ISMS Copilot
Unterstützte Frameworks

EU Cyber Resilience Act (CRA) für Produkthersteller

Die EU-Verordnung zur Cyber-Resilienz (CRA) verpflichtet Hersteller von Produkten mit digitalen Elementen zur Einhaltung von Cybersicherheitsanforderungen über den gesamten Produktlebenszyklus hinweg. Der 2024 verabschiedete CRA, dessen Durchsetzung Ende 2027 beginnt, zielt darauf ab, die Sicherheit vernetzter Geräte, Software und Hardware innerhalb der EU zu verbessern. Dies geschieht durch die Vorschrift von sicherem Design, Schwachstellenmanagement und Transparenz über Sicherheitseigenschaften.

Der CRA gilt für Produkthersteller, nicht für Dienstanbieter. Wenn Sie SaaS oder Cloud-Dienste anbieten, gilt der CRA wahrscheinlich nicht für Sie – konzentrieren Sie sich stattdessen auf NIS2, DSGVO oder DORA.

Wer muss die Vorschriften einhalten?

Der CRA gilt für Hersteller, die „Produkte mit digitalen Elementen“ auf dem EU-Markt bereitstellen:

  • Hardware-Hersteller: IoT-Geräte, Router, Smart-Home-Geräte, Industriesensoren, Netzwerk-Equipment

  • Software-Anbieter: Betriebssysteme, Browser, Sicherheitssoftware, Produktivitätsanwendungen, mobile Apps (sofern als eigenständige Produkte verkauft)

  • Hersteller von eingebetteten Systemen: Medizinprodukte, Automobilkomponenten, smarte Haushaltsgeräte mit Firmware

  • Open-Source-Software-Verantwortliche: Organisationen, die kommerziellen Support anbieten oder die CE-Kennzeichnung für Open-Source-Produkte bereitstellen

Vom CRA ausgenommene Produkte sind unter anderem:

  • Medizinprodukte, Automobilsysteme und Luftfahrtsysteme, die bereits durch sektorspezifische EU-Verordnungen abgedeckt sind

  • Reine SaaS- oder Cloud-Dienste (keine herunterladbare Software)

  • Individualsoftware, die für einen einzelnen Kunden entwickelt wurde

  • Open-Source-Software, die außerhalb einer gewerblichen Tätigkeit entwickelt oder bereitgestellt wird (keine CE-Kennzeichnung oder Monetarisierung)

Wenn Sie Hardware herstellen oder herunterladbare Software in der EU verkaufen, findet der CRA wahrscheinlich Anwendung.

CRA-Risikoklassifizierung

Produkte werden in Risikostufen eingeteilt, die die Compliance-Anforderungen bestimmen:

Standard-Produkte (Default):

  • Die meisten Verbraucher- und Geschäftsprodukte (Smart-Home-Geräte, Produktivitätssoftware, Netzwerkzubehör)

  • Selbstbewertung der Konformität

  • Hersteller erklärt die Konformität mittels CE-Kennzeichnung

Wichtige Produkte (Klasse I):

  • Identitätsmanagementsysteme, Authentifizierungstools, VPNs, Firewalls, Antivirensoftware, Browser, Passwortmanager

  • Produkte, die integraler Bestandteil kritischer Infrastrukturen oder hochwertiger Vermögenswerte sind

  • Konformitätsbewertung durch Dritte erforderlich

  • Eine benannte Stelle (Notified Body) prüft Design und Prozesse

Kritische Produkte (Klasse II):

  • Betriebssysteme, Hypervisoren, industrielle Steuerungssysteme, intelligente Zähler, Smartcards für Zahlungen

  • Höchste Prüfintensität mit umfassender Bewertung durch Dritte

  • Eine benannte Stelle prüft den Entwicklungszyklus und die Sicherheitskontrollen

Die meisten Hersteller werden ihre Produkte als „Standard“-Klasse selbst bewerten, sofern das Produkt nicht explizit in den CRA-Anhängen aufgeführt ist.

