Cyber Resilience Act: Neue Spielregeln für vernetzte Produkte in Europa

Der CRA richtet sich an alle Unternehmen, die vernetzte Produkte auf dem europäischen Markt bereitstellen – unabhängig davon, ob sie diese selbst herstellen, importieren oder vertreiben. Die EU-Verordnung betrifft also nicht nur große Technologiekonzerne, sondern auch kleine und mittlere Unternehmen (KMU).

Betroffene Akteure

• Hersteller: Unternehmen, die Hard- und Software mit digitalen Elementen entwickeln und herstellen, müssen sicherstellen, dass ihre Produkte den neuen Cybersecurity-Anforderungen entsprechen.
• Importeure: Unternehmen, die Hardware und Software mit digitalen Elementen aus Nicht-EU-Ländern importieren, müssen sicherstellen, dass importierte Produkte die vorgeschriebenen Cybersecurity-Anforderungen erfüllen.
• Händler: Unternehmen, die Hardware und Software mit digitalen Elementen innerhalb der EU vertreiben, müssen sicherstellen, dass die von ihnen verkauften Produkte die Cybersecurity-Anforderungen erfüllen.

Betroffene Produkte

Der CRA gilt für alle Produkte mit vernetzter Hard- und Software. Dazu zählen unter anderem:

• Verbraucherprodukte wie Smartphones, Smartwatches, Router, vernetzte Haushaltsgeräte oder Spielzeug
• Industrielle Produkte wie Steuerungssysteme, Sensoren, vernetzte Maschinen oder Chips
• Softwareprodukte wie Apps, Betriebssysteme, Unternehmenssoftware oder Spiele

Ausnahmen:

Nicht vom Cyber Resilience Act betroffen sind Produkte, die bereits durch andere EU-Rechtsvorschriften reguliert sind. Ausgenommen vom CRA sind unter anderem:

• Produkte mit dem Zweck der nationalen Sicherheit und Verteidigung.
• Medizinprodukte & In-vitro-Diagnostika, Fahrzeuge, Luft- und Schifffahrttechnik.
• Nicht-kommerzielle Open-Source-Software, sofern sie nicht gegen Entgelt oder im Rahmen einer geschäftlichen Tätigkeit bereitgestellt wird.

Der Cyber Resilience Act führt eine Reihe grundlegender Cybersecurity-Anforderungen ein (Verordnung (EU) 2024/2847, Anhang I, Teil I). Diese sollen sicherstellen, dass Risiken frühzeitig erkannt, minimiert und über den gesamten Lebenszyklus (Planungs-, Konzeptions-, Entwicklungs-, Herstellungs-, Liefer- und Wartungsphase) hinweg kontrolliert werden.

Neben den grundlegenden Cybersecurity-Anforderungen stellt der CRA weitere Anforderungen an ein aktives Schwachstellenmanagement auf (Verordnung (EU) 2024/2847, Anhang I, Teil II). Im Fokus stehen

• das Ermitteln und Dokumentieren von Schwachstellen,
• das Erstellen einer Software-Stückliste (SBOM),
• die unverzügliche Behandlung von Schwachstellen und
• das Bereitstellen von Sicherheitsupdates.

Die grundlegenden Cybersecurity-Anforderungen und die Anforderungen an ein aktives Schwachstellenmanagement sind Teil des Normungsmandats M 606, das die EU-Kommission an die europäischen Normungsorganisationen CEN, CENELEC und ETSI erteilt hat. Im Normungsmandat werden die Anforderungen durch Technische Normen konkretisiert. CEN, CENELEC und ETSI haben eine Übersicht der CRA-Normungsaktivitäten erstellt. Sie zeigt die Zuordnung der CRA-Anforderungen zu den entsprechenden Normungsgremien.

Neben den genannten Cybersecurity-Anforderungen gibt es weitere Bereiche, die der CRA beschreibt und Anforderungen festlegt. Dazu zählen unter anderem Meldepflichten, Anforderungen an Dokumentation und Marktüberwachung sowie bei Nichterfüllen auferlegte Sanktionen.

