Der Cyber Resilience Act (CRA) ist eine Verordnung der Europäischen Union, die das Ziel verfolgt, einheitliche Cybersicherheitsstandards für vernetzte Produkte innerhalb der EU zu etablieren. Der CRA gilt als unmittelbar geltendes EU-Recht, das keiner nationalen Umsetzung bedarf. Er richtet sich gleichermaßen an Hersteller, Händler und Betreiber digitaler Produkte und schafft somit einen umfassenden Rechtsrahmen.
Das Hauptziel des CRA besteht darin, die Cybersicherheit von Produkten mit digitalen Komponenten signifikant zu verbessern. Damit sollen sowohl Verbraucher als auch Unternehmen vor den Risiken geschützt werden, die durch unzureichende Sicherheitsmaßnahmen entstehen können. Die Verordnung legt verbindliche Anforderungen fest, die den gesamten Lebenszyklus dieser Produkte umfassen – von der Planung und Entwicklung über die Wartung bis hin zur Außerbetriebnahme.
Die Verordnung trat am 10. Dezember 2024 in Kraft, wobei die wichtigsten Verpflichtungen ab dem 11. Dezember 2027 gelten. Ab diesem Zeitpunkt wird die CE-Kennzeichnung für konforme Produkte verpflichtend, und Hersteller müssen fortlaufende Sicherheitsupdates bereitstellen.
Der CRA ist nicht isoliert zu betrachten, sondern ergänzt bestehende Regelwerke wie die NIS2-Richtlinie. Er stellt einen wichtigen Baustein der EU-Strategie für eine sichere digitale Zukunft dar. Mit dieser Verordnung werden umfassende Cybersicherheitsstandards im europäischen digitalen Markt etabliert, die weit über bestehende Regelungen hinausgehen.
Anwendungsbereich
Sachlicher Anwendungsbereich
Der CRA gilt für eine breite Palette von Produkten mit digitalen Elementen, wie in Artikel 3, Ziffer 1 des CRA definiert. Dies umfasst sowohl Hardware als auch Software und digitale Komponenten, sofern diese für wesentliche Produktfunktionen erforderlich sind (Artikel 3, Ziffer 2 CRA). Konkrete Beispiele hierfür sind:
Hardware mit Netzwerkfunktionen: Smartphones, Laptops und Smart-Home-Geräte fallen unter diese Kategorie, da sie über Netzwerkschnittstellen verfügen und somit potenziell anfällig für Cyberangriffe sind.
Softwareprodukte: Mobile Apps, Computerspiele und Buchhaltungssoftware sind ebenfalls betroffen, da sie digitale Elemente enthalten und Sicherheitsrisiken bergen können.
Digitale Komponenten: Mikroprozessoren und Firewalls sind Beispiele für digitale Komponenten, die in andere Produkte integriert werden und deren Sicherheit gewährleisten müssen.
Open-Source-Software ist nur dann ausgenommen, wenn sie nicht-kommerziell genutzt wird. Hersteller tragen die Verantwortung für die Sicherheit integrierter Drittkomponenten, einschließlich Open-Source-Bestandteilen (Artikel 13, Absatz 5 CRA). Dies stellt eine erhebliche Erweiterung der bisherigen Verantwortlichkeiten dar.
Reine SaaS-Lösungen (Software as a Service) sind vom CRA ausgenommen, es sei denn, sie dienen als funktionaler Bestandteil eines Produkts mit digitalen Elementen. Diese Abgrenzung ist wichtig, um den Anwendungsbereich des CRA klar zu definieren.
Räumlicher Anwendungsbereich
Der CRA betrifft alle Produkte mit digitalen Elementen, die im EU-Binnenmarkt in Verkehr gebracht werden. Dabei spielt das Herstellungsland keine Rolle (Artikel 2, Absatz 1 CRA). Dies bedeutet, dass auch Produkte, die außerhalb der EU hergestellt werden, den Anforderungen des CRA entsprechen müssen, wenn sie auf dem europäischen Markt angeboten werden.
