Was sind die Pflichten der Hersteller nach dem Cyber Resilience Act?

Was sind die Pflichten der Hersteller nach dem Cyber Resilience Act?

Inhaltsverzeichnis

Der Cyber Resilience Act (CRA) verpflichtet Hersteller von Produkten mit digitalen Elementen zu umfassenden Maßnahmen. Diese Pflichten reichen von der sicheren Konzeption über die Prüfung von Drittkomponenten bis hin zur transparenten Kommunikation mit Kunden und Behörden.

Besonders wichtig und neuartig gegenüber bisherigen Verordnungen ist, dass die Produktsicherheit nicht mit dem Verkauf endet, sondern über die gesamte Lebensdauer hinweg gewährleistet sein muss. In diesem Beitrag geben wir einen Überblick über die Herstellerpflichten. In den kommenden weiteren Blogartikeln der SecuraPoint CRA-Blogserie gehen wir auf spezielle Themengebiete noch detaillierter ein.

Produktsicherheit in der Design und Entwicklungsphase

Der CRA verlangt, dass Hersteller die Anforderungen an die Produktsicherheit während des gesamten Produktlebenszyklus, also während der Phasen Planning, Design, Development, Produktion, Delivery und Maintenance berücksichtigt werden müssen. Dabei sind in der Design und Entwicklungsphase die folgenden Grundprinzipien einzuhalten:

  • Security by Design: Bereits bei der Konzeption müssen Risiken analysiert und durch technische und organisatorische Maßnahmen minimiert werden. Beispielsweise dürfen keine bekannten Schwachstellen in das Endprodukt übernommen werden. Auch Funktionen, die nicht zwingend erforderlich sind, sollten deaktiviert oder entfernt werden, um Angriffsflächen zu verringern.
  • Security by Default: Produkte müssen so ausgeliefert werden, dass sie im Auslieferungszustand bereits möglichst sicher sind. Der Nutzer darf nicht erst durch komplexe Konfigurationen für Sicherheit sorgen müssen. Ein Router etwa muss mit sicheren Standardeinstellungen ausgeliefert werden, und ein IoT-Gerät darf keine offenen Debug-Schnittstellen haben.
  • Risikobewertung: Vor der Markteinführung muss eine Risikoanalyse durchgeführt werden. Diese umfasst nicht nur Cyberrisiken, sondern auch mögliche Auswirkungen auf die Gesundheit und Sicherheit der Nutzer. Die Ergebnisse dieser Bewertung müssen dokumentiert und in den weiteren Entwicklungsprozess integriert werden. Eine Bewertung der Risiken erfolgt auch nach dem Produktverkauf. In einem separaten Beitrag werden wir uns ausführlich damit beschäftigen, wie ein Risikomanagement nach dem CRA gestaltet sein muss und welche Standards und Methoden dabei helfen können.

Drittkomponenten müssen berücksichtigt und bewertet werden

Kaum ein Produkt entsteht heute ohne die Integration von Drittkomponenten, sei es eine Open-Source-Bibliothek, ein externes Framework oder Steuerungsinstrumente. Der Hersteller kann die Verantwortung dabei nicht auf die Hersteller dieser Drittkomponenten abwenden, sondern ist auch für diese Drittkomponenten verantwortlich.

  • Überprüfung von Drittkomponenten: Hersteller müssen sicherstellen, dass auch integrierte Komponenten den Cybersicherheitsanforderungen entsprechen. Dazu gehört die regelmäßige Prüfung, ob bekannte Schwachstellen in diesen Komponenten existieren.
  • Kommunikation mit Open-Source Maintainern: Werden Sicherheitslücken in Open-Source-Projekten oder externen Bibliotheken gefunden, sind Hersteller verpflichtet, diese aktiv an die verantwortlichen Maintainer zu melden und Lösungen zu suchen.
  • SBOM (Software Bill of Materials): Hersteller müssen eine vollständige Liste aller verwendeten Software-Komponenten erstellen. Diese „digitale Zutatenliste“ ermöglicht es, im Falle neuer Schwachstellen schnell zu prüfen, ob ein Produkt betroffen ist. Die SBOM muss nicht veröffentlicht werden, muss aber jederzeit auf Anfrage der Marktaufsicht bereitgestellt werden können.

