Cyber Resilience Act: Wie können sich Unternehmen auf die neuen Sicherheitsanforderungen vorbereiten

Cyber Resilience Act: Wie können sich Unternehmen auf die neuen Sicherheitsanforderungen vorbereiten

Inhaltsverzeichnis

Die Anzahl an digitalen Produkten ist in den letzten Jahren stark gestiegen. Seien es klassische SaaS Produkte oder vernetzte Geräte im Haushalt oder Industriebereich. Diese digitalen Produkte hatten jedoch häufig ein geringes Cybersicherheitsniveau, was zu teils massiven Angriffen geführt hat. Der Cyber Resilience Act ist die erste europäische Verordnung, welche ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte festlegt, die auf dem EU-Markt erhältlich sind.

Dieser Blogartikel gibt einen Überblick darüber, was der Cyber Resilience Act ist, welche Anforderungen er an Unternehmen stellt und welche Maßnahmen zu ergreifen sind, um sich bereits heute darauf vorzubereiten.

Was ist der Cyber Resilience Act?

Der Cyber Resilience Act (CRA) ist eine europäische Verordnung, welche bereits seit dem 11. Dezember 2024 in Kraft getreten ist. Diese Verordnung legt einheitliche und verbindliche Cybersicherheitsanforderungen für digitale Produkte fest. Im Fokus sind dabei Hersteller und Händler, welche digitale Produkte im EU-Markt verkaufen möchten. Es gilt explizit nicht nur für EU-Hersteller, sondern für alle Hersteller, welche digitale Produkte auf den europäischen Markt bringen möchten.

Ziele vom Cyber Resilience Act

Der Cyber Resilience Act verfolgt das Ziel, das Sicherheitsniveau von digitalen Produkten zu erhöhen. Das schützt vor allem Verbraucher, welche aktuell keine Transparenz über die Sicherheit eines entsprechenden Produktes haben. Es schützt jedoch auch die Unternehmen, welche bereits heute durch die Zunahme von diversen Sicherheitsangriffen gefährdet sind. Gleichzeitig soll mit der Verordnung die Etablierung grundlegender Sicherheitsrichtlinien für den europäischen Markt voran getrieben werden.

Der Fokus vom Cyber Resilience Act ist der Produktlebenszyklus. Damit soll das Ziel erfolgt werden, dass Hersteller sich auch im Betrieb mit der Sicherheit des digitalen Produktes beschäftigen müssen. Was dies konkret heißt wird im Abschnitt Anforderungen beschrieben.

Ab wann gilt der Cyber Resilience Act?

Der Cyber Resilience Act ist bereits am 11. Dezember 2024 in Kraft getreten. Die Unternehmen haben jedoch Übergangsfristen und die Umsetzung erfolgt in Etappen. Die zwei wichtigsten Etappen für Unternehmen sind dabei die folgenden:

  • Ab dem 11. September 2026 gibt es eine Meldepflicht für Schwachstellen und Sicherheitsvorfälle.
  • Ab dem 11. Dezember 2027 gelten alle CRA-Anforderungen und müssen bei neu in Verkehr gebrachten Produkten berücksichtigt werden.

Das klingt nach viel Zeit, allerdings gibt es je nach Unternehmen und dem entsprechenden Reifegrad viel zu tun. Daher ist das Thema Cyber Resilience Act nicht auf die lange Bank zu schieben.

CRA Gap-Analyse

Gemeinsam mit Dir analysieren wir systematisch, wo Dein Unternehmen heute steht. Wir gleichen bestehende Prozesse, technische Maßnahmen und Dokumentationen mit den Anforderungen des Cyber Resilience Act ab. So erkennst Du sofort, welche Pflichten bereits erfüllt sind und an welchen Stellen Du nachbessern musst.

Zur Gap-Analyse
Illustration Cyber Resilience Act Gap Analyse

Welche Produkte und Unternehmen sind vom CRA betroffen?