Eine Fehlklassifizierung des Risikoniveaus Ihres Produkts kann zur Nichteinhaltung führen. Prüfen Sie die CRA-Anhänge III (Wichtig) und IV (Kritisch) sorgfältig oder konsultieren Sie eine benannte Stelle.

Kernanforderungen

Alle Produkte mit digitalen Elementen müssen grundlegende Cybersicherheitsanforderungen erfüllen:

Sicherheit durch Design und Voreinstellung (Security by Design & Default):

  • Minimierung der Angriffsfläche (Deaktivierung unnötiger Funktionen, Dienste und Ports standardmäßig)

  • Sichere Standardeinstellungen (starke Authentifizierung, Verschlüsselung ab Werk aktiviert)

  • Prinzip der geringsten Privilegien (eingeschränkte Berechtigungen für Prozesse und Benutzer)

  • Mehrstufige Sicherheit (Defense in Depth)

Umgang mit Schwachstellen:

  • Veröffentlichung einer Richtlinie zur Offenlegung von Schwachstellen (Vulnerability Disclosure Policy - VDP) mit Kontaktinformationen

  • Bewertung und Behebung gemeldeter Schwachstellen innerhalb von Zeitrahmen (kritisch: 24–72 Stunden; hoch: 14 Tage; mittel: 90 Tage)

  • Benachrichtigung der Benutzer und der ENISA (EU-Agentur für Cybersicherheit) über aktiv ausgenutzte Schwachstellen

  • Bereitstellung von Sicherheitsupdates für die erwartete Lebensdauer des Produkts oder mindestens 5 Jahre (je nachdem, welcher Zeitraum länger ist)

Sichere Updates:

  • Bereitstellung von Sicherheitspatches automatisch oder mit Benutzerbenachrichtigung

  • Sicherstellung, dass Updates authentifiziert (signiert) sind und nicht manipuliert werden können

  • Ermöglichung des Rollbacks auf vorherige Versionen, falls Updates fehlschlagen

Datenschutz:

  • Schutz der Vertraulichkeit und Integrität gespeicherter und übertragener Daten (Verschlüsselung im Ruhezustand und bei der Übertragung)

  • Implementierung einer sicheren Speicherung von Anmeldedaten (keine fest kodierten Passwörter)

  • Verarbeitung nur notwendiger Daten (Datenminimierung)

Resilienz und Verfügbarkeit:

  • Schutz gegen Denial-of-Service-Angriffe

  • Sicherstellung der Funktionalität unter abnormalen Bedingungen oder Angriffen

  • Bereitstellung von Protokollierungs- und Überwachungsfunktionen für Sicherheitsereignisse

Transparenz und Dokumentation:

  • Bereitstellung klarer Sicherheitsanweisungen für Benutzer (sichere Konfiguration, Update-Vorgänge, Meldung von Schwachstellen)

  • Veröffentlichung einer Software-Stückliste (Software Bill of Materials - SBOM), die Komponenten und Abhängigkeiten auflistet

  • Deklaration der unterstützten Lebensdauer und des End-of-Support-Datums

Konformitätsbewertung

Hersteller müssen die Konformität nachweisen, bevor sie Produkte auf dem EU-Markt in den Verkehr bringen:

Für Standard-Produkte:

  1. Durchführung einer Risikobewertung und von Sicherheitstests

  2. Erstellung der technischen Dokumentation (Designspezifikationen, SBOM, Testergebnisse, Sicherheitsmaßnahmen)

  3. Erstellung der EU-Konformitätserklärung

  4. Anbringung der CE-Kennzeichnung

  5. Registrierung des Produkts in der EU-Datenbank (verwaltet von der ENISA)

Für wichtige/kritische Produkte (Klasse I/II):

  1. Abschluss der oben genannten Schritte

  2. Beauftragung einer benannten Stelle (akkreditierter Drittprüfer)

  3. Durchführung einer Designprüfung und/oder eines Audits der Cybersicherheitsprozesse

  4. Erhalt des Zertifikats der benannten Stelle

  5. Anbringung der CE-Kennzeichnung mit der Identifikationsnummer der benannten Stelle

  6. Registrierung des Produkts in der EU-Datenbank

Bewertungen durch benannte Stellen können 3–12 Monate dauern und je nach Produktkomplexität zwischen 20.000 € und über 100.000 € kosten.

