Der Cyber Resilience Act (CRA) ist die erste EU-weite Verordnung, die verbindliche Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen festlegt. Dieser Artikel fasst die wesentlichen Inhalte der Verordnung zusammen und verweist auf die Originaldokumente für Hersteller, die tiefer einsteigen möchten.
Hintergrund und Zielsetzung
Die EU-Kommission hat den Entwurf des CRA im September 2022 vorgelegt. Nach Verhandlungen zwischen Europäischem Parlament und Rat wurde die finale Fassung im Oktober 2024 verabschiedet und am 20. November 2024 im Amtsblatt der Europäischen Union veröffentlicht (Verordnung (EU) 2024/2847).
Der CRA verfolgt zwei zentrale Ziele: Erstens soll er sicherstellen, dass Produkte mit digitalen Elementen, die auf dem EU-Markt verkauft werden, grundlegende Cybersicherheitsanforderungen erfüllen. Zweitens soll er die Voraussetzungen schaffen, damit Nutzer informierte Kaufentscheidungen in Bezug auf die Cybersicherheit von Produkten treffen können.
Der Hintergrund: Bisher gab es keine einheitliche EU-Regulierung, die Cybersicherheit als Voraussetzung für das Inverkehrbringen digitaler Produkte festlegt. Das Ergebnis waren Produkte mit bekannten Sicherheitslücken, fehlenden Update-Mechanismen und unzureichendem Schwachstellenmanagement. Der CRA schließt diese Lücke.
Anwendungsbereich
Der CRA gilt für alle Produkte mit digitalen Elementen, die auf dem EU-Markt bereitgestellt werden. Dazu zählen Hardware mit eingebetteter Software, reine Softwareprodukte und Fernverarbeitungslösungen, die für die Kernfunktion eines Produkts erforderlich sind.
Ausgenommen sind Produkte, die bereits durch sektorspezifische EU-Regulierungen abgedeckt sind: Medizinprodukte (MDR/IVDR), Fahrzeuge (Typgenehmigungsverordnung), Luftfahrt und Verteidigung. Open-Source-Software ist grundsätzlich ausgenommen, sofern sie nicht kommerziell vertrieben wird.
Eine detaillierte Aufschlüsselung finden Sie in unserem Artikel zum CRA-Anwendungsbereich.
Kernpflichten für Hersteller
Die CRA-Anforderungen lassen sich in vier Bereiche gliedern.
Security by Design. Produkte müssen von Grund auf sicher konzipiert werden. Dazu gehören sichere Standardeinstellungen, keine identischen Standardpasswörter, verschlüsselte Kommunikation, Zugriffskontrollen und Datenminimierung. Die Sicherheitsmaßnahmen müssen auf einer dokumentierten Risikoanalyse basieren.
SBOM-Pflicht. Hersteller müssen eine vollständige Software Bill of Materials (SBOM) für jedes Produkt erstellen und pflegen. Die SBOM dokumentiert alle Softwarekomponenten und deren Versionen und bildet die Grundlage für das Schwachstellenmanagement. Mehr dazu in unserem SBOM-Leitfaden.
Schwachstellenmanagement. Hersteller müssen Schwachstellen über den gesamten Supportzeitraum des Produkts identifizieren, bewerten und beheben. Sicherheitsupdates müssen kostenlos bereitgestellt werden. Eine Policy für koordinierte Schwachstellenoffenlegung muss veröffentlicht werden. Details finden Sie im Artikel zum Schwachstellenmanagement.
Konformitätsbewertung und CE-Kennzeichnung. Je nach Produktkategorie müssen Hersteller eine Selbstbewertung durchführen oder eine benannte Stelle einbeziehen. Nach erfolgreicher Bewertung wird die CE-Kennzeichnung angebracht und eine EU-Konformitätserklärung erstellt. Der Prozess ist im Detail in unserem Artikel zur Konformitätsbewertung beschrieben.
Produktklassifizierung
Der CRA unterscheidet drei Kategorien: Standardprodukte (Selbstbewertung genügt), wichtige Produkte der Klasse I (Selbstbewertung bei Anwendung harmonisierter Normen, sonst benannte Stelle) und wichtige Produkte der Klasse II sowie kritische Produkte (benannte Stelle erforderlich). Die Produktlisten sind in den Anhängen III und IV der Verordnung definiert.
Betroffene Branchen
Der CRA betrifft Hersteller quer durch alle Branchen – von IoT und Consumer-Produkten über Industrieautomation und Embedded Systems bis hin zu Smart Home und Consumer Electronics, Telekommunikationsausrüstung und Software- und SaaS-Anbietern. Auch Hersteller außerhalb der EU, etwa aus der Schweiz, sind betroffen, wenn sie in den EU-Markt exportieren.
Fristen
Die CRA-Verordnung trat am 10. Dezember 2024 in Kraft. Folgende Fristen sind für Hersteller relevant: Ab dem 11. September 2026 gilt die Meldepflicht für aktiv ausgenutzte Schwachstellen (24-Stunden-Frist an ENISA). Ab dem 11. Dezember 2027 müssen alle neu auf dem EU-Markt platzierten Produkte vollständig CRA-konform sein.
Sanktionen
Bei Verstößen gegen die wesentlichen Sicherheitsanforderungen drohen Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes. Für andere Verstöße gelten Bußgelder bis 10 Millionen Euro oder 2 Prozent. Zusätzlich können Marktüberwachungsbehörden Produktrückrufe und Marktverbote anordnen. Details zu den CRA-Strafen finden Sie in unserem separaten Artikel.
Originaldokumente und weiterführende Quellen
Für die vollständige Lektüre der Verordnung verweisen wir auf die offiziellen Quellen. Die finale Verordnung (EU) 2024/2847 ist im EUR-Lex-Portal der EU verfügbar unter: https://eur-lex.europa.eu/eli/reg/2024/2847/oj – dort finden Sie den vollständigen Verordnungstext in allen EU-Amtssprachen, einschließlich aller Anhänge mit den Produktlisten und den wesentlichen Anforderungen.
Die EU-Kommission bietet zudem eine Informationsseite zum CRA mit FAQ und ergänzenden Materialien an. ENISA stellt technische Leitfäden zur Umsetzung bereit, und die europäischen Normungsorganisationen CEN und CENELEC arbeiten an den harmonisierten Normen.
Nächste Schritte
Der CRA betrifft die meisten Hersteller digitaler Produkte. Wenn Sie unsicher sind, ob und wie er auf Ihre Produkte zutrifft, ist jetzt der richtige Zeitpunkt für eine Bestandsaufnahme.
Unsere kostenlose CRA-Reifegradanalyse bewertet Ihren aktuellen Stand und zeigt Ihnen konkret, welche Schritte als nächstes anstehen – von der Produktklassifizierung über die SBOM-Erstellung bis zur Konformitätsbewertung.