Security-Updates als Pflicht im Cyber Resilience Act
- Sarah Berger
- Regulatorische Anforderungen
- 5. September 2025
Inhaltsverzeichnis
Mit dem Cyber Resilience Act (CRA) werden Security-Updates für Produkte mit digitalen Elementen zur verbindlichen Pflicht. Hersteller müssen Sicherheitslücken unverzüglich und kostenlos beheben, eine Supportperiode definieren und Updates über eine sichere Infrastruktur verteilen.
Security-Updates als Teil der Produktverantwortung
In der Vergangenheit galten Security-Updates häufig als freiwilliger Service, insbesondere bei IoT- oder Embedded-Produkten. Das ändert sich nun mit dem CRA und den daraus resultierenden Anforderungen. Das Beheben von Schwachstellen ist nun ein gesetzlich vorgeschriebener Bestandteil der Produktverantwortung.
Die Verordnung schreibt vor, dass Sicherheitslücken unverzüglich behoben werden müssen. Zwar gibt es keine festen Zeitrahmen wie in Service Level Agreements, jedoch gilt der Grundsatz, dass je gravierender die Schwachstelle ist, desto schneller ist eine Lösung bereitzustellen. Für besonders kritische Lücken wird eine Reaktionszeit von wenigen Tagen erwartet.
Darüber hinaus ist klar geregelt, dass Security-Updates kostenlos sein müssen. Hersteller dürfen Patches nicht an Abonnements oder Zusatzleistungen knüpfen. Gleichwohl entstehen ihnen Aufwand und Kosten, von der technischen Analyse über Qualitätssicherung bis hin zu Hosting und Distribution. Diese Aufwände müssen in der Produkt- und Supportplanung berücksichtigt werden.
Dauer der Unterstützung und Archivierungspflicht
Ein zentrales Element der Verordnung ist die Festlegung eines Supportzeitraums. Dieser muss sich an der üblichen Lebensdauer des Produkts orientieren und mindestens fünf Jahre betragen, außer wenn nachvollziehbar eine kürzere Nutzungsdauer begründet werden kann. Hersteller können sich auch zu längeren Zeiträumen verpflichten. Die Entscheidung für die Lebensdauer muss dokumentiert und vor Productrelease entschieden sein.
Neben der aktiven Bereitstellung von Security-Updates verlangt der CRA, dass sämtliche Security-Updates mindestens zehn Jahre lang gespeichert werden. Sollte der Supportzeitraum länger sein, verlängert sich die Pflicht entsprechend. Nutzerinnen und Nutzer müssen also auch nach Ablauf der aktiven Unterstützung weiterhin Zugriff auf frühere Patches haben.
Anforderungen an den Update-Prozess
Die CRA macht klare Vorgaben für die Umsetzung der Update-Strategie. Security-Updates müssen über geschützte Transportkanäle verteilt und mit digitalen Signaturen abgesichert werden, um Manipulationen zu verhindern. Zudem müssen Hersteller Maßnahmen gegen Downgrade-Angriffe treffen, damit ältere, unsichere Versionen nicht erneut installiert werden können.
Standardmäßig müssen Produkte so ausgelegt sein, dass Security-Updates automatisch heruntergeladen und installiert werden können. Gleichzeitig bleibt es den Nutzenden überlassen, diese Funktion zu deaktivieren, etwa wenn automatische Updates in kritischen Infrastrukturen zu Störungen führen könnten.
Trennung von Sicherheits- und Funktionsupdates
Ein besonders praxisrelevanter Aspekt des CRA ist die klare Trennung zwischen Security- und Funktionsupdates. Ziel ist es, zu verhindern, dass Nutzerinnen und Nutzer gezwungen werden, neue Funktionen oder Änderungen in der Bedienung zu akzeptieren, nur um sicherheitsrelevante Lücken zu schließen.
Ein Beispiel: Ein Router-Hersteller darf keine komplett neue Benutzeroberfläche ausliefern, wenn es lediglich darum geht, eine Schwachstelle in einer kryptografischen Bibliothek zu beheben. Stattdessen muss er ein reines Sicherheitsupdate bereitstellen.
