Cyber Resilience Act: Leitfaden mit konkreten Maßnahmen zur Umsetzung für Unternehmen
Veröffentlicht: 6. Dezember 2024 von Hannah und René
Der Cyber Resilience Act (CRA) der Europäischen Union setzt seit Dezember 2024 neue Maßstäbe für den Schutz digitaler Produkte und hebt die Anforderungen für Unternehmen deutlich an. Doch was genau steckt hinter dem CRA, welche Fristen und Anforderungen gelten, und wie können Unternehmen sicherstellen, dass sie die Richtlinien erfüllen?
In diesem Artikel erhalten Sie eine umfassende Übersicht und konkrete Handlungsempfehlungen, mit denen Sie die Vorgaben effizient umsetzen können.
Was ist der Cyber Resilience Act?
Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die darauf abzielt, die Cybersicherheit von Produkten mit digitalen Elementen zu verbessern. Ziel ist es, Schwachstellen in solchen Produkten zu minimieren und den Schutz der Endnutzer zu erhöhen.
Zentrale Punkte des CRA:
- Produktsicherheit: Hersteller, Importeure und Händler von digitalen Produkten müssen sicherstellen, dass ihre Produkte über den gesamten Lebenszyklus hinweg sicher bleiben.
- Verpflichtung zu Updates: Unternehmen müssen Schwachstellen beheben und Sicherheitsupdates bereitstellen.
- Schutz der Verbraucher: Der CRA schützt Endnutzer vor Cyberangriffen, die durch unsichere Produkte entstehen können.
Die Verordnung ist Teil der EU-Initiative, digitale Resilienz auf dem Binnenmarkt zu fördern und die Ziele des europäischen Cybersecurity Acts und der NIS2-Richtlinie zu ergänzen.
Muss der CRA noch in nationales Recht umgesetzt werden?
Nein, da es sich um eine Verordnung handelt, gilt der CRA direkt und einheitlich in allen EU-Mitgliedstaaten. Dies unterscheidet ihn von der NIS2-Richtlinie, die in nationales Recht überführt werden muss.
Wer ist vom Cyber Resilience Act betroffen?
Die Verordnung betrifft eine breite Palette von Unternehmen, insbesondere solche, die Produkte mit digitalen Elementen herstellen, importieren oder vertreiben. Es wird dabei nicht zwischen KMU oder Großkonzernen unterschieden.
Unternehmen, die zu mindestens einer dieser Kategorien gehören, fallen unter den Cyber Resilience Act:
Hersteller, die Produkte mit digitalen Elementen entwickeln, herstellen oder unter eigenem Namen auf den Markt bringen.
CRA-Pflichten der Hersteller:
- Sicherheitsanforderungen erfüllen (z.B. Secure by design)
- Schwachstellenmanagement während des gesamten Produktlebenszyklus sicherstellen.
- CE-Kennzeichnung und EU-Konformitätserklärung erstellen.
Importeure, die innerhalb der EU die Produkte auf den europäischen Markt bringen, die außerhalb der EU hergestellt wurden.
CRA-Pflichten der Importeure:
- Sicherstellen, dass die Produkte den CRA-Anforderungen entsprechen
- Dokumente des Herstellers prüfen und archivieren.
- Bei Sicherheitslücken und Mängeln Korrekturmaßnahmen einleiten.
Händler, die Produkte vertreiben, ohne selbst an der Herstellung oder dem Import beteiligt zu sein.
CRA-Pflichten der Händler:
- Überprüfung, dass die Produkte mit einer CE-Kennzeichnung versehen sind.
- Sicherstellung, dass alle Konformitätsunterlagen vorliegen.
- Unterstützung bei Rückrufen oder Korrekturmaßnahmen.
Administratoren von Open-Source-Software, die diese kommerziell nutzen oder weiterentwickeln.
CRA-Pflichten der Administratoren von Open-Source-Software:
- Technische Dokumentationen bereitstellen.
- Sicherheitsanforderungen auf die spezifischen Softwareanwendungen anwenden.
Wann tritt der Cyber Resilience Act in Kraft und welche Fristen gelten?
