Cyber Resilience Act: Frist, Anwendung & Maßnahmen

Was ist der Cyber Resilience Act?

Der Cyber Resilience Act (im Folgenden: CRA) ist eine EU-Verordnung, die sich auf die Cybersicherheit vernetzter Produkte konzentriert. Der CRA gilt für Hard- und Software mit digitalen Komponenten und verlangt von Herstellern, Cybersicherheitsrisiken während des gesamten Produktlebenszyklus aktiv zu minimieren.

Wer ist vom Cyber Resilience Act betroffen?

Alle Hersteller und Importeure, die Produkte mit digitalen, kommunikationsfähigen Elementen für den EU-Markt entwickeln oder vertreiben, sind vom CRA betroffen. Dies betrifft sowohl Softwareprodukte als auch vernetzte Geräte. Ein Beispiel: Ein Hersteller von vernetzten Industrieanlagen muss künftig bereits bei der Entwicklung relevante Cybersicherheitsrisiken bewerten und entsprechende Schutzmaßnahmen bestimmen und implementieren. Nur Produkte, die die vom CRA geforderten Sicherheitsanforderungen erfüllen, dürfen das CE-Kennzeichen tragen und damit auf dem EU-Binnenmarkt verkauft werden.

Was sieht der Cyber Resilience Act vor?

Der CRA fordert eine „Security by Design“-Strategie, bei der Sicherheitsmaßnahmen von Beginn an in die Produktentwicklung eingebettet sind – Herzstück dürfte dabei bei den meisten Unternehmen die Einführung eines sog. Secure Software Development Lifecycles sein. Darüber hinaus sind die Hersteller verpflichtet, Sicherheitsvorfälle unverzüglich zu melden - bei Nichteinhaltung drohen Verkaufsverbote und Strafen. Im Einzelnen:

• Risikobewertung und kontinuierliche Analyse: Sicherheitsrisiken müssen regelmäßig überprüft und die Produkte entsprechend angepasst werden.
• Sicherheitsupdates: Während der gesamten Produktlebensdauer sind kostenlose Sicherheitsupdates bereitzustellen.
• Schnelle Meldung von Sicherheitsvorfällen: Hersteller sind verpflichtet, Cybersicherheitsvorfälle innerhalb von 24 Stunden an die Europäische Agentur für Cybersicherheit (ENISA) zu melden.

Bis wann müssen die neuen Anforderungen umgesetzt werden?

Die Anforderungen des CRA gelten ab November 2027. Für Unternehmen bedeutet dies eine relativ kurze Vorlaufzeit, um die neuen Anforderungen umzusetzen. Dabei ist insbesondere zu berücksichtigen, dass der CRA teilweise erhebliche und damit zeitintensive Umstellungen in bestehenden Planungs- und Produktionsprozessen verlangt. Bestimmte Pflichten, wie die unverzügliche Meldung von Sicherheitslücken, treten jedoch bereits im Juni 2026 in Kraft.

Welche Herausforderungen ergeben sich aus dem CRA für Unternehmen?

Unternehmen stehen vor der Herausforderung, Cybersicherheit fest in ihre Produktentwicklung zu integrieren und ein effizientes Sicherheitsmanagement aufzubauen. Besonders aufwändig sind die geforderten regelmäßigen Risikoanalysen und das Management von Sicherheitsupdates. Wer diese Anforderungen nicht erfüllt, riskiert viel - nämlich hohe Bußgelder und möglicherweise ein Verkaufsverbot in der EU.

Welche Maßnahmen sind durch den Cyber Resilience Act erforderlich?

Unternehmen müssen eine Reihe von Maßnahmen ergreifen:

1. Aufbau eines Product Security Incident Response Teams (PSIRT): Dieses Team stellt sicher, dass Schwachstellen rechtzeitig gemeldet und behoben werden.
2. Durchführung regelmäßiger Bedrohungs- und Risikoanalysen: Sicherheitsüberprüfungen sind regelmäßig im Entwicklungsprozess zu verankern.
3. Bestimmung des Ist-Zustands: Eine frühzeitige Bestandsaufnahme der aktuellen Sicherheitslage hilft, Maßnahmen für die CRA-Umsetzung festzulegen.

Wie kann ISiCO bei der Umsetzung des Cyber Resilience Acts unterstützen?

ISiCO unterstützt Unternehmen dabei, den CRA erfolgreich umzusetzen. Die Beratung umfasst:

• Analyse des Ist-Zustands: Bestimmung des Sicherheitsniveaus von Produkten und Prozessen in Bezug auf die CRA-Vorgaben.
• Implementierung von Sicherheitsstrategien: Unterstützung beim Aufbau von „Security by Design“-Prozessen, insbesondere der Einführung eines Secure Software-Development-Lifecycles, und bei der Integration eines effizienten Software-Updatemanagements.
• Sicherheitsmanagement und Mitarbeiterschulung: ISiCO hilft, interne Kapazitäten und ein Sicherheitsbewusstsein aufzubauen, damit Unternehmen den CRA-Anforderungen langfristig gerecht werden.

Mit professioneller Unterstützung durch ISiCO können Unternehmen die CRA-Vorgaben effizient und praxisnah umsetzen und so sowohl ihre Sicherheitsstandards als auch ihr Vertrauen bei Kunden stärken.