Der 7-Schritte-Leitfaden zum EU Cyber Resilience Act (CRA)

Provokante Frage: Ist Ihr Produkt ab Dezember 2027 noch legal in Europa verkäuflich?

Die digitale Vernetzung bietet immense Chancen, schafft aber auch beispiellose Sicherheitsrisiken. Die EU reagiert auf diese Herausforderung mit dem Cyber Resilience Act (CRA) – einem direkt anwendbaren Gesetz, das die Verantwortung für Cybersicherheit vom Endnutzer auf die Hersteller und Händler verlagert.

Der CRA ist nicht optional. Er ist die neue Eintrittskarte für den EU-Markt. Gerne zeige ich Ihnen, wie Sie die Komplexität meistern und die Compliance als Wettbewerbsvorteil nutzen.

1. Der weite Geltungsbereich und die knappen Fristen

Im Kern gilt der CRA für fast alle Produkte, die Hardware oder Software enthalten und sich mit dem Internet oder einem Gerät verbinden können. Dazu gehören:

• Verbrauchergeräte: Smart-Home-Lösungen, Wearables, vernetzte Spielzeuge.
• Industrielle Technologie: Router, Firewalls, Industrielle Steuerungssysteme (ICS).
• Software: Betriebssysteme, mobile und Desktop-Anwendungen.

Achtung, Deadlines!

Viele blicken auf das Jahr 2027, aber der Stress beginnt deutlich früher:

• September 2026: Start der verpflichtenden Meldepflicht für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle.
• Dezember 2027: Die vollständige Anwendung aller CRA-Anforderungen wird mandatory.

Die Strafe bei Nichteinhaltung ist drakonisch: Bei Verstößen gegen die grundlegenden Cybersicherheitsanforderungen drohen Bußgelder von bis zu 15 Millionen Euro oder 2,5 % des gesamten weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

2. Die Kette der Verantwortung: Wer haftet?

Der CRA verteilt die Pflichten entlang der gesamten Lieferkette, den sogenannten „Wirtschaftsakteuren“:

• Hersteller: Die primäre Verantwortung liegt hier. Sie müssen das Cybersecurity Risk Assessment (TARA) durchführen, das Produkt nachweislich sicher gestalten und die technische Dokumentation über den gesamten Lebenszyklus pflegen.
• Importeure: Sie sind dafür verantwortlich, zu überprüfen, dass der Hersteller alle CRA-Pflichten erfüllt hat (z. B. CE-Kennzeichnung und Dokumentation). Importeure übernehmen somit eine direkte Haftung.
• Distributoren: Sie müssen sicherstellen, dass das Produkt eine gültige CE-Kennzeichnung trägt und alle erforderlichen Anweisungen und Informationen beiliegen, bevor es an den Endkunden verkauft wird.

Jedes Glied in dieser Kette kann bei Nichteinhaltung zur Kasse gebeten werden.

3. Das Fundament: Secure by Design & Threat Analysis

Der CRA verlangt die Umsetzung technischer Maßnahmen in das Produkt selbst:

• Secure by Default: Auslieferung im sichersten Zustand (z. B. keine Universalpasswörter, Deaktivierung unnötiger Dienste).
• Minimierte Angriffsfläche: Begrenzung potenzieller Einfallstore für Cyberangriffe im Produktdesign.
• Integrität und Vertraulichkeit: Schutz von Daten und Befehlen durch robuste Authentifizierung und moderne Verschlüsselung.

Der Schlüssel zur Erfüllung dieser Anforderungen ist das Cybersecurity Risk Assessment, insbesondere die Threat Analysis and Risk Assessment (TARA). TARA ist kein einmaliges Dokument, sondern ein kontinuierlicher Prozess, der in jeder Phase des Produktlebenszyklus durchgeführt werden muss.

Mein Experten-Rat: Vermeiden Sie die „Excel-Falle“! Eine manuelle TARA ist ineffizient und fehleranfällig. Setzen Sie auf dedizierte Tools wie itemis SECURE, die eine strukturierte Methodik (angelehnt an die IEC 62443) und Automatisierung bieten, um die technische Dokumentation revisionssicher zu erstellen und in Ihren agilen Workflow zu integrieren.

4. Die Königsdisziplin: Vulnerability Handling 

Die größte organisatorische Herausforderung ist das Schwachstellen- und Vorfallmanagement nach der Markteinführung:

• 24-Stunden-Meldepflicht: Hersteller müssen aktiv ausgenutzte Schwachstellen und schwere Vorfälle innerhalb von 24 Stunden an die ENISA melden. Dies erfordert ein geübtes, reaktionsschnelles Incident Response Team (PSIRT).
• Software Bill of Materials (SBOM): Sie müssen eine „Zutatenliste“ aller Softwarekomponenten (auch Open-Source-Bibliotheken) in einem maschinenlesbaren Format (z. B. SPDX oder CycloneDX) erstellen und pflegen. Dies ist essenziell für die schnelle Reaktion auf neue Schwachstellen in Drittanbieterkomponenten.
• CVD-Richtlinie: Eine öffentliche Richtlinie zur Coordinated Vulnerability Disclosure und eine dedizierte Kontaktstelle sind einzurichten, damit externe Sicherheitsforscher Schwachstellen verantwortungsvoll melden können.

