Die Revolution rückt näher : Cyber-Resilience-Act fordert sichere „Produkte mit digitalen Elementen“

Geltungsbereich des CRA

Der CRA betrifft „Produkte mit digitalen Elementen“ und bestimmt konkrete Cybersicherheitsanforderungen für diese. Um in einem offenen Binnenmarkt einen harmonisierten Rechtsrahmen und Rechtssicherheit für Nutzer, Organisationen und Unternehmen zu schaffen, ist es notwendig, diesen Bereich auf EU-Ebene zu regulieren.

Zu den betroffenen Produkten gehören:

• Hardware mit digitalen Elementen (z.B. vernetzte Geräte)
• Software, wenn sie als Teil eines Produkts mit digitalen Elementen fungiert oder in diese integriert ist
• konkrete Dienste zur „Datenfernverarbeitung“, sofern diese notwendig sind, damit ein Produkt mit digitalen Elementen seine Funktion erfüllen kann (z.B. CloudFunktionen, die vom Hersteller bereitgestellt werden)

Zu den betroffenen Akteuren, die unter den CRA fallen, gehören:

• Hersteller von Produkten mit digitalen Elementen, also Firmen, die Hard- oder Software entwickeln, produzieren oder zusammensetzen
• Importeure, die solche Produkte von außerhalb der EU in den Binnenmarkt bringen
• Händler/Vertreiber innerhalb der EU, die solche Produkte verkaufen oder bereitstellen
• Verwalter von quelloffener Software, soweit die Software kommerziell angeboten oder in Produkten verwendet wird

Dabei können auch Firmen außerhalb der EU betroffen sein, wenn sie Produkte mit digitalen Elementen auf dem EU-Markt anbieten.

Mit dem CRA werden gezielt Cybersicherheitsrisiken angegangen. Dabei ist aber wichtig zu betonen, dass Produkte mit digitalen Elementen noch andere Sicherheitsrisiken haben können, die nicht (immer) mit der Cybersicherheit zusammenhängen, sich aber aus einer Sicherheitsverletzung ergeben können. Diese Risiken können gegebenenfalls anhand einschlägiger Harmonisierungsrechtsvorschriften der EU geregelt werden. Sind keine solchen Vorschriften anwendbar, sollten sie der EUVerordnung 2023/988 über die allgemeine Produktsicherheit [3] unterliegen.

Ausnahmen vom Geltungsbereich

Es gibt allerdings auch Produkte, die der CRA nicht betrifft: Das sind beispielweise Geräte, die speziell für militärische oder andere sicherheitsrelevante Zwecke konzipiert sind, die also dem Zweck der nationalen Sicherheit oder Verteidigung dienen. Digitale Produkte sind zudem ganz oder teilweise vom CRA ausgenommen, wenn bereits eine speziellere EU-Regulierung für sie gilt (z.B. bei Medizinprodukten, Luftfahrt oder Fahrzeugen), die gleichwertige Cybersicherheitsanforderungen umfasst, soweit damit ein gleichwertiges Schutzniveau gewährleistet ist.

Des Weiteren ist freie und quelloffene Software (Open Source Software, OSS) nicht vom CRA betroffen, sofern sie nicht kommerziell betrieben oder vermarktet wird. Überdies sind Produkte mit digitalen Elementen ausgenommen, welche die öffentliche Verwaltung ausschließlich für den Eigenbedarf entwickelt, sowie CloudDienste, die außerhalb der Verantwortung des Herstellers liegen.

Anforderungen an betroffene Unternehmen

Betroffene Unternehmen haben eine Reihe von Pflichten. Dabei ist es wichtig zu betonen, dass die Hauptverantwortung die Hersteller selbst tragen: Zu ihren Aufgaben gehören grundlegende Anforderungen der Cybersicherheit – beispielsweise, dass Produkte mit digitalen Elementen so gestaltet, entwickelt und hergestellt werden müssen, dass sie ein angemessenes Sicherheitsniveau entsprechend dem Risiko gewährleisten. Anhang  I des CRA bestimmt, dass Produkte ohne bekannte ausnutzbare Schwachstelle verfügbar gemacht werden und die Standardkonfigurationen sicher sein sollen. Schwachstellen müssen durch Updates adressierbar sein – der Schutz vor unbefugtem Zugriff durch Zugriffskontrollen, Authentifizierung, Identitäts-/Zugriffsmanagement gewährleistet sein.

Zudem muss die Datenverarbeitung auf einer gewisse Vertraulichkeit beruhen, das heißt eine Verschlüsselung oder weitere technische Maßnahmen sind einzusetzen. Daten, Befehle und Konfigurationen sind zudem vor Manipulationen zu schützen, sodass ihre Integrität gewährleistet bleibt. Außerdem soll die Datenverarbeitung die Grundsätze der Datenminimierung beachten, also ausschließlich diejenigen Daten verarbeiten, welche für den jeweiligen Zweck wirklich benötigt werden.