Grundsätzlich müssen alle Produkte mit digitalen Elementen, welche in der EU verkauft werden, den Anforderungen des CRA entsprechen. Produkte mit digitalen Elementen werden im CRA als Produkte definiert, welche mit einem Gerät oder Netzwerk verbunden werden können. Dazu gehören Smartphone Apps, vernetzte Hardwareprodukte (Smartphones, IoT-Produkte, Smarthome-Produkte, Mikroprozessoren, Firewalls etc.). Explizit vom CRA ausgenommen sind nicht-kommerzielle Open-Source-Softwareprodukte.

Diese Produkte müssen in Zukunft mit einer CE-Kennzeichnung versehen werden. Bisher konnte mit der CE-Kennzeichnung gewährleistet werden, dass ein Produkt die grundlegenden Gesundheits-, Sicherheits- und Umweltanforderungen der EU erfüllt. Mit dem Cyber Resilience Act wird die CE-Kennzeichnung nun um das Thema Cybersicherheit ausgeweitet.

Bei Nichterfüllung der Cyber Resilience Acts drohen hohe Schadenssummen und das Verbot das Produkt nicht in den europäischen Markt einführen zu dürfen. Mit anderen Worten: So gut wie fast jeder Softwarehersteller, aber auch der Softwarevertreiber muss sich mit den Anforderungen des CRA beschäftigen.

Grundlegende Anforderungen des Cyber Resilience Acts

Der Fokus vom Cyber Resilience Act ist die Verbesserung des Cybersicherheitsniveaus für den gesamten Produktlebenszyklus. Das bedeutet, dass Cybersecurity von der Planungs- und Designphase bis zur Außerbetriebsetzung mitgedacht werden muss.

Sicherheitsanforderungen

Der CRA gibt eine Liste an Sicherheitsanforderungen vor, welche bei der Produktentwicklung berücksichtigt werden müssen. Anbei im Folgenden eine beispielhafte Liste an aktuellen Sicherheitsanforderungen, welche berücksichtigt werden müssen (Stand April 2025). Die konkreten Anforderungen befinden sich im aktuellen BSI Dokument BSI-TR-03183.

  • Security by Design
  • Auslieferung ohne bekannte Schwachstellen
  • Sichere Standardkonfiguration
  • Vertraulichkeit & Integrität der Daten
  • Schutz der Verfügbarkeit
  • Bereitstellung von Sicherheitsupdates
  • Minimierung der Angriffsflächen

Risikomanagement

Eine risikobasierte Betrachtung des Produktes wird vom CRA explizit vorgeschrieben. Innerhalb der Risikobetrachtung sollen möglichst alle Risiken erkannt werden, welche während des kompletten Produktlebenszyklus entstehen können. Das Ziel ist es, die Risiken zu identifizieren, zu analysieren, zu bewerten und die entsprechenden Gegenmaßnahmen von Anfang an zu berücksichtigen und zu implementieren.

Konformitätsbestätigung

Der Cyber Resilience Act (CRA) legt strenge Anforderungen an die Konformitätsbewertung von Produkten mit digitalen Elementen fest. Hersteller müssen sicherstellen, dass ihre Produkte den essenziellen Sicherheitsanforderungen entsprechen, die im CRA definiert sind. Diese Konformitätsbewertung kann durch eine Selbstbewertung des Herstellers erfolgen, allerdings nur für bestimmte Produktklassen mit niedrigerem Risiko, wie beispielsweise einfache IoT-Geräte oder Softwareanwendungen mit begrenztem Funktionsumfang. Für komplexere oder sicherheitskritische Produkte, wie industrielle Steuerungssysteme oder medizinische Geräte, ist hingegen eine unabhängige Prüfung durch eine dritte Prüfstelle erforderlich.