5. Marktzugang, Konformität und Lifecycle-Pflicht

Die Compliance wird durch ein Konformitätsbewertungsverfahren nachgewiesen, das mit der Anbringung des CE-Kennzeichens endet. Das Verfahren richtet sich nach der Risikoklasse Ihres Produkts:

• Standard-Produkte: Selbsteinschätzung durch den Hersteller.
• Wichtige und kritische Produkte (z. B. Firewalls, Betriebssysteme): Erfordern eine strengere Bewertung, oft durch eine benannte Stelle (Notified Body) oder sogar ein europäisches Cybersicherheitszertifikat.

Erweiterte Verantwortung über den Lebenszyklus:

Der CRA verlängert die Herstellerverantwortung deutlich:

• Mindest-Support-Periode: Sie müssen kostenlose Sicherheitsupdates für die gesamte erwartete Lebensdauer des Produkts (mindestens aber fünf Jahre) bereitstellen.
• Dokumentationsarchivierung: Alle technischen Dokumente, einschließlich Risikobewertungen und SBOMs, müssen für mindestens zehn Jahre nach Inverkehrbringen des Produkts aufbewahrt werden.

6. Der ganzheitliche Blick: Interplay mit anderen EU-Regularien

Der CRA existiert nicht isoliert. Eine kohärente Compliance-Strategie muss das Zusammenspiel mit anderen Gesetzen berücksichtigen:

• CRA & NIS2: Die NIS2-Richtlinie adressiert die Sicherheit von Unternehmenseinheiten (Infrastruktur), während der CRA die Sicherheit der Produkte regelt. Ein CRA-konformes Produkt hilft dem NIS2-pflichtigen Betreiber, seine eigenen Sicherheitsanforderungen zu erfüllen.
• CRA & GDPR: Die Datenschutz-Grundverordnung schützt personenbezogene Daten. Ein sicheres Produkt (CRA-Konformität) ist die technische Grundlage für Privacy by Design und schützt vor Datenlecks, die wiederum GDPR-Verstöße darstellen.
• CRA & AI Act: Bei Hochrisiko-KI-Systemen, die als digitale Produkte gelten, überlappen sich die Anforderungen. Die Erfüllung der CRA-Anforderungen wird oft als ausreichend angesehen, um die entsprechenden Cybersicherheitsanforderungen des AI Act zu erfüllen.

7. Roadmap zur Compliance: Ein Sieben-Schritte-Plan

Die Umsetzung erfordert eine klare Strategie. Starten Sie jetzt mit den folgenden Schritten:

1. Portfolio bewerten & klassifizieren: Bestimmen Sie die Anwendbarkeit und die Risikoklasse (Standard, Wichtig, Kritisch) Ihrer Produkte, um den richtigen Konformitätsweg zu definieren.
2. Detaillierte Gap-Analyse durchführen: Auditieren Sie Ihre Produkte und Prozesse gegen die technischen und prozessualen Anforderungen des CRA.
3. Secure Development Lifecycle (SDL) integrieren: Führen Sie Threat Modeling obligatorisch in der Designphase und automatisierte Sicherheitstests in der CI/CD-Pipeline ein.
4. SBOM und Vendor Management Policy erstellen: Automatisieren Sie die Erstellung der SBOM und passen Sie Lieferantenverträge an, um Security-Anforderungen durchzusetzen.
5. Robustes Schwachstellenmanagement-Programm etablieren: Definieren und üben Sie den 24/72-Stunden-Meldeprozess und veröffentlichen Sie eine CVD-Policy.
6. Dokumentations- und Konformitätsstrategie entwickeln: Erstellen Sie die vollständige technische Dokumentation und bereiten Sie sich auf das CE-Marking und ggf. auf Audits durch benannte Stellen vor.
7. Teams schulen und kontinuierliche Compliance sichern: Investieren Sie in rollenspezifisches Training (Engineering, Produktmanagement, Legal) und etablieren Sie Prozesse für eine langfristige Post-Market Surveillance.
   
   

Fazit: Dezember 2027 ist näher, als Sie denken, wenn man den Aufwand für die notwendigen Prozess- und Tool-Änderungen betrachtet. Wer jetzt mit einer strukturierten, Tool-gestützten Strategie beginnt, sichert nicht nur den Marktzugang, sondern baut nachweisbare Produktresilienz auf.