Der Cyber Resilience Act im Überblick: EU verschärft regulatorische Anforderungen an Cybersicherheit digitaler Produkte

by|14. Mai 2025|Wissenswertes

Im Oktober 2024 wurde der Cyber Resilience Act (CRA) final verabschiedet. Der CRA wird den Cybersicherheitsrahmen für digitale Produkte und Software erheblich anheben. Nach dem CRA müssen Hersteller und Einführer künftig sicherstellen, dass ihre Produkte über den gesamten Lebenszyklus hinweg den hohen Sicherheitsanforderungen genügen. Für Unternehmen bedeutet dies neue Pflichten, strengere Sicherheitsvorgaben und eine tiefgreifende Überprüfung bestehender Informationssicherheitsstrategien.

Was ist der Cyber Resilience Act?

Der CRA ist eine EU-Verordnung, die für alle neuen Produkte mit digitalen Elementen gilt, die ab dem 11.12.2027 in der EU in Verkehr gebracht werden. Damit gemeint sind alle Software- und Hardwareprodukte, die mit Netzwerken oder anderen Geräten verbunden sind. Beispiele hierfür sind: Vernetzte Geräte (z.B. intelligente Haushalts- und Industriesysteme); Steuerungssoftware für vernetzte Haushaltsgeräte; Plattformen zur Smart-Home-Steuerung; Videobearbeitungstools und mobile Apps; intelligente Überwachungskameras oder Systeme für Gesichtserkennung, sofern diese mit einem Netzwerk verbunden sind.
Ausgenommen von der Verordnung sind branchenspezifisch geregelte Produkte wie Medizinprodukte, Luftfahrt‑ und Automobiltechnik sowie Schiffsausrüstung; Websites, Cloud- und SaaS-Dienste, sofern sie lediglich unterstützende Funktionen bieten sowie nicht-kommerzielle Open-Source-Software.
Produkte, die vor 11.12.2027 auf den Markt gebracht wurden, werden grundsätzlich von dem Gesetz betroffen, wenn sie wesentlich verändert werden, z. B. durch signifikante Software-Updates.
Ziel der Regelung ist es, ein Mindestmaß an Cybersicherheit zu gewährleisten – von der Entwicklungsphase über die Nutzung bis hin zur Außerbetriebnahme.

Kernpunkte und zentrale Anforderungen des CRA

  • Security by Design:

Bereits in der Entwicklungsphase müssen Hersteller Cybersicherheitsrisiken identifizieren und minimieren. Sicherheitsfunktionen wie Authentifizierung, Zugriffskontrolle und Verschlüsselung gehören zu den Standardanforderungen.

  • Regelmäßige Updates und Schwachstellenmanagement:

Produkte müssen kontinuierlich überwacht, Schwachstellen zeitnah identifiziert und behoben werden. Ein strukturierter Vulnerability Management-Prozess sowie die Einrichtung eines Product Security Incident Response Teams (PSIRT) sind hierbei zentrale Maßnahmen.
Hinweis: Innerhalb von 24 Stunden muss eine aktiv ausgenutzte Schwachstelle an ENISA (Agentur der Europäischen Union für Cybersicherheit) oder nationale Aufsichtsbehörde gemeldet werden.

  • Dokumentationspflichten:

Hersteller sind verpflichtet, umfassende technische Nachweise zu erbringen. Dazu zählen etwa die Systemarchitektur, ein Software Bill of Materials (SBOM), Risikobewertungen und das gesamte Patch-Konzept.

  • Produktkategorien und -klassen:

Der CRA ordnet digitale Produkte in zwei Hauptkategorien ein – wichtige und kritische Produkte. Während für die meisten Produkte eine Selbsterklärung (Internal Control) ausreichend ist, unterliegen kritische Produkte eventuell einer externen Zertifizierung.

  • Verpflichtender Unterstützungszeitraum:

Hersteller müssen eine Mindestunterstützung von fünf Jahren gewährleisten –oder einen entsprechend angepassten Zeitraum, wenn die erwartete Nutzungsdauer kürzer ist. Dies soll sicherstellen, dass Schwachstellen während der gesamten Lebensdauer des Produkts behoben werden können.

