EU Cyber Resilience Act (CRA)
Der EU Cyber Resilience Act (CRA) ist eine kommende EU-Gesetzgebung, die verbindliche Cybersecurity-Anforderungen für Produkte mit digitalen Elementen (Hardware und Software) festlegt, die auf dem EU-Markt bereitgestellt werden. Der CRA tritt voraussichtlich 2027 vollständig in Kraft und zielt darauf ab, sicherzustellen, dass Produkte "secure by design" sind, Anbieter die Sicherheit über den gesamten Produktlebenszyklus gewährleisten und Verbraucher Transparenz über die Produktsicherheit erhalten.
Der CRA ist noch nicht vollständig in Kraft. Die Fristen für die Durchsetzung variieren je nach Art der Anforderung, wobei die volle Konformität bis Ende 2027 erwartet wird. Verfolgen Sie die offiziellen EU-Veröffentlichungen für den endgültigen Text und die Umsetzungsfristen.
Wer muss den CRA einhalten?
Der CRA gilt für:
Hersteller: Einheiten, die Produkte mit digitalen Elementen für den EU-Markt entwerfen, entwickeln oder herstellen
Importeure: Unternehmen, die Produkte mit digitalen Elementen in die EU einführen
Händler: Einheiten, die Produkte auf dem EU-Markt verfügbar machen
Open-Source-Stewards: Organisationen, die kommerziellen Support für Open-Source-Produkte anbieten (unter bestimmten Bedingungen)
Produkte mit digitalen Elementen umfassen:
Software (Anwendungen, Betriebssysteme, Firmware)
Hardware mit eingebetteter Software (IoT-Geräte, Router, intelligente Haushaltsgeräte)
Vernetzte Produkte (Wearables, industrielle Steuerungssysteme)
Anwendungsbereich und Ausnahmen
Im Anwendungsbereich: Kommerzielle Produkte mit digitalen Elementen, die auf dem EU-Markt bereitgestellt werden, einschließlich SaaS und Cloud-Diensten, sofern sie herunterladbare Softwarekomponenten enthalten.
Ausgenommen:
Medizinprodukte, Luftfahrtsysteme und Fahrzeugkomponenten, die bereits durch sektorspezifische Vorschriften abgedeckt sind
Rein nicht-kommerzielle Open-Source-Software, die außerhalb einer kommerziellen Tätigkeit entwickelt oder bereitgestellt wird
Produkte, die ausschließlich für die nationale Sicherheit oder Verteidigung bestimmt sind
Wenn Sie Open-Source-Software ohne Monetarisierung oder kommerziellen Support vertreiben, sind Sie wahrscheinlich befreit. Wenn Sie bezahlten Support, SLAs oder Enterprise-Features anbieten, kann der CRA Anwendung finden.
Produktklassifizierung
Der CRA kategorisiert Produkte basierend auf dem Cybersecurity-Risiko:
Standard (Klasse I): Standard-Anforderungen an die Cybersicherheit, Selbsteinschätzung zulässig
Wichtig (Klasse II): Produkte mit höherem Risiko (Identitätsmanagement, VPNs, Netzwerkmanagement), die eine Konformitätsbewertung durch Dritte erfordern
Kritisch: Produkte mit dem höchsten Risiko (Sicherheitselemente, Smartcards, PKI-Systeme), die eine strenge Zertifizierung durch Dritte erfordern
Die meisten kommerziellen Softwareprodukte fallen in die Standardkategorie.
Kernanforderungen
Hersteller müssen sicherstellen, dass Produkte über den gesamten Lebenszyklus hinweg wesentliche Cybersecurity-Anforderungen erfüllen:
Secure by Design:
Keine bekannten ausnutzbaren Schwachstellen zum Zeitpunkt des Inverkehrbringens
Sicherheit ist in die Produktarchitektur und den Entwicklungsprozess integriert
Minimierte Angriffsfläche und sichere Standardkonfigurationen
Datenschutz und Verschlüsselung, wo angemessen
Sicherheitsupdates werden automatisch oder mit Benutzerbenachrichtigung bereitgestellt
Schwachstellenmanagement:
Identifizierung, Dokumentation und Behebung von Schwachstellen während des gesamten Supportzeitraums
Meldung aktiv ausgenutzter Schwachstellen an die ENISA innerhalb von 24 Stunden nach Bekanntwerden
Bereitstellung von Sicherheitsupdates für die erwartete Produktlebensdauer (mindestens 5 Jahre für viele Produkte)
Führen einer öffentlichen Richtlinie zur Offenlegung von Schwachstellen
Dokumentation und Transparenz:
Bereitstellung einer klaren Sicherheitsdokumentation für Benutzer
Veröffentlichung der EU-Konformitätserklärung
Anbringen der CE-Kennzeichnung an konformen Produkten
Aufbewahrung der technischen Dokumentation für 10 Jahre
Meldung von Vorfällen:
Meldung aktiv ausgenutzter Schwachstellen und schwerwiegender Vorfälle an die ENISA
Benachrichtigung betroffener Benutzer über Sicherheitsprobleme und verfügbare Abhilfemaßnahmen
Konformitätsbewertung
Je nach Produktklasse müssen Hersteller die Konformität nachweisen durch:
Selbsteinschätzung (Klasse I): Der Hersteller führt interne Prüfungen und Dokumentationen durch
Bewertung durch Dritte (Klasse II/Kritisch): Eine benannte Stelle bewertet die Konformität vor dem Inverkehrbringen
Alle Hersteller müssen eine technische Dokumentation führen, die die Konformität belegt, einschließlich Risikobewertungen, Ergebnissen von Sicherheitstests und Aufzeichnungen zum Entwicklungsprozess.