Compliance und Dokumentation

Der Cyber Resilience Act unterscheidet hier zwischen einer technischen und Benutzerdokumentation. Hierbei gilt es darum die Ergebnisse aus den jeweiligen Prozessschritten zu dokumentieren. Dazu zählen die identifizierten Sicherheitsrisiken und deren Gegenmaßnahmen oder die Dokumentation der entsprechenden Sicherheitstests. Ein besonderes Augenmerk wird auf die Dokumentation der verwendeten Softwarekomponenten gelegt. Die sogenannte SBOM wird explizit vorgegeben. In Zukunft wird es einen Blogartikel nur zum Thema SBOM und Cyber Resilience Act geben.

Incident Response und Schwachstellenmanagement

Mit dem Cyber Resilience Act wird zukünftig von Softwareherstellern verlangt, dass ein strukturiertes Schwachstellen- und Incidentmanagementsystem vorhanden ist. Das beinhaltet die Identifikation und Dokumentation von Schwachstellen in den digitalen Produkten, die regelmäßige Überprüfung auf neue Sicherheitslücken, sowie die schnelle Behebung gefundener Sicherheitslücken. Insgesamt muss der Hersteller nachweisen, dass ein Prozess existiert, der Sicherheitsvorfälle schnell erkennt, bewertet und effektiv diese behebt. Der CRA erfordert auch die Veröffentlichung von Sicherheitswarnungen und die Bereitstellung von Updates, um die betroffenen Schwachstellen zu adressieren. Dieser Aufgabenbereich ist am besten durch ein dediziertes PSIRT (Product Security Incident Response Team) abzudecken. Wichtig ist hierbei, dass diese Prozesse immer für den gesamten Produktlebenszyklus gelten. Das heißt, es wird ein aktives Schwachstellenmanagement für Produkte im Markt benötigt.

Vorbereitung auf den Cyber Resilience Act

Nach dem ganzen Input fragst du dich sicherlich, wie du am besten anfangen kannst, dein Unternehmen für den Cyber Resilience Act vorzubereiten. Die Anforderungen vom Cyber Resilience Act sind nicht ausschließlich mit einem Softwaretool abzubilden, sondern sind vielmehr organisatorisch und prozessual.

Assessment der Produkte und vorhandenen Prozesse

Zunächst solltest du dir eine Übersicht machen, ob der CRA für dein Unternehmen und die Produkte gilt. Dazu solltest du eine Produktübersicht haben inklusiver digitaler Komponenten. Anschließend ist es wichtig, bereits vorhandene Prozesse oder Funktionen im Unternehmen im Rahmen der Produktsicherheit zu berücksichtigen. Die Anforderungen im CRA sind nicht wirklich neu, wenn bereits Fokus auf sichere Software gelegt wurde. Bedrohungsanalysen, Risikomanagement, Schwachstellenmanagement oder auch das Thema Security by Design werden bereits seit Jahren empfohlen und teilweise gelebt. Oftmals müssen die Prozesse nur richtig dokumentiert und professionalisiert werden.

Maßnahmenplan

Nach der Bestandsaufnahme kannst du mit einer GAP-Analyse verstehen, welche Anforderungen bereits erfüllt werden und wo es Verbesserungsbedarf gibt. Die notwendigen Hausaufgaben müssen dann in eine sinnvolle Reihenfolge gebracht werden und so weit wie möglich Synergien zwischen den notwendigen Sicherheitsmaßnahmen gesucht werden.

Schulung und Sensibilisierung

Das Thema Security Awareness ist ebenfalls seit Jahrzehnten ein Dauerbrenner. Für eine erfolgreiche Vorbereitung für den Cyber Resilience Act sollte das zuallererst das Management sensibilisiert werden. Es handelt sich hier nicht um eine Kann-Maßnahme, sondern um eine gültige Verordnung, welche bei Nichteinhaltung hohe Schadenssumme oder Umsatzeinbuße nach sich ziehen kann. Aber nicht nur das Management sollte sensibilisiert werden, alle Mitarbeiter innerhalb der Produktentwicklung über den ganzen Produktlebenszyklus müssen entsprechend geschult und Wissen aufgebaut werden. Wichtigkeit der Schulung von Mitarbeitern und der Sensibilisierung für Cyber-Sicherheit.