11. Dezember 2024: Der Cyber Resilience Act tritt offiziell in Kraft. Dieses Datum markiert auch den Beginn der Übergangsfristen für die verschiedenen Anforderungen und Verpflichtungen, die betroffene Unternehmen erfüllen müssen.
11. Juni 2026: Kapitel IV (Benennung von Konformitätsbewertungsstellen) tritt in Kraft.
11. September 2026: Hersteller sind ab sofort in Rahmen von Artikel 14 (Meldepflicht der Hersteller) verpflichtet, die nationalen Behörden sowie die Europäische Agentur für Netz- und Informationssicherheit (ENISA) über aktiv ausgenutzte Sicherheitslücken in ihren Produkten zu informieren.
11. Dezember 2027: Die Umsetzungsfrist ist abgelaufen und der Cyber Resilience Act findet in vollem Umfang Anwendung.
Wie setzen Unternehmen die CRA um?
Der Cyber Resilience Act verlangt sowohl technische als auch organisatorische Maßnahmen, die im Folgenden entlang der sechs Kategorien definiert werden. Die Liste dient als Orientierung – quasi ein CRA-Fahrplan. Es handelt sich dabei um keine Rechtsberatung. Alle Angaben sind ohne Gewähr.
1. Sicherheitsmaßnahmen in der Produktentwicklung (Secure by design)
Entwickeln Sie Ihre Produkte so, dass alle Sicherheitsaspekte von Beginn an integriert sind:
- Führen Sie Threat-Modelling-Analysen in der Designphase durch, um potenzielle Angriffspunkte zu identifizieren und zu minimieren.
- Implementieren Sie sichere Kodierungsrichtlinien (z.B. OWASP Secure Coding Practises)
Beispiel: Ein Softwarehersteller könnte automatische Tests in den Build-Prozess integrieren, um Sicherheitslücken direkt beim Kompilieren zu erkennen.
2. Schwachstellenmanagement und Penetrationstests
Führen Sie regelmäßige Scans und Tests durch, um Schwachstellen in Systemen und Produkten zu identifizieren und zu beheben:
- Web Application Security Tests: Für Open-Source-Software oder cloudbasierte Anwendungen sinnvoll, um Schwächen in Webschnittstellen zu erkennen.
- Infrastruktur-Penetrationstests: Testen Sie die gesamte IT-Infrastrukturen, insbesondere bei IoT-Systemen und Netzwerken.
- Schwachstellenscans und Cyber Security Checks: Diese sollten ergänzend zu Penetrationstests in regelmäßigen Abständen erfolgen, um schnell auf neue Bedrohungen reagieren zu können.
Bespiel: Ein Hersteller von IoT-Geräten könnte mit wöchentlichen Schwachstellenscans und halbjährlichen Penetrationstests Sicherheitsrisiken frühzeitig erkennen und beheben.
3. Sicherheitsupdates und Patch-Management
Stellen Sie sicher, dass alle Schwachstellen eines Produktes zeitnah durch Updates geschlossen werden:
- Automatisierte Patch-Systeme einrichten, die Updates zuverlässig ausrollen.
- Mechanismen zur digitalen Signatur von Updates implementieren, um deren Integrität sicherzustellen.
Beispiel: Ein Händler, der Produkte mit Sicherheitssoftware vertreibt, kann eine zentrale Update-Plattform bereitstellen, die Sicherheitsupdates validiert und ausrollt.
4. Dokumentation und Konformitätsnachweise
Stellen Sie sicher, dass Ihre hergestellten, importierten oder vertriebenen Produkte inklusive Supply Chain den CRA-Anforderungen entsprechen. Führen Sie hierzu entsprechend regelmäßig Audits durch:
- Lieferantenaudit: Importeur und Händler sollten die Lieferketten überprüfen, um CRA-konform zu sein und entsprechende Nachweise erbringen zu können.
- Produktionsaudit (internes Audit): Hersteller sollten die Prozesse der Produktentwicklung regelmäßig überprüfen, um Manipulationen oder Schwachstellen auszuschließen
Beispiel: Ein Importeur von IT-Produkten könnte regelmäßig prüfen, ob Hersteller die CRA-Anforderungen einhalten, bevor die Ware in den EU-Markt gelangt.