    CRA Gap-Analyse

    Gemeinsam mit Dir analysieren wir systematisch, wo Dein Unternehmen heute steht. Wir gleichen bestehende Prozesse, technische Maßnahmen und Dokumentationen mit den Anforderungen des Cyber Resilience Act ab. So erkennst Du sofort, welche Pflichten bereits erfüllt sind und an welchen Stellen Du nachbessern musst.

    Zur Gap-Analyse
    Illustration Cyber Resilience Act Gap Analyse

Sicherheit über die gesamte Lebensdauer

Ein Kernprinzip des CRA lautet, dass Sicherheit nicht mit der Herstellung oder dem Verkauf des Produktes endet, sondern über den gesamten Lebenszyklus gewährleistet werden muss. Hersteller müssen ihre Produkte während eines definierten Supportzeitraums aktiv betreuen und pflegen.

  • Supportzeitraum festlegen: Schon vor dem Verkauf muss der Hersteller eine Supportdauer bestimmen. Diese muss sich an der erwartbaren Lebensdauer des Produkts orientieren und beträgt mindestens fünf Jahre. Nur wenn nachweislich eine kürzere Nutzungsdauer üblich ist, darf der Zeitraum kürzer sein und auch dann nur mit klarer Begründung in der Dokumentation. Der Supportzeitraum darf also nicht willkürlich geändert werden.
  • Transparenz für Kunden: Verbraucher müssen vor dem Kauf informiert werden, wie lange sie mit Sicherheitsupdates rechnen können. Diese Information muss klar, verständlich und nachvollziehbar kommuniziert werden.
  • Kostenfreie Sicherheitsupdates: Alle Updates, die zur Schließung von Sicherheitslücken erforderlich sind, müssen während der Supportperiode kostenlos bereitgestellt werden. Eine Monetarisierung von Security-Patches ist nicht zulässig.
  • Aufbewahrungspflichten: Sicherheitsupdates sowie die begleitende technische Dokumentation müssen mindestens zehn Jahre aufbewahrt werden. Dies dient der Nachvollziehbarkeit im Falle von Marktüberwachungen oder Prüfungen durch Behörden.

In einem separaten Blogbeitrag werden wir detailliert auf die Pflichten rund um Supportzeiten und Updates eingehen und erklären, welche organisatorischen Prozesse Hersteller dafür aufsetzen sollten.

Schwachstellenmanagement und Incident Handling

Sicherheitslücken sind in modernen, komplexen Produkten nicht vollständig zu vermeiden. Selbst mit den besten Entwicklungspraktiken und umfangreichen Tests lassen sich nicht alle Fehler vor Markteinführung entdecken. Genau deshalb verpflichtet der CRA Hersteller, ein professionelles Vulnerability Management einzurichten, das den gesamten Lebenszyklus eines Produkts begleitet.

Klare Ansprechperson für Schwachstellen

Es reicht nicht, irgendwo im Support-Bereich einen allgemeinen Kontakt oder gar nur einen Chatbot zu platzieren. Der CRA verlangt eine klar benannte Kontaktstelle, die für das Thema Cybersicherheit zuständig ist. In der Praxis bedeutet das: Hersteller müssen ein eigenes Product Security Incident Response Team (PSIRT) etablieren. Dieses Team ist dafür verantwortlich, eingehende Meldungen zu Schwachstellen entgegenzunehmen, zu prüfen und koordinierte Maßnahmen einzuleiten.

Veröffentlichung von Kontaktinformationen

Damit Sicherheitsforscher, Kunden oder andere Parteien eine Schwachstelle unkompliziert melden können, müssen die Kontaktinformationen öffentlich sichtbar und standardisiert bereitgestellt werden. Vorgesehen ist die Veröffentlichung einer security.txt-Datei nach RFC 9116 im Wurzelverzeichnis der Hersteller-Website. Darüber hinaus muss es eine klar auffindbare Seite geben, auf der Meldungen eingereicht werden können. Wichtig: Auch eine anonyme Meldung muss möglich sein, etwa über ein spezielles Formular. So wird gewährleistet, dass auch sensible Hinweise ohne Hemmschwelle übermittelt werden können.

Verpflichtende Prozesse zur Bearbeitung

Eine Meldung entgegenzunehmen ist nur der erste Schritt. Hersteller müssen nachweisen, dass sie über klare Prozesse verfügen, um gemeldete Schwachstellen zu validieren, zu bewerten und priorisiert zu bearbeiten. Dazu gehört auch, die Schwere eines Problems richtig einzuschätzen, geeignete Updates oder Mitigationsmaßnahmen zu entwickeln und Fristen einzuhalten. Diese Prozesse dürfen nicht im Stillen ablaufen: Hersteller sind verpflichtet, sich bei Bedarf mit nationalen und europäischen Computer Security Incident Response Teams (CSIRTs) abzustimmen.

