Die digitale Welt entwickelt sich rasant - und mit ihr die Bedrohungen durch Cyberangriffe. Der Cyber Resilience Act (CRA) ist am 11.12.2024 in Kraft getreten und soll sicherstellen, dass nur noch sichere Soft- und Hardwareprodukte auf den Markt kommen. Ziel ist es, Sicherheitslücken zu minimieren und die Widerstandsfähigkeit des europäischen Binnenmarkts gegenüber Cyberbedrohungen zu erhöhen.
Wir haben unseren Experten Dr. Martin Neumann, Senior Consultant für Regulatory Affairs und Cybersecurity bei infoteam, gefragt, welche Herausforderungen und Chancen der CRA für Unternehmen mit sich bringt. Hier sind seine Antworten auf die drei zentralen Fragen:
Was ist der CRA und warum ist er notwendig?
Der CRA erweitert die CE-Kennzeichnung, die bislang primär auf funktionale Sicherheit (Safety) fokussiert war, um Anforderungen an die Cybersicherheit (Security). Künftig wird nicht nur geprüft, ob ein Produkt mechanische oder elektrische Gefahren birgt, sondern auch, ob es gegen Cyberangriffe geschützt ist. Dies betrifft alle vernetzten Produkte mit digitalen Elementen - von industriellen Steuerungssystemen über IoT-Geräte wie smarte Haushaltsgeräte bis hin zu Software.
Was ist das Besondere am CRA?
Im Gegensatz zur NIS2-Richtlinie, die Betreiber kritischer Infrastrukturen adressiert, richtet sich der CRA an Hersteller und umfasst eine breite Produktpalette. Während bisher sektorspezifische Vorschriften galten, wie für Medizingeräte oder Funktechnologien, setzt der CRA eine horizontale Regulierung um und betrifft nun nahezu alle digitalen Produkte.
Allerdings gibt es einige Ausnahmen:
- Open-Source-Projekte, sofern sie nicht kommerziell genutzt werden.
- Software-as-a-Service (SaaS), die unter NIS2 fällt.
- Sektorspezifische Produkte, wie medizinische Geräte, Luftfahrtsysteme und Fahrzeuge, die bereits durch andere Cybersicherheitsvorschriften reguliert sind.
Neue Verpflichtungen für Hersteller
Hersteller müssen künftig angeben, wie lange ihre Produkte Security-Updates erhalten. Betreiber – etwa im Labor- und Industriebereich – können auf längeren Support hoffen, da Hersteller, z. B. von vernetzten Analysegeräten, die Systeme mindestens fünf Jahre lang mit Updates versorgen müssen.
Bisher sind solche Informationen oft schwer zugänglich oder fehlen völlig. Das kann dazu führen, dass essenzielle Geräte frühzeitig unsicher werden. In Umgebungen, in denen sensible Daten verarbeitet werden und vernetzte Systeme für den Betrieb unerlässlich sind, entstehen dadurch erhebliche Sicherheitsrisiken.
Security ist kein statischer Zustand, sondern ein dynamischer Prozess: Was heute als sicher gilt, kann morgen bereits verwundbar sein. Deshalb sind Hersteller verpflichtet, während der gesamten Lebensdauer ihrer Produkte ein Schwachstellen-Monitoring durchzuführen und regelmäßige Security-Updates bereitzustellen. Treten kritische Sicherheitslücken auf, sind sie verpflichtet, diese umgehend an die zuständigen Behörden wie die ENISA zu melden.
Wie das in der Praxis umgesetzt werden kann, erläutern die Experten und Expertinnen des Competence Center Cybersecurity der infoteam Software AG.
Security by Design und Security by Default
Der CRA fordert eine frühzeitige Integration von Cybersicherheit in der Produktentwicklung. Dies bedeutet:
- Cybersicherheit muss von Anfang an, also bereits in der Entwicklungsphase berücksichtigt werden.
- Standardkonfigurationen dürfen keine unsicheren Voreinstellungen enthalten.
- Produkte dürfen nicht erst nachträglich abgesichert werden.
Wenn eine falsche Designentscheidung zu Beginn getroffen wird, kann dies dazu führen, dass ein Produkt nie konform mit dem CRA wird. Deshalb ist es entscheidend, dass Sicherheit von Anfang an in den Entwicklungsprozess integriert wird.
Unser Competence Center Cybersecurity unterstützt Unternehmen dabei, Architekturen nach aktuellem Stand der Technik und im Sinne von Security by Design umzusetzen.
Neue regulatorische Anforderungen
Der CRA verpflichtet Unternehmen zu:
- Risikoanalysen für ihre Produkte
- Umsetzung grundlegender Cybersicherheits-Anforderungen (Secure by Design, Secure by Default)
- Einführung eines Schwachstellenmanagements
- Erstellung technischer Dokumentationen mit Sicherheitsaspekten
- Durchführung der EU-Konformitätsbewertung mit CE-Kennzeichnung
- Führung einer Software Bill of Materials (SBOM) für mehr Transparenz
Was können Unternehmen jetzt tun?
Die Umsetzungsfristen des CRA sind kurz:
- 36 Monate nach Inkrafttreten gelten alle Regelungen
- 21 Monate für die Schwachstellenmeldepflichten
Unternehmen sollten deshalb frühzeitig handeln und ihre Entwicklungsprozesse anpassen.
Empfohlene Maßnahmen:
- Security-Standards und regulatorische Vorgaben wie die BSI TR 03183, den CRA-Anhang und die ETSI EN 303 645 einhalten.
- Eine SBOM erstellen für ein effektives Schwachstellenmanagement.
- Interne Security-by-Design-Richtlinien definieren und etablieren.
- Regelmäßige Updates und Sicherheits-Patches implementieren.
- Mitarbeitende in Cybersicherheit schulen-.
- Penetrationstests zur proaktiven Sicherheitsanalyse durchführen.
Fazit
Der CRA wird zur Marktzugangsvoraussetzung und erhöht die Anforderungen für Hersteller, Händler und Importeure. Unternehmen, die sich frühzeitig anpassen, profitieren von einem Wettbewerbsvorteil. Wer bereits hohen Sicherheitsstandards verfolgt, wird weniger Umstellungsaufwand haben – für alle anderen gilt: Jetzt handeln! Denn Cybersicherheit ist keine Option mehr, sie wird zur Pflicht.
Sie benötigen Unterstützung? Je nach Bedarf bieten wir maßgeschneiderte Beratungspakete und praxisnahe Cybersicherheits-Schulungen an. Kontaktieren Sie uns unverbindlich.