5. Schwachstellenmeldungen und Vorfallmanagement
Entwickeln Sie ein strukturiertes System zur Meldung und Behandlung von Schwachstellen und Sicherheitsvorfällen:
- Implementieren Sie Meldekanäle, die die Anforderungen der ENISA entsprechen.
- Nutzen Sie ein Incident Response System, um Angriffe zu dokumentieren und nationale Behörden sowie die ENISA schnell zu informieren.
- Ergänzen Sie ein IT-Security-Handbuch, welches Meldeverfahren, Reaktionszeiten und Verantwortlichkeiten detailliert beschreibt.
Beispiel: Ein Softwarehersteller kann ein automatisiertes Ticketsystem einrichten, welches Sicherheitsvorfälle direkt an ein Incident Response Team weiterleitet.
6. Sicherheitsprüfung und Zertifizierung
Lassen Sie Ihre Produkte durch eine unabhängige Prüforganisation zertifizieren. Achten Sie als Händler oder Importeur darauf, dass die korrekte CE-Kennzeichnung vorhanden ist, um CRA-konform zu sein.
ISO 27001 versus Cyber Resilience Act – was ist abgedeckt und was nicht?
Die ISO 27001-Zertifizierung ist ein international anerkannter Standard für Informationssicherheitsmanagement. Unternehmen, die nach ISO 27001 zertifiziert sind, erfüllen bereits viele der Sicherheitsanforderungen im Bereich der Risikoanalyse und des Sicherheitsmanagements des CRA. Unternehmen mit einem etablierten ISMS (Informationssicherheitsmanagementsystem) können CRA-Anforderungen einfacher in ihre Prozesse integrieren.
Die ISO 27001 ist jedoch allgemeiner gehalten und konzentriert sich auf Informationssicherheitsprozesse, während der CRA spezifische technische Anforderungen für Produkte definiert.
Wer ISO 27001-zertifiziert ist, erfüllt nicht automatisch alle Anforderungen des Cyber Resilience Acts.
Welche Strafen drohen bei Missachtung des CRA?
Unternehmen, die die Anforderungen des Cyber Resilience Acts nicht erfüllen, riskieren hohe Bußgelder bis zu 15 Millionen Euro oder 2,5% ihres weltweiten Jahresumsatzes. Zusätzlich kann es zu Schadensersatzforderungen bei Sicherheitsvorfällen kommen.
Wirtschaftliche Konsequenzen in nicht näher bezifferbarer Höhe ergeben sich zudem aus möglichen Reputationsschäden bei bekannt gewordenen Sicherheitsvorfällen, sowie Missachtung der gesetzlichen Vorschriften.
Cyber Resilience Act: Darum sollten Sie jetzt handeln
Der Cyber Resilience Act findet zwar erst am 11. Dezember 2027 Anwendung. Es ist jedoch dennoch ratsam, schon jetzt mit der Umsetzung zu beginnen.
Zahlreiche Maßnahmen benötigen Vorlaufzeit für die Implementierung (beispielsweise Incident Response Prozesse oder die Umstellung auf eine Secure by design-Entwicklung der Produkte). Diese Zeit fehlt Ihnen, sollten Sie die Umsetzung aufschieben und Sie riskieren hohe Strafzahlungen.
Des Weiteren treten einige Anforderungen des CRA bereits früher in Kraft (bspw. Meldepflicht für Hersteller, Artikel 14). Hier müssen Sie ohnehin eher tätig werden. Benötigen Sie zudem einen externen Dienstleister für die Umsetzung der CRA-Maßnahmen, könnten diese 2027 bereits ausgebucht sein.
Sprechen Sie daher schon heute mit den Verantwortlichen in Ihrem Unternehmen, prüfen Sie genau, welche Maßnahmen umgesetzt werden müssen und ziehen Sie frühzeitig einen externen Dienstleister hinzu, um am 11. Dezember 2027 CRA-sicher zu sein.
Starten Sie Ihre CRA-Umsetzung schon heute mit Admijalo. Lassen Sie uns ins Gespräch kommen →