Meldepflicht für kritische Incidents

Besonders heikel sind Fälle, in denen eine Schwachstelle bereits aktiv ausgenutzt wird oder es sich um einen schweren Sicherheitsvorfall handelt. In solchen Fällen dürfen Hersteller nicht abwarten oder erst reagieren, wenn sie selbst betroffen sind. Sie sind verpflichtet, diese Vorfälle zeitnah an die europäische Agentur ENISA oder die zuständigen nationalen Stellen zu melden. Damit soll sichergestellt werden, dass mögliche Angriffe schnell erkannt und europaweit koordiniert abgewehrt werden können.

Kommunikation mit Kunden

Nicht zuletzt sind Hersteller in der Pflicht, ihre Kunden transparent zu informieren. Wird eine Schwachstelle bekannt, die erhebliche Auswirkungen auf die Sicherheit eines Produkts hat, reicht es nicht, im Hintergrund an einem Patch zu arbeiten. Kunden müssen erfahren, welche Risiken bestehen, ob es Workarounds gibt und wann mit einem Update zu rechnen ist. Diese Kommunikation ist zentral, um Vertrauen in den Hersteller zu sichern – und um Schaden für Endnutzer und Unternehmen zu minimieren.

In einem weiteren Beitrag werden wir zeigen, welche genauen Vorgaben der CRA bezüglich der Themen Vulnerability und Incident Management macht.

Übersicht: Pflichten der Hersteller nach dem Cyber Resilience Act

BereichPflichten der HerstellerBesonderheiten / Hinweise
Design & Entwicklung- Sicherheit von Anfang an einbauen („Security by Design & Default“)
- Vor Markteinführung eine Risikoanalyse machen
- Angriffsflächen so klein wie möglich halten
- Keine bekannten Schwachstellen beim Verkaufsstart		Ergebnisse der Risikoanalyse müssen dokumentiert und im Entwicklungsprozess berücksichtigt werden
Lieferkette & Komponenten- Alle Drittkomponenten (auch Open Source) auf Schwachstellen prüfen
- Eine SBOM („Software-Stückliste“) erstellen
- Schwachstellen mit den jeweiligen Entwicklern/Maintainern abstimmen		SBOM muss nicht veröffentlicht werden, aber auf Anfrage der Behörden vorgelegt werden
Support & Updates- Supportzeitraum festlegen (mindestens 5 Jahre)
- Währenddessen kostenlose Sicherheitsupdates bereitstellen
- Updates sicher verteilen und installieren können
- Updates und Dokumentation mindestens 10 Jahre aufbewahren		Kürzere Supportdauer nur mit nachvollziehbarer Begründung erlaubt
Vulnerability & Incident Mgmt.- Eine feste Anlaufstelle für Sicherheitsmeldungen einrichten (PSIRT)
- Kontaktinformationen über security.txt und eine Website bereitstellen
- Auch anonyme Meldungen ermöglichen
- Schwere Vorfälle und aktiv ausgenutzte Schwachstellen melden		Meldung muss an nationale CSIRTs erfolgen
Dokumentation- Technische Unterlagen erstellen und aktuell halten
- SBOM führen und pflegen
- Nachweise zu Risikoanalyse, Konformität und Sicherheitsarchitektur festhalten		Dokumentation mindestens 10 Jahre aufbewahren; Nutzer erhalten vereinfachte Infos
Konformitätsbewertung- Standardprodukte: Selbsterklärung
- Important I: Selbsterklärung + Standards
- Important II: Prüfung durch externe Stelle
- Critical Products: EU-Zertifizierung („substantial“-Level)		Produkte sollten eindeutige Seriennummern zur Rückverfolgbarkeit haben
Transparenz für Kunden- Vor dem Kauf die Dauer des Supports klar angeben
- Offenlegen, welche Sicherheitsfunktionen vorhanden sind
- Alle Sicherheitsupdates im Supportzeitraum müssen kostenlos sein		Stärkt Vertrauen und erleichtert Kaufentscheidungen nach Sicherheitsaspekten

Dokumentationspflichten

Der Cyber Resilience Act verlangt von Herstellern eine umfassende Dokumentation. Ziel ist, dass sowohl Marktaufsichtsbehörden als auch Verbraucher jederzeit nachvollziehen können, dass ein Produkt die Cybersicherheitsanforderungen erfüllt, nicht nur zum Zeitpunkt der Markteinführung, sondern während seiner gesamten Nutzungsdauer.

