Die Europäische Union treibt mit dem Cyber Resilience Act (Verordnung (EU) 2024/2847) eine tiefgreifende Neuordnung der Cybersicherheitsarchitektur voran. Ziel ist es, die Sicherheit digitaler Produkte systematisch zu erhöhen und die Verantwortung entlang der Wertschöpfungskette neu zu verteilen.
Während die Datenschutz-Grundverordnung (DSGVO) den Schutz personenbezogener Daten in den Mittelpunkt stellt, adressiert der CRA die technische Sicherheit von Produkten selbst. Diese klare Trennung der Schutzziele führt zu einer komplementären Regulierung: Datenschutz benötigt sichere Systeme. Für Unternehmen bedeutet dies einen Paradigmenwechsel: Sicherheit ist keine nachgelagerte Aufgabe mehr, sondern eine zwingende Voraussetzung für Marktzugang und Wettbewerbsfähigkeit.
Rechtliche Natur und zentrale Fristen
Der CRA ist eine EU-Verordnung und gilt unmittelbar in allen Mitgliedstaaten. Dies reduziert Rechtsunsicherheiten im Binnenmarkt und schafft verbindliche Zeitpläne für die Umsetzung.
Anwendungsbereich und Risikoklassifizierung
Der CRA erfasst sämtliche Produkte mit digitalen Elementen, von Hardware über Software bis zu cloudbasierten Komponenten. Ausgenommen sind spezifisch regulierte Bereiche wie Medizinprodukte.
Standardprodukte
Für diese Kategorie ist eine fundierte Selbstbewertung des Herstellers ausreichend.
Wichtige Produkte (I)
Erfordern in Abhängigkeit der Normen teilweise eine externe Prüfung.
Wichtige Produkte (II)
Strengere Vorgaben, externe Konformitätsbewertung ist oft obligatorisch.
Kritische Produkte
Unterliegen strengen, zwingenden Zertifizierungsverfahren durch Dritte.
Achtung entlang der Lieferkette
Der CRA verpflichtet nicht nur Hersteller. Auch Importeure und Händler haben Prüfpflichten. Besonderheit: Wer ein Produkt wesentlich verändert, übernimmt automatisch die Herstellerpflichten.
Security by Design als regulatorischer Standard
Der CRA verankert erstmals verbindlich das Prinzip Security by Design. Die Implementierung einer Software Bill of Materials (SBOM) wird zur Pflicht, um Transparenz über eingesetzte Komponenten zu schaffen.
- Keine bekannten Schwachstellen beim Inverkehrbringen.
- Sichere Standardeinstellungen (Verbot von Default-Passwörtern).
- Konsequente Minimierung der Angriffsfläche.
- Starke Verschlüsselung sensibler Daten.
- Etablierung sicherer Update-Mechanismen (für mind. 5 Jahre).
Schnittstellen zur DSGVO
Ein sicheres Produkt (CRA) ist die elementare Grundlage für eine datenschutzkonforme Verarbeitung (DSGVO). Viele CRA-Anforderungen konkretisieren die bestehenden technischen Maßnahmen nach Art. 32 DSGVO.
| Fokus | CRA (Cyber Resilience Act) | DSGVO (Datenschutz) |
|---|---|---|
| Schutzziel | Technische Produktsicherheit (Security by Design) | Schutz personenbezogener Daten (Privacy by Design) |
| Meldepflichten | 24 Stunden (Frühwarnmeldung) | 72 Stunden (Meldung an Aufsichtsbehörde) |
| Maßnahmen | SBOM, Update-Pflicht, Schwachstellenmanagement | Verschlüsselung, Integrität, regelmäßige Prüfungen |
Durchsetzung und Sanktionen
Marktüberwachungsbehörden können Verkaufsverbote und Produktrückrufe anordnen sowie Testkäufe durchführen. Die finanziellen Risiken sind erheblich:
Lösungen & Handlungsempfehlungen
Um regulatorische Komplexität zu beherrschen und Haftungsrisiken zu minimieren, empfehlen wir die folgenden strategischen Sofortmaßnahmen:
Portfolio-Analyse
Identifizieren Sie umgehend betroffene Produkte in Ihrem Sortiment und bestimmen Sie die zutreffende Risikoklasse nach CRA.
SBOM-Integration
Automatisieren Sie die Erstellung und Pflege von Software-Stücklisten (Software Bill of Materials) direkt in Ihren Entwicklungsprozessen.
Incident Response harmonisieren
Führen Sie die Meldeprozesse von IT-Security (24h-Frist) und Datenschutz (72h-Frist) zusammen, um widersprüchliche Meldungen zu vermeiden.
Lieferantenmanagement
Passen Sie Verträge und Compliance-Vorgaben für Zulieferer an, um die neuen gesetzlichen Anforderungen durchzureichen.
Häufig gestellte Fragen (FAQ)
Ab wann gelten die Meldepflichten des CRA?
Die strengen Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle greifen bereits ab dem 11. September 2026. Unternehmen müssen bis dahin funktionierende Incident-Response-Prozesse etabliert haben.
Sind Open-Source-Software-Entwickler vom CRA betroffen?
Freie und quelloffene Software, die außerhalb einer kommerziellen Tätigkeit entwickelt oder bereitgestellt wird, ist grundsätzlich ausgenommen. Sobald die Software jedoch im Rahmen einer kommerziellen Tätigkeit monetarisiert wird, fallen Hersteller unter die Pflichten des CRA.
Wie verhalten sich die 24h-Frist des CRA und die 72h-Frist der DSGVO zueinander?
Beide Fristen bestehen parallel. Ein Vorfall kann sowohl unter den CRA als auch unter die DSGVO fallen (z.B. wenn durch eine Produktschwachstelle personenbezogene Daten abfließen). Unternehmen müssen intern sicherstellen, dass die 24-Stunden-Frühwarnmeldung nach CRA den anschließenden detaillierteren DSGVO-Bericht nicht negativ präjudiziert.
Gilt der CRA auch für Unternehmen, die Hardware nur importieren?
Ja. Importeure dürfen nur Produkte in Verkehr bringen, die den Anforderungen des CRA entsprechen. Sie müssen sicherstellen, dass der Hersteller das Konformitätsbewertungsverfahren durchgeführt hat und die technische Dokumentation vorliegt.
Was ist eine Software Bill of Materials (SBOM)?
Eine Software Bill of Materials (SBOM) ist eine detaillierte, oft maschinenlesbare Stückliste aller Komponenten, Bibliotheken und Module, die in einer Softwareanwendung enthalten sind. Im Rahmen des Cyber Resilience Act (CRA) wird die SBOM zur Pflicht, um Transparenz in der digitalen Lieferkette zu schaffen. Sie ermöglicht es Unternehmen, bei Bekanntwerden neuer Schwachstellen sofort zu prüfen, ob ihre Produkte betroffen sind, und schnell entsprechende Sicherheitsupdates bereitzustellen.
