Cyber Resilience Act
Cyber Resilience Act
Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die horizontale Cybersicherheitsanforderungen für alle „Produkte mit digitalen Elementen“ festlegt – also für vernetzte Hardware und Software von IoT-Geräten bis hin zu Standardsoftware. Ziel ist es, ein einheitliches Mindestniveau an Cybersicherheit im EU-Binnenmarkt zu schaffen und unsichere Produkte vom Markt fernzuhalten.
Key Facts
- Rechtsakt: Verordnung (EU) 2024/2847 (Cyber Resilience Act)
- Erlassdatum: 23. Oktober 2024
- Inkrafttreten: 10./11. Dezember 2024
- Beginn der Anwendung: 11. Dezember 2027 (teilw. Berichtspflichten ab 11.09.2026)
- Geltungsbereich: Produkte mit digitalen Elementen (Hardware, Software, vernetzte Geräte, teils SaaS)
Hintergrund und Ziele
Ausgangspunkt ist das niedrige Sicherheitsniveau vieler vernetzter Produkte, die oft gravierende Schwachstellen aufweisen und nur unzureichend oder gar nicht mit Sicherheitsupdates versorgt werden. Gleichzeitig fehlte bislang ein kohärenter EU-Rechtsrahmen, insbesondere für nicht eingebettete Software.
Der CRA verfolgt daher u. a. diese Ziele:
- sichere Produkte mit weniger Schwachstellen über den gesamten Lebenszyklus,
- ein kohärenter, EU-weit harmonisierter Rechtsrahmen,
- mehr Transparenz über Sicherheitseigenschaften,
- bessere Möglichkeiten für Unternehmen und Verbraucher, sichere Produkte auszuwählen und zu nutzen.
Zentrale Pflichten und Mechanik
Hersteller müssen Cybersicherheit bereits in der Konzeption und Entwicklung („security by design and by default“) berücksichtigen, ein Risikomanagement durchführen und technische Dokumentation für bis zu zehn Jahre vorhalten.
Wesentliche Elemente sind u. a.:
- Sicherheitsupdates: Für Produkte, bei denen das „vernünftigerweise zu erwarten“ ist, müssen Sicherheitsupdates standardmäßig automatisch eingespielt werden können; nach Möglichkeit getrennt von Funktionsupdates.
- Meldepflichten: Hersteller müssen schwerwiegende Sicherheitsvorfälle innerhalb von 24 Stunden an die EU-Cybersicherheitsagentur ENISA melden und Abhilfemaßnahmen einleiten.
- CE-Kennzeichnung: Produkte mit CE-Kennzeichnung unter CRA erfüllen definierte Mindest-Cybersicherheitsanforderungen.
Produkte werden in Kategorien eingeteilt: Rund 90 % gelten als Standardprodukte mit Selbstbewertung des Herstellers, während „wichtige“ und „kritische“ Produkte strengeren Konformitätsverfahren unterliegen.
Betroffene Akteure
Neben Herstellern adressiert der CRA auch Importeure, Händler und bestimmte Dienstleister („open source stewards“, kritische Komponentenlieferanten etc.). Sie müssen sicherstellen, dass nur konforme Produkte in Verkehr gebracht werden, Anwender informiert werden und bekannte Schwachstellen gemanagt werden.
Für Unternehmen bedeutet dies u. a.: Anpassung von Produktentwicklungsprozessen, Vulnerability-Handling, Incident-Response-Prozessen sowie Vertrags- und Lieferkettenmanagement.
Verhältnis zu Open Source und Kritik
Die ursprünglichen Entwürfe wurden von Open-Source-Organisationen scharf kritisiert, weil sie einen „chilling effect“ auf freie Software befürchteten. Nach Verhandlungen wurde der Text geändert: Freie und quelloffene Software ohne kommerziellen Zweck ist weitgehend ausgenommen; zugleich führt der CRA das Konzept des „Open-Source-Stewards“ für bestimmte Konstellationen ein.
Trotz der Erleichterungen sehen einige Projekte und kleinere Unternehmen weiterhin Risiken durch Haftung, Dokumentationspflichten und Compliance-Kosten, insbesondere beim Redistributions-Modell von Open-Source-Software.
Einordnung im EU-Cyberrechtsrahmen
Der Cyber Resilience Act ergänzt andere Rechtsakte wie die NIS-2-Richtlinie, den Digital Operational Resilience Act (DORA) für den Finanzsektor und den Cybersecurity Act zur Zertifizierung. Gemeinsam bilden sie einen mehrschichtigen EU-Rechtsrahmen, der von Produktanforderungen (CRA) über Organisations- und Sektoranlagen (z. B. NIS 2, DORA) bis hin zu Zertifizierungssystemen reicht.
Quellen