Dazu gehört in erster Linie die technische Dokumentation, die mindestens zehn Jahre lang aufbewahrt werden muss. Sie dient als Nachweis, dass das Produkt nach den Vorgaben des CRA entwickelt, getestet und auf den Markt gebracht wurde. Enthalten sein müssen u. a.:

  • die Ergebnisse der Risikobewertung, die im Rahmen der Entwicklung durchgeführt wurde,
  • Nachweise über die Konformität mit den Anforderungen des CRA,
  • sowie eine Beschreibung der Sicherheitsarchitektur des Produkts.

Darüber hinaus ist eine Software Bill of Materials (SBOM) verpflichtend. Diese „digitale Zutatenliste“ muss alle verwendeten Software-Komponenten aufführen und während der gesamten Supportzeit gepflegt werden. Nur so können Hersteller und Behörden schnell erkennen, ob ein Produkt von neuen Schwachstellen betroffen ist.

Die Dokumentationspflichten sind nicht nur eine Formalität. Sie sind eine wesentliche Grundlage, um im Falle von Sicherheitsvorfällen nachzuweisen, dass ein Hersteller seine Sorgfaltspflichten eingehalten hat. Gleichzeitig erleichtert die Dokumentation die interne Nachvollziehbarkeit und kann so auch als Qualitäts- und Wissensmanagement dienen.

Konformitätsbewertung

Nicht jedes Produkt ist gleich kritisch. Der CRA sieht deshalb ein gestuftes Verfahren zur Konformitätsbewertung vor. Diese Bewertung soll sicherstellen, dass Produkte abhängig von ihrer Bedeutung für die Cybersicherheit unterschiedlich streng geprüft werden:

  • Standardprodukte: Für die große Masse an Alltagsgeräten reicht eine einfache Selbsterklärung des Herstellers aus.
  • Important Class I: Hier genügt ebenfalls eine Selbsterklärung, sie muss jedoch durch die Anwendung harmonisierter Standards ergänzt werden. Beispiele sind Betriebssysteme oder Browser.
  • Important Class II: Für Produkte mit höherem Sicherheitsrisiko, etwa Firewalls oder Hypervisoren, ist eine Prüfung durch eine unabhängige, benannte Stelle verpflichtend.
  • Critical Products: Für besonders sensible Produkte wie Smart Meter Gateways oder Hardware-Sicherheitsmodule gilt die strengste Anforderung: eine EU-weite Zertifizierung auf dem Sicherheitsniveau „substantial“.

Diese Staffelung bedeutet, je kritischer das Produkt für die Sicherheit der Gesellschaft oder der Infrastruktur ist, desto intensiver wird die Überprüfung durch externe Stellen. Hersteller müssen sich daher frühzeitig darüber klar werden, in welche Kategorie ihre Produkte fallen und welche Verfahren für sie gelten. Die Anforderungen unterscheiden sich jedoch nicht nach der Produktkategorisierung.

Transparenz für Kunden

Ein weiterer zentraler Baustein des Cyber Resilience Act ist die Verpflichtung zu mehr Transparenz gegenüber den Endnutzern. Ziel ist es, dass Verbraucherinnen und Verbraucher künftig in der Lage sind, Kaufentscheidungen nicht nur nach Preis oder Funktionsumfang, sondern auch nach dem Grad an Cybersicherheit zu treffen. Hersteller müssen daher schon vor dem Kauf deutlich machen, wie lange ein Produkt mit Sicherheitsupdates versorgt wird und welche Schutzmechanismen in die Geräte oder Anwendungen integriert sind. Dazu gehören beispielsweise Verschlüsselung, Zugriffskontrollen oder automatische Update-Funktionen. Gleichzeitig schreibt der CRA vor, dass sämtliche sicherheitsrelevanten Updates während des gesamten Supportzeitraums kostenlos bereitgestellt werden müssen.

Für die Kunden bedeutet diese neue Transparenz ein Mehr an Klarheit und Vertrauen. Sie müssen sich nicht länger auf unklare Werbeaussagen verlassen, sondern erhalten nachvollziehbare Informationen, die einen direkten Vergleich zwischen verschiedenen Produkten ermöglichen, etwa in Bezug auf die Dauer der Unterstützung oder die konkrete Ausgestaltung der Sicherheitsfunktionen.