Persönlicher Anwendungsbereich
Der CRA unterscheidet verschiedene Wirtschaftsakteure und definiert deren Verantwortlichkeiten:
Hersteller: Sie sind die Hauptverantwortlichen für die Einhaltung der CRA-Anforderungen.
Bevollmächtigte: Sie können von Herstellern benannt werden, um bestimmte Aufgaben im Zusammenhang mit der Konformität zu übernehmen.
Einführer und Händler: Sie tragen ebenfalls Verantwortung dafür, dass nur konforme Produkte auf den Markt gelangen.
Verwalter quelloffener Software: Sie haben spezifische Pflichten im Zusammenhang mit der Sicherheit von Open-Source-Komponenten.
Verbraucher und Kleinstunternehmen: Artikel 3, Ziffer 12 des CRA berücksichtigt auch die Interessen von Verbrauchern und Kleinstunternehmen.
Bereichsausnahmen
Bestimmte Produktgruppen sind vom Anwendungsbereich des CRA ausgenommen, sofern spezifische Sicherheitsanforderungen bereits durch andere Verordnungen geregelt sind. Dazu gehören:
Medizinprodukte, die unter die Verordnungen (EU) 2017/745 und (EU) 2017/746 fallen.
Kraftfahrzeuge, die der Verordnung (EU) 2019/2144 unterliegen.
Produkte der Luftfahrt, die durch die Verordnung (EU) 2018/1139 geregelt sind.
Produkte der Schifffahrt, die der Richtlinie (EU) 2014/90 unterliegen.
Produkte, die für die nationale Sicherheit oder Verteidigung bestimmt sind.
Ersatzteile, die nach denselben Spezifikationen wie die Originalteile hergestellt werden (Artikel 2, Absätze 2–4, 7, Artikel 12, Absatz 6 CRA).
Zentrale Anforderungen und Pflichten der Hersteller
Grundlegende Sicherheitsanforderungen
Hersteller müssen sicherstellen, dass ihre Produkte die grundlegenden Sicherheitsanforderungen erfüllen, die in Anhang I des CRA detailliert aufgeführt sind. Diese Anforderungen umfassen:
Ein angemessenes Sicherheitsniveau: Produkte müssen ein Sicherheitsniveau aufweisen, das den potenziellen Risiken angemessen ist. Sie müssen frei von bekannten Schwachstellen sein, wobei die genaue Definition dieser "Freiheit" noch Klärungsbedarf birgt. Insbesondere ist unklar, ob sich die Kenntnis der Schwachstelle auf den Hersteller oder die breitere Sicherheitsszene beziehen muss.
Sichere Standardkonfiguration: Produkte müssen in einer sicheren Konfiguration ausgeliefert werden, um das Risiko von Angriffen zu minimieren.
Update-Fähigkeit: Produkte müssen über sichere Mechanismen für Software-Updates verfügen. Diese Updates sollten idealerweise "Over-the-Air" (drahtlos) erfolgen können, und es sollte eine Möglichkeit geben, Updates zu verschieben, falls erforderlich.
Schutz vor unbefugtem Zugriff: Produkte müssen wirksame Maßnahmen gegen unbefugten Zugriff, Denial-of-Service-Angriffe und Manipulationen implementieren.
Vertraulichkeit, Integrität und Datenminimierung: Diese Prinzipien müssen bei der Entwicklung und dem Betrieb der Produkte berücksichtigt werden.
Datenprotokollierung: Produkte sollten sicherheitsrelevante Ereignisse protokollieren, wobei die Benutzer die Möglichkeit haben sollten, diese Protokollierung zu deaktivieren (Opt-out).
Sicherer Umgang mit personenbezogenen Daten: Produkte müssen eine Option zur sicheren Löschung personenbezogener Daten bieten.
Software Bill of Materials (SBOM): Hersteller müssen eine detaillierte Liste aller in der Software verwendeten Komponenten erstellen und pflegen.
