EU-Produzenten. Hersteller smarter Produkte müssen sich auf den Cyber Resilience Act vorbereiten – und das wird gar nicht so einfach.

Der Cyber Resilience Act (CRA) der EU stellt neue Anforderungen an die Cybersicherheit vernetzter Produkte, warnt das deutsche Cybersecurity-Unternehmen Onekey in einer Aussendung. Ohne Konformität mit den Vorschriften darf das CE-Kennzeichen nicht vergeben werden, was den Verkauf in der EU unmöglich macht. Betroffen seien alle smarten Produkte – von Industrie- bis zu Consumer-Geräten, erläutert Onekey-CEO Jan Wendenburg.

Hersteller müssten unter anderem kontinuierliche Risikobewertungen durchführen und eine „Software Bill of Materials“ (SBOM) bereitstellen, um Risiken in der Lieferkette zu minimieren. Außerdem stehen Produzenten unter Zeitdruck, da die neuen Sicherheitsvorgaben bereits während der Produktentwicklung berücksichtigt werden müssen, um langfristig auf dem EU-Markt präsent zu bleiben. Unternehmen sollten daher schnell handeln und Best Practices sowie Compliance-Tools nutzen, um die Vorgaben effizient umzusetzen, rät Onekey.

Hier die wichtigsten Details zum CRA (Cyber Resilience Act):

Was ist der Cyber Resilience Act der EU?

Der im Dezember 2024 verabschiedete CRA gilt als die umfassendste Regelung zur Cybersicherheit vernetzter Produkte in Europa und betrifft alle Geräte „mit digitalen Elementen“. Der CRA teilt Produkte in drei Sicherheitsklassen ein: kritisch, wichtig, sonstige. Die Anforderungen betreffen den gesamten Produktlebenszyklus, einschließlich Sicherheitsupdates über mindestens fünf Jahre. Besonders lange Produktlebenszyklen in der Industrie stellen daher eine Herausforderung dar.

Weshalb braucht es den CRA?

Die Regelung soll unter anderem die Transparenz über die Sicherheitsstandards von Produkten erhöhen, um sowohl Geschäftskunden als auch Verbraucher zu schützen. Das scheint auch dringend nötig zu sein: Allein Ransomware-Angriffe ereignen sich weltweit alle elf Sekunden und verursachten im Jahr 2021 geschätzte Kosten von 20 Milliarden Euro.

Was muss beim Cyber Resilience Act berücksichtigt werden?

Zentraler Bestandteil des CRA ist das Prinzip „Security by Design“, das wie erwähnt kontinuierliche Risikobewertung und Schwachstellenbehebung fordert. Wichtig ist unter anderem die Zusammenarbeit mit Zulieferern, um potenzielle Schwachstellen in Fremdsoftware frühzeitig zu identifizieren und zu beheben. Ausgenommen vom CRA sind nicht-kommerzielle Produkte, reine Dienstleistungen, medizinische Geräte, militärische Produkte sowie Fahrzeuge etc., für die es bereits ähnliche Regelungen gibt.

Wann kommt der Cyber Resilience Act?

Ab September 2026 gelten erste Vorschriften – genauer gesagt gibt es ab dann Meldepflichten der Herstellern über „aktiv ausgenutzte Schwachstellen“ bei Produkten mit digitalen Elementen. Ab 11. Dezember 2027 müssen alle vernetzten Produkte vollständig CRA-konform sein.