  • Gewährleistung der Cybersicherheit von Produkten durch Einführer und Händler:

Einführer und Händler müssen sicherstellen, dass Produkte, die sie importieren bzw. auf dem Markt bereitstellen, den Anforderungen des CRA entsprechen. Außerdem sind sie auch verpflichtet, entdeckte Sicherheitsrisiken oder Schwachstellen unverzüglich den zuständigen Aufsichtsbehörden zu melden.

Auswirkungen auf die Informationssicherheit

Der Cyber Resilience Act bedeutet einen Paradigmenwechsel: Cybersicherheit ist keine optionale Zusatzleistung mehr, sondern eine verpflichtende Anforderung. Im Detail ergeben sich folgende Auswirkungen:

  • Sicherheit schon beim Design:

Es gilt, schon in der Planungs- und Entwicklungsphase eine gründliche Bewertung der Cybersicherheitsrisiken vorzunehmen.

  • Schwachstellenmanagement und Incident Response:

Neben der regelmäßigen Überwachung ist die schnelle, koordinierte Reaktion auf Sicherheitsvorfälle unerlässlich. Durch den Aufbau interner Vulnerability-Management-Prozesse und den Einsatz automatisierter Analysetools können Unternehmen frühzeitig potenzielle Risiken identifizieren.

  • Updates und Patch-Management:

Der kontinuierliche Betrieb sicherer Produkte erfordert definierte Patch-Zeiten und klare Service-Level-Agreements (SLAs) zur Bereitstellung von Sicherheitsupdates.

  • Nachweisführung und technische Dokumentation:

Die umfangreichen Dokumentationspflichten führen zu einem erhöhten Aufwand – bieten aber zugleich die Chance, durch transparente Nachweise Vertrauen zu schaffen und Wettbewerbsvorteile zu erzielen.

Fristen und Sanktionen

  • Umsetzungszeitplan:
    • 23.10.2024: Verabschiedung des CRA
    • 11.12.2024: Inkrafttreten der Verordnung
    • 11.06.2026: Anforderungen für Konformitätsbewertungsstellen
    • 11.09.2026: Beginn der Meldepflicht für Schwachstellen und Sicherheitsvorfälle
    • 11.12.2027: Die sonstigen CRA-Regelungen treten vollständig in Kraft. Ab diesem Datum müssen alle neuen Produkte den CRA-Anforderungen entsprechen.
  • Sanktionen:

Verstöße gegen den CRA können empfindliche Geldbußen nach sich ziehen – bis zu 15 Mio. Euro oder 2,5 % des weltweiten Jahresumsatzes, abhängig vom Verstoß. Bei Feststellung schwerwiegender Sicherheitsmängel können die Aufsichtsbehörden zudem anordnen, dass die Unternehmen ihre Produkte vom Markt nehmen, bis die Sicherheitslücken geschlossen sind. Eine sorgfältige Einhaltung der Vorgaben ist also nicht nur sicherheitspolitisch, sondern auch wirtschaftlich entscheidend.

Fazit: Informationssicherheit wird zur Pflicht

Mit dem Cyber Resilience Act setzt die EU ein deutliches Signal: Unternehmen, die digitale Produkte in der EU entwickeln, müssen Sicherheitsaspekte ganzheitlich berücksichtigen. Wer die neuen Regelungen frühzeitig und konsequent umsetzt, stärkt nicht nur den eigenen Schutz, sondern erhöht auch das Vertrauen der Kunden in ein sicheres Produkt.

Nähere Informationen finden Sie unter: HIER

Sichere Kommunikation

Neueste Beiträge

  • AG Lörrach, Urteil vom 03.03.2025 – Az. 3 C 1099/24: Datenschutz vor Nachbarschaftskontrolle – Unzulässigkeit privater Foto- und Videoaufnahmen zu Beweiszwecken8. Juli 2025 - 13:27

    Das AG Lörrach entschied, dass heimliche Foto- und Videoaufnahmen eines Nachbarn zur Beweissicherung unzulässig sind, wenn keine konkrete Grundlage besteht. Auch bei Nachbarschaftskonflikten gilt: Die DSGVO schützt das Persönlichkeitsrecht – pauschale Verdachtsmomente reichen nicht aus.