Mit unserem DKE Newsletter sind Sie immer top informiert! Monatlich ...

• fassen wir die wichtigsten Entwicklungen in der Normung kurz zusammen
• berichten wir über aktuelle Arbeitsergebnisse, Publikationen und Entwürfe
• informieren wir Sie bereits frühzeitig über zukünftige Veranstaltungen

Der Cyber Resilience Act unterliegt dem New Legislative Framework (NLF) der EU. Das NLF dient als Gesamtkonzept zur Vereinfachung und Vereinheitlichung der europäischen Regulierung und verbindet Regulierungsanforderungen, Technische Normen, Konformitätsbewertung und CE-Kennzeichnung. Vor allem die Ausgestaltung der Anforderungen aus dem CRA durch Technische Normen ist von zentraler Bedeutung.

Das Normungsmandat M 606 ordnet dabei jeder grundlegenden Cybersecurity-Anforderung und jeder Anforderung an ein aktives Schwachstellenmanagement jeweils ein Normungsprojekt samt Normungsorganisation und Technischem Komitee zu. In diesen Normungsprojekten sollen harmonisierte Europäische Normen (hENs) erarbeitet werden, die nach Ratifizierung durch die EU-Kommission die Vermutungswirkung und damit die Einhaltung der Cybersecurity-Anforderungen sicherstellen.

Mit der Veröffentlichung der hENs werden auch die Anforderungen aus dem Cyber Resilience Act umgesetzt. Die CE-Kennzeichnung kann so normkonform verwendet werden.

Die Normungsprojekte im Normungsmandat M 606 werden in zwei Bereiche aufgeteilt: horizontale und vertikale Normen.

• Horizontale Normen sind produktunabhängig und beschreiben grundlegende Cybersecurity-Anforderungen sowie die Anforderungen an ein aktives Schwachstellenmanagement.
• Vertikale Normen hingegen sind auf spezifische Produktgruppen bzw. -kategorien ausgelegt.

Mehr zu den horizontalen und vertikalen Normungsaktivitäten sowie konkrete Informationen zu den Arbeiten in den jeweiligen Technischen Komitees liefert die gemeinsame Plattform stan4cra.eu von CENELEC und ETSI.

Der Cyber Resilience Act gibt den rechtlichen Rahmen vor – doch wie lassen sich daraus harmonisierte Europäische Normen ableiten?

CEN, CENELEC und ETSI, aber auch die Industrie, haben Wert darauf gelegt, die hENs nicht komplett neu zu schreiben, sondern auf bereits bestehende und etablierte (internationale) Normen zurückzugreifen. Die Vorteile liegen auf der Hand: eine große Zeitersparnis für die Erarbeitung und die Sicherstellung der internationalen Anschlussfähigkeit.

Die Normenreihe IEC 62443 bildet bereits seit vielen Jahren die Grundlage für Cybersecurity im Bereich der OT und gilt in der Branche als Goldstandard. Beheimatet in der Industrieautomatisierung, hat die Reihe IEC 62443 durch ihren holistischen und ganzheitlichen Ansatz auch Anklang in anderen OT-Bereichen gefunden, zum Beispiel in der Medizintechnik, Bahntechnik oder Gebäudeautomation. Dieser Ansatz ermöglicht damit die Wiederverwendbarkeit der IEC 62443 und ihrer Anforderungen im Kontext des CRA und der hENs. Bereits mit Veröffentlichung des ersten CRA-Entwurfs, hat es sich das verantwortliche europäische Gremium (CLC/TC 65X) zur Aufgabe gemacht, die CRA-Anforderungen mit den Anforderungen der IEC 62443 zu vergleichen und zu analysieren.