Support-Verpflichtungen
Hersteller müssen Sicherheitssupport leisten für:
Die erwartete Produktlebensdauer ODER
Mindestens 5 Jahre ab Inverkehrbringen (für die meisten Produkte)
Dies umfasst das Patchen von Schwachstellen, Sicherheitsupdates und die Reaktion auf Vorfälle. Produkte ohne laufenden Support dürfen legal nicht auf dem EU-Markt verbleiben.
Sanktionen
Der CRA legt erhebliche finanzielle Strafen fest:
Schwerwiegende Verstöße (nicht konforme Produkte, fehlende CE-Kennzeichnung): Bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes
Andere Verstöße (unvollständige Dokumentation, mangelnde Kooperation): Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes
Falsche Informationen: Bis zu 5 Millionen Euro oder 1 % des weltweiten Jahresumsatzes
Zeitplan für die Umsetzung
Erwartete Durchsetzungsphasen (vorbehaltlich der Veröffentlichung der endgültigen Verordnung):
2024-2025: Verordnung wird veröffentlicht, die Übergangsfrist beginnt
2026: Verpflichtungen zur Meldung von Schwachstellen treten in Kraft
2027: Volle Konformität für neue Produkte erforderlich, die auf den Markt gebracht werden
Nach 2027: Bestehende Produkte müssen ihre Support-Verpflichtungen aufrechterhalten
Beginnen Sie jetzt mit der Vorbereitung, indem Sie sichere Entwicklungspraktiken implementieren, Prozesse für das Schwachstellenmanagement etablieren und Ihre Sicherheitsarchitektur dokumentieren.
Wie ISMS Copilot hilft
ISMS Copilot kann die Vorbereitung auf die CRA-Konformität unterstützen:
Allgemeine Cybersecurity-Beratung: Fragen Sie nach sicheren Entwicklungspraktiken, Schwachstellenmanagement und Lebenszyklus-Sicherheit
Richtlinienentwicklung: Erstellen Sie Richtlinien für den sicheren Entwicklungslebenszyklus (SDLC) und zur Offenlegung von Schwachstellen
Risikobewertungen: Erstellen Sie Produktsicherheits-Risikobewertungen, die auf die wesentlichen Anforderungen abgestimmt sind
Dokumentationsvorlagen: Entwickeln Sie Frameworks für die Sicherheitsdokumentation zur Konformitätsbewertung
Gap-Analyse: Laden Sie bestehende Entwicklungsrichtlinien hoch, um Lücken im Vergleich zu den CRA-Prinzipien zu identifizieren
Da der ISMS Copilot noch kein spezifisches CRA-Wissen hat (da die Verordnung noch finalisiert wird), können Sie nach ISO 27001-Kontrollen für sichere Entwicklung und allgemeinen Best Practices für Produktsicherheit fragen, die mit den CRA-Zielen übereinstimmen.
Versuchen Sie Fragen wie: "Erstelle eine Richtlinie zur Offenlegung von Schwachstellen für ein Softwareprodukt" oder "Was sind Secure-by-Design-Prinzipien für die Produktentwicklung?"
Erste Schritte
So bereiten Sie sich auf die CRA-Konformität vor:
Prüfen Sie, ob Ihre Produkte in den Anwendungsbereich des CRA fallen, und bestimmen Sie die Klassifizierung
Implementieren Sie Praktiken für einen sicheren Entwicklungslebenszyklus (Bedrohungsmodellierung, Sicherheitstests, Code-Reviews)
Etablieren Sie Prozesse für das Management und die Offenlegung von Schwachstellen
Planen Sie für langfristigen Sicherheitssupport (5+ Jahre)
Dokumentieren Sie die Sicherheitsarchitektur und Risikobewertungen
Verfolgen Sie die Veröffentlichungen der ENISA und der EU für endgültige Anforderungen und Leitfäden
Weiterführende Ressourcen
CRA-Vorschlag und Aktualisierungen der Europäischen Kommission
ENISA Cybersecurity-Zertifizierungsrahmen und Leitfäden
Nationale Marktüberwachungsbehörden in den EU-Mitgliedstaaten