Einbeziehung der Lieferanten

Fast kein Produkt wird komplett von einem Unternehmen entwickelt. So gut wie fast immer wird eine Software im Auftrag entwickelt oder teilweise zugeliefert. Die Verantwortung für die Fremdentwicklung kann nicht auf den Lieferanten abgewälzt werden. Natürlich hat dieser ebenfalls die Anforderungen aus dem CRA zu erfüllen, allerdings muss das einkaufende Unternehmen sicherstellen, dass diese Anforderungen eingehalten werden. Daher ist es wichtig, frühzeitig Verträge und Überprüfungen entsprechend zu gestalten.

Fazit

Der Cyber Resilience Act hat das Ziel, das Sicherheitsniveau von digitalen Produkten deutlich zu erhöhen und damit Verbraucher und Unternehmen zu schützen. Der CRA inklusiver aller Anforderungen gilt für alle Produkte mit digitalen Elementen, welche ab dem 11.12.2027 auf den europäischen Markt verkauft werden sollen. Dabei ist es unerheblich ob du das Produkt selbst entwickelst oder im Auftrag entwickeln lässt. Der CRA gibt eine Liste an Sicherheitsanforderungen an, welche für den gesamten Produktlebenszyklus beachtet werden müssen. Besonders hervorzuheben ist hier die Generierung der SBOM, ein aktives Incident- und Schwachstellenmanagement sowie die schnelle und kostenfreie Bereitstellung von Sicherheitsupdates.

Solltest du Unterstützung benötigen, wie du den CRA effizient in deine bestehenden Produktentwicklungsprozesse integrieren kannst, oder Hilfe bei der GAP-Analyse brauchst, kannst du dich gerne an uns wenden.

Du möchtest mehr zum Thema erfahren?

Vereinbare einen kostenlosen Gesprächstermin mit uns oder sende uns deine Anfrage über unser Kontaktformular.

Termin vereinbaren Anfrage senden
App screenshot
Tags :

Ähnliche Posts

SBOM: Die Grundlage für sichere Software-Lieferketten

SBOM: Die Grundlage für sichere Software-Lieferketten

Beim Lebensmitteleinkauf geht der Blick so gut wie immer auf die entsprechende Produktrückseite, um die Produktzutatenliste zu studieren. Schließlich wollen wir als Verbraucher genau wissen, welche Zutaten sich in unseren Lebensmitteln befinden. In den letzten Jahren und Jahrzehnten haben sich diesbezüglich die Deklarierungspflichten stark verschärft.

Mehr lesen
Was bedeutet Software Composition Analysis (SCA)?

Was bedeutet Software Composition Analysis (SCA)?

Durch die vermehrte Nutzung von Open-Source und Third-Party-Komponenten konnten Vorteile wie schnellere Entwicklungszeiten und damit auch die entsprechenden Kosteneinsparungen realisiert werden. Allerdings entstanden natürlich auch entsprechende Risiken im Bereich Informationssicherheit und Compliance. Eine Software Composition Analysis (SCA) hilft, diese Risiken zu identifizieren und zielführend zu reduzieren.

Mehr lesen
SBOM und der Cyber Resilience Act

SBOM und der Cyber Resilience Act

Der Cyber Resilience Act ist die erste europäische Verordnung, die ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte festlegt, die auf dem EU-Markt erhältlich sind. Damit sind nicht nur IoT-Produkte gemeint, sondern auch SaaS-Produkte oder Smartphone Apps. Das bedeutet, dass sich so gut wie alle Softwarehersteller mit dem Thema Cyber Resilience Act beschäftigen müssen. Der Cyber Resilience Act hat verschiedene Anforderungen, unter anderem die Erstellung und Archivierung einer SBOM für das jeweilige Softwareprodukt.

Mehr lesen