Beginnen Sie frühzeitig mit der Konformitätsbewertung. Bei Produkten der Klasse I/II können Verzögerungen bei der Verfügbarkeit benannter Stellen den Markteintritt um 6–12 Monate verschieben.

Verpflichtungen während des Lebenszyklus

Die CRA-Verpflichtungen bestehen auch nach dem Inverkehrbringen fort:

  • Kontinuierliche Überwachung: Verfolgung von Schwachstellenberichten, Threat Intelligence und Exploits, die Ihr Produkt betreffen

  • Meldung von Vorfällen: Benachrichtigung der ENISA innerhalb von 24 Stunden nach Entdeckung aktiv ausgenutzter Schwachstellen oder schwerwiegender Vorfälle, die die Produktsicherheit beeinträchtigen

  • Bereitstellung von Updates: Rechtzeitige Lieferung von Sicherheitsupdates während der unterstützten Lebensdauer (mindestens 5 Jahre)

  • Aufbewahrung von Aufzeichnungen: Zehnjährige Aufbewahrung der technischen Dokumentation und der Konformitätsnachweise

  • Zusammenarbeit mit der Marktüberwachung: Beantwortung von Anfragen der EU-Marktüberwachungsbehörden

Die Nichteinhaltung der Compliance nach dem Inverkehrbringen kann zu Produktrückrufen oder Marktverboten führen.

Sanktionen bei Nichteinhaltung

Der CRA sieht erhebliche Geldstrafen vor:

  • Bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) bei Nichteinhaltung wesentlicher Anforderungen

  • Bis zu 10 Millionen Euro oder 2 % des Umsatzes bei mangelnder Kooperation mit Behörden oder fehlender Dokumentation

  • Bis zu 5 Millionen Euro oder 1 % des Umsatzes bei Bereitstellung unrichtiger oder unvollständiger Informationen

Mitgliedstaaten können zusätzliche Sanktionen verhängen, einschließlich Produktrückrufen, Marktverboten oder strafrechtlicher Haftung bei schwerwiegenden Verstößen.

Zeitplan und Übergang

Der CRA wurde 2024 verabschiedet und wird schrittweise umgesetzt:

  • Ende 2027: Beginn der vollständigen Durchsetzung des CRA (genaues Datum steht nach der amtlichen Veröffentlichung noch aus)

  • Übergangszeitraum: Produkte, die bereits vor der Durchsetzung auf dem Markt sind, dürfen dort verbleiben, aber Updates müssen den CRA-Anforderungen zur Schwachstellenbehandlung entsprechen

  • Akkreditierung benannter Stellen: Die Mitgliedstaaten benennen zwischen 2025 und 2027 die benannten Stellen

Hersteller sollten jetzt mit den Compliance-Arbeiten beginnen, insbesondere für Produkte der Klasse I/II, die eine Bewertung durch Dritte erfordern.

Der CRA enthält eine „Schonfrist“ für Verantwortliche von Open-Source-Software, deren Details jedoch noch finalisiert werden. Verfolgen Sie die EU-Durchführungsrechtsakte zur Klärung.

Wichtige Dokumentation

Hersteller müssen folgende Unterlagen erstellen und pflegen:

  • Technische Dokumentation: Produktbeschreibung, Designspezifikationen, Risikobewertung, SBOM, Ergebnisse von Sicherheitstests, Nachweise über den sicheren Entwicklungszyklus

  • EU-Konformitätserklärung: Formelle Erklärung, dass das Produkt die CRA-Anforderungen erfüllt

  • Vulnerability Disclosure Policy: Veröffentlichter Prozess für den Empfang und die Bearbeitung von Schwachstellenberichten

  • Sicherheitsanweisungen: Anleitungen für Benutzer zur sicheren Konfiguration, zu Updates und zur Meldung von Vorfällen