Fazit

Hersteller tragen künftig die volle Verantwortung dafür, dass ihre Produkte nicht nur funktional überzeugen, sondern auch in jeder Phase ihres Lebenszyklus sicher sind. Das beginnt bereits in der Entwicklung, schon in der Konzeption müssen Risiken analysiert und Sicherheitsmechanismen eingebaut werden. „Security by Design“ und „Security by Default“ sind nicht mehr Schlagworte, sondern verbindliche Leitprinzipien. Ebenso klar ist, dass Hersteller ihre Lieferketten unter Kontrolle haben müssen. Jedes externe Bauteil, jede Softwarebibliothek und jede Open-Source-Komponente kann ein Risiko darstellen und muss deshalb geprüft, dokumentiert und in einer Software Bill of Materials nachgewiesen werden.

Doch Sicherheit endet nicht mit dem Verkauf. Der CRA verpflichtet Hersteller, ihre Produkte über die gesamte Nutzungsdauer hinweg zu betreuen, regelmäßig zu aktualisieren und Sicherheitslücken zuverlässig zu schließen. Ein definierter Supportzeitraum, kostenfreie Sicherheitsupdates, ein funktionierendes Schwachstellenmanagement und klare Kommunikationswege zu Behörden und Kunden sind zentrale Elemente, die dauerhaft Vertrauen schaffen sollen. Hinzu kommt die Pflicht, all dies in einer nachvollziehbaren technischen Dokumentation festzuhalten und über viele Jahre verfügbar zu machen.

Für Hersteller bedeutet der CRA, dass sie ihre Organisation anpassen, Prozesse neu aufsetzen und klare Verantwortlichkeiten schaffen müssen. Für Verbraucher eröffnet er die Chance, endlich Produkte zu nutzen, die nicht nur praktisch und innovativ, sondern auch nachhaltig sicher sind. Der digitale Binnenmarkt der EU wird damit transparenter, verlässlicher und resilienter und schafft ein neues Niveau an Vertrauen in Technologien, die unseren Alltag prägen.

Solltest du Unterstützung benötigen, wie du den CRA effizient in deine bestehenden Produktentwicklungsprozesse integrieren kannst, oder Hilfe bei der GAP-Analyse oder allgemein CRA-Beratung brauchst, kannst du dich gerne an uns wenden.

Du möchtest mehr zum Thema erfahren?

Vereinbare einen kostenlosen Gesprächstermin mit uns oder sende uns deine Anfrage über unser Kontaktformular.

Termin vereinbaren Anfrage senden
App screenshot
Tags :

Ähnliche Posts

Cyber Resilience Act: Wie können sich Unternehmen auf die neuen Sicherheitsanforderungen vorbereiten

Cyber Resilience Act: Wie können sich Unternehmen auf die neuen Sicherheitsanforderungen vorbereiten

Die Anzahl an digitalen Produkten ist in den letzten Jahren stark gestiegen. Seien es klassische SaaS Produkte oder vernetzte Geräte im Haushalt oder Industriebereich. Diese digitalen Produkte hatten jedoch häufig ein geringes Cybersicherheitsniveau, was zu teils massiven Angriffen geführt hat. Der Cyber Resilience Act ist die erste europäische Verordnung, welche ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte festlegt, die auf dem EU-Markt erhältlich sind.

Mehr lesen
SBOM: Die Grundlage für sichere Software-Lieferketten

SBOM: Die Grundlage für sichere Software-Lieferketten

Beim Lebensmitteleinkauf geht der Blick so gut wie immer auf die entsprechende Produktrückseite, um die Produktzutatenliste zu studieren. Schließlich wollen wir als Verbraucher genau wissen, welche Zutaten sich in unseren Lebensmitteln befinden. In den letzten Jahren und Jahrzehnten haben sich diesbezüglich die Deklarierungspflichten stark verschärft.

Mehr lesen
Was sind die Ziele vom CRA?

Was sind die Ziele vom CRA?

Der Cyber Resilience Act (CRA) ist die Reaktion der EU auf das niedrige Sicherheitsniveau vieler digitaler Produkte in Kombination mit den stetig wachsenden Schwachstellen und den daraus resultierenden Risiken. Der CRA soll sicherstellen, dass Geräte und Software künftig über den gesamten Lebenszyklus hinweg geschützt bleiben.

Mehr lesen