitalen Elementen, etwa Softwarelösungen, vernetzte Geräte (IoT) oder industrielle Steuerungssysteme. Erfasst werden sowohl eigenständige Softwareprodukte als auch Hardware mit eingebetteter Software. Unternehmen, die solche Produkte entwickeln oder vertreiben, müssen künftig sicherstellen, dass die grundlegenden Cybersicherheitsanforderungen der Verordnung eingehalten werden. Dazu zählen unter anderem sichere Voreinstellungen („Secure by Default“), die Berücksichtigung von Sicherheitsaspekten bereits während der Entwicklung („Security by Design“), die Bereitstellung von Sicherheitsupdates sowie die Dokumentation relevanter Sicherheitsmaßnahmen.

Ein zentraler Bestandteil des CRA ist die Verpflichtung zum Risikomanagement über den gesamten Produktlebenszyklus. Hersteller müssen potenzielle Sicherheitsrisiken identifizieren, bewerten und geeignete Maßnahmen zu deren Minimierung implementieren. Darüber hinaus sind aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle innerhalb der gesetzlich vorgegebenen Fristen an die zuständigen Stellen zu melden. Zudem sind Schwachstellen kontinuierlich zu überwachen und im Rahmen eines geregelten Schwachstellenmanagements zu behandeln.

Auch die Transparenzanforderungen werden deutlich erhöht. Unternehmen sind künftig verpflichtet, Informationen zur sicheren Nutzung ihrer Produkte bereitzustellen. Dazu gehören beispielsweise Hinweise zur sicheren Konfiguration, Informationen über verfügbare Sicherheitsupdates sowie Angaben zu Kontaktstellen für die Meldung von Schwachstellen. Dies dient nicht nur dem Schutz der Nutzer, sondern erhöht zugleich die Nachvollziehbarkeit und Prüfbarkeit im Rahmen von Audits.

Für Unternehmen mit bestehenden Managementsystemen – etwa nach DIN EN ISO 27001, DIN EN ISO 9001 oder anderen Managementsystemnormen – ergeben sich durch den CRA zahlreiche Anknüpfungspunkte. Bestehende Prozesse im Bereich Informationssicherheit, Risikomanagement, Dokumentation und Lieferantenbewertung können genutzt und gezielt erweitert werden. Insbesondere die Integration von Sicherheitsanforderungen in Entwicklungsprozesse sowie die strukturierte Behandlung von Sicherheitsvorfällen lassen sich häufig auf vorhandene Strukturen aufsetzen.

Auch wenn nicht alle Unternehmen unmittelbar als Hersteller, Importeure oder Händler im Sinne des CRA betroffen sind, kann die Verordnung mittelbare Auswirkungen haben. So werden beispielsweise die Anforderungen an Zulieferer steigen, und auch Betreiber digitaler Produkte werden verstärkt auf die Cybersicherheit der eingesetzten Systeme achten müssen. Eine frühzeitige Analyse der eigenen Rolle in der Liefer- und Wertschöpfungskette ist daher empfehlenswert.

Die Verordnung ist am 10. Dezember 2024 in Kraft getreten. Die meisten Anforderungen werden jedoch erst ab dem 11. Dezember 2027 verbindlich anwendbar. Unternehmen sollten die verbleibende Zeit nutzen, um ihre Produkte, Prozesse und Verantwortlichkeiten auf die neuen Anforderungen auszurichten.

Der Cyber Resilience Act unterstreicht die wachsende Bedeutung von Cybersicherheit als eigenständige regulatorische Anforderung und als wesentlichen Bestandteil eines wirksamen Compliance- und Risikomanagements. Unternehmen sollten die neuen Anforderungen frühzeitig prüfen und geeignete Maßnahmen ergreifen, um Risiken zu minimieren und ihre Wettbewerbsfähigkeit in einem zunehmend sicherheitsorientierten Marktumfeld zu stärken.