  • Konformitätsbescheinigungen: Zertifikate der benannten Stellen für Produkte der Klasse I/II

CRA und andere Verordnungen

Der CRA überschneidet sich und interagiert mit anderen EU-Vorschriften:

  • DSGVO: Die CRA-Datenschutzanforderungen ergänzen die DSGVO (ersetzen sie aber nicht)

  • NIS2: Der CRA konzentriert sich auf Produkte; NIS2 konzentriert sich auf die organisatorische Sicherheit und die Meldung von Vorfällen für Dienstanbieter

  • KI-Gesetz (AI Act): KI-gestützte Produkte müssen möglicherweise sowohl den CRA (Cybersicherheit) als auch das KI-Gesetz (Sicherheit, Transparenz) einhalten

  • Funkanlagenrichtlinie (RED): Drahtlose Produkte müssen sowohl der RED als auch dem CRA entsprechen

  • Maschinenverordnung: Industriemaschinen mit digitalen Elementen müssen beide erfüllen

Koordinieren Sie die Compliance über alle Verordnungen hinweg, um Duplikate oder widersprüchliche Anforderungen zu vermeiden.

Wie ISMS Copilot hilft

ISMS Copilot kann die Vorbereitung auf die CRA-Compliance unterstützen:

  • Erstellung von Richtlinien: Generierung von Richtlinien zur Schwachstellenoffenlegung, zur sicheren Entwicklung und von Verfahren zur Reaktion auf Vorfälle

  • Risikobewertung: Entwicklung von Vorlagen für die Risikobewertung der Produktsicherheit

  • Prozessdokumentation: Erstellung von sicheren SDLC-Verfahren (Bedrohungmodellierung, sicheres Codieren, Sicherheitstests, Patch-Management)

  • Inhalte für Benutzer: Entwurf von Sicherheitsanweisungen für die Produktdokumentation

  • Lückenanalyse: Hochladen vorhandener Produktsicherheitsdokumentation zur Identifizierung von Lücken

Obwohl ISMS Copilot noch kein spezielles CRA-Wissen besitzt, können Sie allgemeine Fragen zu sicherer Produktentwicklung, Schwachstellenmanagement und SBOM-Best-Practices stellen.

Versuchen Sie zu fragen: „Erstelle eine Richtlinie zur Schwachstellenoffenlegung für einen Hardware-Hersteller“ oder „Was sollte ich in die Produktsicherheitsdokumentation aufnehmen?“

Erste Schritte

So bereiten Sie sich mit ISMS Copilot auf die CRA-Compliance vor:

  1. Klassifizieren Sie Ihre Produkte nach der CRA-Risikostufe (Standard, Klasse I, Klasse II)

  2. Erstellen Sie einen dedizierten Arbeitsbereich für Ihr CRA-Compliance-Projekt

  3. Führen Sie eine Risikobewertung der Produktsicherheit durch (Identifizierung von Bedrohungen, Schwachstellen, Auswirkungen)

  4. Nutzen Sie die KI, um eine Richtlinie zur Schwachstellenoffenlegung zu generieren

  5. Entwickeln Sie Verfahren für einen sicheren Entwicklungslebenszyklus (Bedrohungsmodellierung, Code-Review, Sicherheitstests, Update-Prozesse)

  6. Erstellen Sie eine Software-Stückliste (SBOM) für jedes Produkt

  7. Entwerfen Sie Sicherheitsanweisungen für Benutzer (sichere Konfiguration, Update-Verfahren, Meldung von Schwachstellen)

  8. Identifizieren und beauftragen Sie für Produkte der Klasse I/II frühzeitig eine benannte Stelle

Zugehörige Ressourcen

  • Offizieller CRA-Verordnungstext (EU 2024/XXXX – prüfen Sie EUR-Lex auf die finale Veröffentlichung)

  • ENISA CRA-Leitfäden und FAQs

  • Verzeichnisse benannter Stellen (Listen der akkreditierten Prüfer in den Mitgliedstaaten)

  • SBOM-Standards (SPDX, CycloneDX)

War das hilfreich?