Der Cyber Resilience Act (Verordnung (EU) 2024/2847) ist die erste europäische Verordnung, die ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte festlegt. Die Verordnung wurde am 10. Dezember 2024 im Amtsblatt der EU veröffentlicht und ist seitdem rechtskräftig. Die volle Umsetzungspflicht gilt ab Dezember 2027.
Zielsetzung
Der CRA adressiert zwei zentrale Probleme: das unzureichende Cybersicherheitsniveau vieler Produkte und den Mangel an rechtzeitigen Sicherheitsupdates. Verbraucher und Unternehmen sollen künftig erkennen können, welche Produkte cybersicher sind. Die CE-Kennzeichnung wird um Cybersicherheitsanforderungen erweitert.
| Aspekt | Details |
| Rechtsform | EU-Verordnung (unmittelbar gültig, kein nat. Gesetz nötig) |
| In Kraft seit | 10. Dezember 2024 |
| Meldepflichten ab | 11. September 2026 |
| Volle Umsetzung | 11. Dezember 2027 |
| Sanktionen | Bis 15 Mio. EUR oder 2,5% Jahresumsatz |
Betroffene Produkte
‘Produkte mit digitalen Elementen’ sind alle Hardware- und Softwareprodukte, die direkt oder indirekt mit einem Gerät oder Netzwerk verbunden werden können. Der CRA gilt branchenübergreifend:
- IoT-Geräte (Smart-Home, Wearables, vernetzte Sensoren)
- Embedded Systems und Industriesteuerungen
- Software (Betriebssysteme, Apps, Anwendungen)
- Netzwerkgeräte (Router, Firewalls, Switches)
- Computerhardware und Peripherie
- Consumer-Elektronik mit Netzwerkfähigkeit
Ausgenommen: Medizinprodukte, Fahrzeuge, Luftfahrt (eigene Regularien), nicht-kommerzielle Open-Source-Software.
Produktkategorien und Konformität
| Kategorie | Beispiele | Konformitätsprüfung |
|---|---|---|
| Standard | Smart-Home, IoT-Sensoren, Apps, Spiele | Selbsterklärung (intern) |
| Wichtig (Klasse I) | Mikroprozessoren, Antivirensoftware, VPN | Harmonisierter Standard oder externe Prüfung |
| Kritisch (Klasse II) | Firewalls, Hypervisors, KRITIS-Komponenten | Externe Prüfung verpflichtend |
Kernanforderungen
Security by Design
Cybersicherheit muss von Anfang an in die Produktentwicklung integriert werden:
- Bedrohungsmodellierung (Threat Modeling) in der Designphase
- Sichere Entwicklungsstandards (z.B. OWASP)
- Sichere Voreinstellungen (Secure by Default)
- Verbot schwacher Standard-Passwörter
Schwachstellenmanagement
Hersteller müssen ein systematisches Schwachstellenmanagement etablieren:
- Software Bill of Materials (SBOM) erstellen und pflegen
- Koordinierte Schwachstellen-Offenlegung (CVD)
- Kommunikationskanal für Schwachstellenmeldungen
- Kostenlose Sicherheitsupdates über definierten Supportzeitraum
Meldepflichten (ab September 2026)
| Frist | Meldung an |
| 24 Stunden | Aktiv ausgenutzte Schwachstellen an ENISA und nat. CSIRT |
| 72 Stunden | Schwerwiegende Sicherheitsvorfälle |
Abgrenzung CRA vs. NIS2
| Aspekt | CRA | NIS2 |
| Fokus | Produktsicherheit | Organisationssicherheit |
| Adressaten | Hersteller, Importeure, Händler | Betreiber, Einrichtungen |
| Pflichten | SBOM, Updates, CE-Kennzeichnung | ISMS, Risikomanagement, Meldepflichten |
| Jetzt handeln! Produkte, die ab Dezember 2027 verkauft werden – auch solche, die bereits entwickelt wurden – müssen CRA-konform sein. Unternehmen sollten jetzt mit der Analyse ihrer Produktportfolios, dem Aufbau eines Schwachstellenmanagements und der Integration von Security-by-Design beginnen. KMU erhalten Unterstützung durch Helpdesks und vereinfachte Dokumentation. |