  • ArbG Duisburg: Arbeitgeber muss 10.000,- EUR DSGVO-Schadensersatz für unberechtigte Veröffentlichung von Gesundheitsdaten zahlen8. Juli 2025 - 13:10

    Das Arbeitsgericht (ArbG) Duisburg hat mit Urteil vom 26.09.2024 (Az. 3 Ca 77/24) einer Klage auf immateriellen Schadensersatz gemäß Art. 82 DSGVO stattgegeben. Der Fall betrifft die unzulässige Weitergabe von Gesundheitsdaten eines Arbeitnehmers durch die Präsidentin eines Sportverbands an rund 10.000 Vereinsmitglieder. Das Gericht sprach dem Kläger einen Schadensersatz in Höhe von 10.000 Euro zu.

  • Gedankenschutz im digitalen Zeitalter: Mental Privacy als Lösung?3. Juli 2025 - 12:31

    Gedankenschutz im digitalen Zeitalter: Wird Mental Privacy zur Menschenrecht?
    Was wäre, wenn Ihre Gedanken nicht mehr nur Ihnen gehören?

    Stellen Sie sich vor, Ihr Kopfhörer liest nicht nur Musik aus – sondern auch Ihre Ängste, Wünsche, Überzeugungen. Klingt nach Science-Fiction? Mit KI, Neurotechnologie und maschinellem Lernen wird genau das zunehmend realistisch. Unternehmen und Staaten könnten bald nicht nur wissen, was Sie denken – sondern wie.
    Dieser technologische Fortschritt stellt nicht nur den klassischen Datenschutz auf die Probe, sondern fordert ein neues Grundrecht: Mental Privacy – das Recht auf Schutz Ihrer Gedanken. Es geht um nichts Geringeres als die Freiheit des Denkens im digitalen Zeitalter. Wer darf Zugang zu unserem Geist haben – und unter welchen Bedingungen?
    Ein Thema, das uns alle betrifft. Jetzt – bevor es zu spät ist.

  • Brüsseler Berufungsgericht erklärt TCF 2.0 von IAB Europe für datenschutzwidrig – wichtige Handlungsempfehlungen für Unternehmen3. Juli 2025 - 12:30

    Das Brüsseler Berufungsgericht hat das weit verbreitete TCF 2.0 von IAB Europe als datenschutzwidrig eingestuft – mit weitreichenden Folgen für Unternehmen, die Online-Werbung nutzen. Besonders kritisch: Der TC-String gilt nun eindeutig als personenbezogenes Datum, und IAB Europe wurde als (mit-)verantwortlich eingestuft. Unternehmen sollten jetzt handeln, um rechtliche Risiken zu vermeiden.

Schlagwörter

Abmahnwelle Art. 15 DSGVO Ausschluss eines Betriebsratsmitglieds BAG Betroffenenrecht BGH Bildnisse Bußgeld Cookie-Banner Datenschutz Datenschutz-Grundverordnung Datenschutzverstoß Datenübermittlung digitales Zeitalter Drittanbieter Drittland DSK Beschluss Einwilligung Ex-Mitarbeiter Foto- und Videoaufnahmen Gesundheitsdaten Google Fonts HmbBfDI Kundengewinnung Kurzbeitrag Künstliche Intelligenz Mental Privacy Microsoft Nachbarschaftskontrolle Online-Werbung Patrick Vieregge PRev Recht auf Auskunft Schadensersatz Schadensersatzanspruch Social Media TikTok Tracking unberechtigte Veröffentlichung Unzulässigkeit privater Foto- und Videoaufnahmen Update Verbraucherrechte Website Wettbewerbsverstoß „Transparency & Consent Framework“ (TCF)
Angemessenheitsbeschluss für Datenschutzrahmen EU-USA von der EU-Kommission...Neue Speicherfristen beachten und veraltete Daten löschen