Regelmäßige Sicherheitsüberprüfungen: Hersteller sind verpflichtet, regelmäßige Sicherheitsüberprüfungen durchzuführen und entdeckte Schwachstellen zügig zu beheben.
Security by Design
Der CRA fordert, dass Sicherheitsaspekte von Anfang an in die Produktentwicklung integriert werden ("Security by Design"). Dies umfasst:
Risikoanalysen: Hersteller müssen umfassende Risikoanalysen durchführen, um potenzielle Sicherheitsrisiken zu identifizieren und zu bewerten.
Verschlüsselung von Daten: Daten sollten, wo immer möglich und sinnvoll, verschlüsselt werden, um sie vor unbefugtem Zugriff zu schützen.
Minimierung von Angriffsflächen: Die Angriffsfläche von Produkten sollte so gering wie möglich gehalten werden, um potenzielle Schwachstellen zu reduzieren.
Sicherstellung sicherer Voreinstellungen: Produkte sollten mit sicheren Standardeinstellungen ausgeliefert werden, um das Risiko von Fehlkonfigurationen zu minimieren.
Dokumentation und Nachweise
Hersteller müssen eine umfangreiche technische Dokumentation erstellen und diese für zehn Jahre aufbewahren. Diese Dokumentation umfasst:
EU-Konformitätserklärung: Eine Erklärung, dass das Produkt den Anforderungen des CRA entspricht.
Benutzerinformationen und Anleitungen: Klare und verständliche Informationen für die Benutzer über die sichere Verwendung des Produkts.
Lebenszyklus-umfassende Risikobewertung: Eine detaillierte Bewertung der Sicherheitsrisiken über den gesamten Lebenszyklus des Produkts.
Die lückenlose Dokumentation aller Drittkomponenten (SBOM) ist eine oft unterschätzte, aber wesentliche Verpflichtung.
Laufende Pflichten
Während der voraussichtlichen Nutzungsdauer eines Produkts sind Hersteller zu folgenden Maßnahmen verpflichtet:
Bereitstellung von Sicherheitsupdates: Hersteller müssen für mindestens fünf Jahre Sicherheitsupdates bereitstellen, um bekannte Schwachstellen zu beheben.
Kontinuierliche Überwachung und Behebung von Schwachstellen: Hersteller müssen ihre Produkte kontinuierlich auf Schwachstellen überwachen und diese beheben.
Meldung von Sicherheitsvorfällen: Sicherheitsvorfälle müssen innerhalb von 24 Stunden an die zuständigen Behörden gemeldet werden.
Information der Endnutzer: Endnutzer müssen über sicherheitsrelevante Vorfälle informiert werden.
Produktklassifizierung und Konformitätsbewertung
Der CRA teilt Produkte in drei Kategorien ein, um den unterschiedlichen Risikograden Rechnung zu tragen:
Standardprodukte: Für diese Produkte können Hersteller eine Selbstbewertung der Konformität durchführen.
Wichtige Produkte (Klasse I): Hierzu gehören beispielsweise Browser, Passwortmanager und VPN-Software. Auch für diese ist in der Regel eine Selbstbewertung vorgesehen.
Kritische Produkte (Klasse II): Diese Kategorie umfasst Produkte wie industrielle Firewalls und Hypervisoren. Für diese Produkte ist eine Konformitätsbewertung durch benannte Stellen erforderlich.
Fazit
Der Cyber Resilience Act setzt einheitliche und verbindliche Cybersicherheitsstandards für vernetzte Produkte in Europa. Hersteller müssen mit einem erheblichen Umsetzungsaufwand rechnen, insbesondere im Hinblick auf die umfangreichen Dokumentations- und Update-Pflichten. Eine frühzeitige und umfassende Vorbereitung ist entscheidend, um die Konformität mit dem CRA rechtzeitig sicherzustellen und somit rechtliche und wirtschaftliche Risiken zu vermeiden. Der CRA stellt einen Paradigmenwechsel in der Produktsicherheit dar und wird die Entwicklung und den Vertrieb digitaler Produkte in Europa nachhaltig verändern.