Was zählt als Sicherheitsupdate und was nicht?
Die CRA unterscheidet hier eindeutig:
| Update-Typ | Inhalt | Einstufung nach CRA |
|---|---|---|
| Sicherheitsupdate | Behebt ausschließlich eine Schwachstelle, ohne Funktionsänderung | Pflicht zur kostenlosen Bereitstellung, keine „wesentliche Änderung“ |
| Funktionsupdate | Fügt neue Funktionen hinzu oder verändert bestehende Abläufe oder UI | Kann als „wesentliche Änderung“ gelten und anderen Regeln unterliegen |
Für Hersteller bedeutet das, Sicherheits- und Funktionsupdates sowohl technisch als auch organisatorisch getrennt zu behandeln.
Transparenz gegenüber den Nutzern
Die CRA verpflichtet Hersteller, den geplanten Supportzeitraum bereits beim Kauf klar anzugeben. So können Kunden von Anfang an erkennen, wie lange sie mit Sicherheitsaktualisierungen rechnen können.
Erreicht ein Produkt das Ende seiner Unterstützung, müssen Nutzer aktiv informiert werden beispielsweise durch eine Meldung am Gerät, in einer App oder per E-Mail. Auf diese Weise wird verhindert, dass Produkte unbemerkt unsicher weitergenutzt werden.
Veröffentlichungspflichten und Vulnerability Disclosure
Hersteller müssen bei jeder Aktualisierung transparent machen, welche Schwachstellen behoben wurden. Dazu gehören eine eindeutige Kennung wie eine CVE-ID, eine Einstufung der Schwere, Hinweise zur Abhilfe und optional Informationen zu den betroffenen Komponenten.
Darüber hinaus verlangt die CRA, dass Hersteller eine Strategie zur koordinierten Offenlegung von Schwachstellen (Coordinated Vulnerability Disclosure, CVD) etablieren. Diese umfasst eine klar auffindbare Kontaktadresse, einen geregelten Ablauf für eingehende Meldungen und eine Reaktionsstrategie, die auch die Kommunikation mit Sicherheitsforschern einschließt.
Umgang mit älteren Softwareversionen
Die Verordnung erlaubt es Herstellern, die Bereitstellung neuer Sicherheitsupdates auf die jeweils aktuelle Hauptversion zu beschränken, allerdings unter zwei Bedingungen: Das Upgrade auf die aktuelle Version muss kostenlos sein und darf keine neue Hardware erfordern. Wenn dies nicht gewährleistet ist, müssen auch ältere Versionen weiter mit Patches versorgt werden.
CRA Gap-Analyse
Gemeinsam mit Dir analysieren wir systematisch, wo Dein Unternehmen heute steht. Wir gleichen bestehende Prozesse, technische Maßnahmen und Dokumentationen mit den Anforderungen des Cyber Resilience Act ab. So erkennst Du sofort, welche Pflichten bereits erfüllt sind und an welchen Stellen Du nachbessern musst.
Fazit
Mit der Cyber-Resilience-Verordnung werden Sicherheitsupdates zu einer klaren Pflicht. Hersteller müssen Schwachstellen unverzüglich und kostenlos beheben, eine transparente Update-Strategie verfolgen und ihre Nutzer während des gesamten Supportzeitraums zuverlässig unterstützen. Neben der reinen Technik rücken auch Prozesse wie Vulnerability Management, Dokumentation und die transparente Kommunikation mit Kunden in den Mittelpunkt.
Für Unternehmen bedeutet das, ihre Update-Strategien und Supportprozesse so aufzustellen, dass sie sowohl den gesetzlichen Anforderungen als auch den Erwartungen der Nutzer gerecht werden.
Solltest du Unterstützung benötigen, wie du den CRA effizient in deine bestehenden Produktentwicklungsprozesse integrieren kannst, oder Hilfe bei der GAP-Analyse oder allgemein CRA-Beratung brauchst, kannst du dich gerne an uns wenden.
Du möchtest mehr zum Thema erfahren?
Vereinbare einen kostenlosen Gesprächstermin mit uns oder sende uns deine Anfrage über unser Kontaktformular.