Das Ergebnis: Die meisten CRA-Anforderungen werden bereits durch die IEC 62443 abgedeckt. Besonders vielversprechend sind folgende Normenteile:

• IEC 62443-4-1: Secure product development lifecycle requirements 
• IEC 62443-4-2: Technical security requirements for IACS components 
• IEC 62443-3-3: System security requirements and security levels

Diese Normen bilden die Grundlage für neue europäische Normen im Rahmen des CRA. Um daraus hENs zu erarbeiten, die den Anforderungen unter dem NLF entsprechen, werden die Normen um spezifische Bereiche, zum Beispiel Evaluationskriterien, erweitert. Gleichwohl die Erarbeitung der hENs noch läuft, kann festgehalten werden: Wer die IEC 62443 schon heute umsetzt, hat den ersten Schritt in Richtung CRA-Konformität bereits getan.

Der Cyber Resilience Act ist allerdings nicht die einzige Regulierung, die sich mit der digitalen Resilienz und der Stärkung des europäischen Binnenmarkts beschäftigt. Weitere Verordnungen und Richtlinien, zum Beispiel der Chips Act, AI Act, Data Act oder auch die NIS2-Richtlinie regulieren unterschiedliche Aspekte der digitalen und vernetzten Welt.

Die NIS2-Richtlinie ist besonders hervorzuheben, da sie die gleichen Ziele verfolgt wie der CRA, sich aber an eine andere Zielgruppe richtet. Während der CRA vor allem Produkthersteller im Fokus hat, betrifft die NIS2-Richtlinie in erster Linie Betreiber und insbesondere Betreiber von kritischer Infrastruktur (KRITIS). Die Anforderungen zeigen: Der Cyber Resilience Act und die NIS2-Richtlinie ziehen an einem Strang. So wird unter anderem in beiden Regelwerken ein systematisches Risikomanagement verlangt sowie eine zeitnahe Meldung von Sicherheitsvorfällen.

Unternehmen, die sowohl Hersteller als auch Betreiber sind, können sich bei der Umsetzung der regulatorischen Anforderungen auf Technische Normen stützen – für eine Umsetzung der NIS2-Richtlinie beispielsweise auf die Normenreihe ISO/IEC 27000. Das Zusammenspiel der ISO/IEC 27000 mit der IEC 62443 wurde in der Vergangenheit verstärkt durch die zuständigen Komitees in ISO und IEC vorangetrieben, sodass Schnittstellen und Abgrenzungen klar und deutlich beschrieben sind.

Der Cyber Resilience Act verändert die Spielregeln für Produkte mit digitalen Elementen in Europa. Er macht Cybersecurity von einer freiwilligen Anwendung zur Pflicht – nicht nur für große Konzerne, sondern für alle, die vernetzte Produkte entwickeln, importieren oder vertreiben. Die Anforderungen sind anspruchsvoll, aber klar definiert. Wer sie frühzeitig umsetzt, schützt nicht nur seine Kunden, sondern auch das eigene Unternehmen vor rechtlichen und wirtschaftlichen Risiken.

Die gute Nachricht: Es gibt bewährte Normen, die eine Umsetzung erleichtern. Die IEC 62443 als Goldstandard in der Industrieautomatisierung bietet eine umfangreiche Grundlage und dient als Vorlage für viele harmonisierte Europäische Normen unter dem CRA. Für betroffene Akteure gibt es keinen Grund auf die Veröffentlichung der hENs zu warten und wertvolle Zeit verstreichen zu lassen.

Jetzt ist der richtige Zeitpunkt, um aktiv zu werden und die Grundlage für sichere, vertrauenswürdige und zukunftsfähige Produkte zu schaffen – und damit die digitale Resilienz Europas zu stärken.

Redaktioneller Hinweis:

Der vorliegende Artikel wurde mit KI erstellt, fachlich geprüft und redaktionell bearbeitet.

Die starke Vernetzung unserer Infrastrukturen ruft einige Bedrohungen der Informationssicherheit und des Datenschutzes bei Systemen hervor. Innerhalb der DKE werden im Arbeitsfeld Cybersecurity wichtige Sicherheitsfragen behandelt, die sich über die gesamte Laufzeit eines Systems bzw. einer Systemkomponente erstrecken. Ein Hauptziel aus Normungssicht ist dabei, Cybersecurity als Innovationsthema zu verstehen und in den relevanten Bereichen ganzheitlich zu adressieren.