Für Produkte mit digitalen Elementen müssen Hersteller eine Konformitätsbewertung durchführen, um nachzuweisen, dass das Produkt den Vorgaben des CRA entspricht – anschließend muss eine EU-Konformitätserklärung ausgelegt werden. Konforme Produkte müssen dann eine CE-Kennzeichnung tragen und für sie ist eine technische Dokumentation zu führen (Anhang VII). Diese Dokumentation muss eine Produktbeschreibung enthalten, das heißt die beabsichtigte Verwendung, Softwareversion et cetera sowie Angaben über Design, Entwicklung, Produktion und den Prozess zur Schwachstellenbehandlung umfassen. Darüber hinaus müssen die angewandten Normen, Spezifikationen oder Beschreibungen alternativer Lösungen zur Erfüllung der Anforderungen referenziert werden.

Für Produkte mit digitalen Elementen müssen Hersteller eine Konformitätsbewertung durchführen, um nachzuweisen, dass das Produkt den Vorgaben des CRA entspricht – anschließend muss eine EU-Konformitätserklärung ausgelegt werden. Konforme Produkte müssen dann eine CE-Kennzeichnung tragen und für sie ist eine technische Dokumentation zu führen (Anhang VII). Diese Dokumentation muss eine Produktbeschreibung enthalten, das heißt die beabsichtigte Verwendung, Softwareversion et cetera sowie Angaben über Design, Entwicklung, Produktion und den Prozess zur Schwachstellenbehandlung umfassen. Darüber hinaus müssen die angewandten Normen, Spezifikationen oder Beschreibungen alternativer Lösungen zur Erfüllung der Anforderungen referenziert werden.

Empfehlungen zum Umgang mit CRA

Für Unternehmen, die vom CRA betroffen sind, bedeutet die Umsetzung vor allem, sich klarzumachen, wie das Produktportfolio und die Rollen als Hersteller, Importeuer, Händler und gegebenenfalls Verwalter bestimmt sind und welche sektoralen Spezialvorschriften abgegrenzt werden sollten.

Darauf aufbauend sollte eine Gap-Analyse gegen die grundlegenden Cybersicherheitsanforderungen des Anhangs I CRA erfolgen – gestützt auf Risiko- und Bedrohungsanalysen. Praktisch bedeutet das, einen durchgängigen sicheren Entwicklungslebenszyklus zu verankern (Secure Coding, Code-Reviews, automatisierte Sicherheitsprüfungen sowie Penetrationstests), ein lückenloses Komponenteninventar und eine Software Bill of Materials (SBOM) zu pflegen, sichere Update-Mechanismen mit Signaturen und Rollback zu etablieren sowie „Security by Default“ in den Prozessen und Komponenten zu gewährleisten (keine Standardpasswörter, starke Authentifizierung, Least-Privilege-Prinzip, Härtung, zeitgemäße Kryptografie sowie Integritäts- und Manipulationsschutz).

Parallel werden ein strukturiertes Schwachstellenmanagement und eine veröffentlichte Vulnerability-Disclosure-Policy benötigt – inklusive Verwaltung der Fristen, Nutzerinformation sowie der Fähigkeit, Meldungen über die zentrale ENISA-Plattform abzusetzen sowie ein Post-Market-Monitoring zu betreiben.

Parallel werden ein strukturiertes Schwachstellenmanagement und eine veröffentlichte Vulnerability-Disclosure-Policy benötigt – inklusive Verwaltung der Fristen, Nutzerinformation sowie der Fähigkeit, Meldungen über die zentrale ENISA-Plattform abzusetzen sowie ein Post-Market-Monitoring zu betreiben.

Zwingend sind zudem die Konformitätsbewertung je Produkt, das Erstellen der EU-Konformitätserklärung, die CE-Kennzeichnung und eine vollständige technische Dokumentation gemäß Anhang VII CRA (Produktbeschreibung, Architektur, Risikoanalyse, angewandte Normen oder begründete Alternativen, Test- und SDLNachweise, SBOM sowie Update- und Supportkonzept).

Nutzer müssen klare Sicherheitsanleitungen, Updatehinweise, Support- und End-of-Live-Informationen (EOL) erhalten. Auch die Lieferketten sind vertraglich abzusichern (Sicherheitsklauseln, Benachrichtigungspflichten, Patch-Service-Level-Agreements sowie SBOMBereitstellung). Für begleitende Cloud-/Remote-Dienste unter Herstellerverantwortung sind Zugangskontrollen, Verschlüsselung, Logging, Updatefähigkeit und Verfügbarkeit verbindlich festzulegen.

Importeure und Händler müssen Wareneingangs- und Konformitätsprüfungen einrichten, für Rückverfolgbarkeit sorgen und die Bereitstellung bei Verdacht auf Nichtkonformität stoppen. Unternehmen sollten sich auf Marktüberwachungsanfragen und mögliche ENISASweeps (sog. koordinierte Kontrollen) vorbereiten, Ansprechpersonen benennen und ein „Audit-Paket“ mit allen Nachweisen bereithalten.

Organisatorisch empfiehlt sich ein CRA-Programm mit klaren Verantwortlichkeiten, Schulungen für Entwicklung, Produktmanagement, Support und Legal/ Compliance sowie Kennzahlen zur Wirksamkeitsmessung (z.B. Remediation-Zeiten, Update-Adoption und Testabdeckung).

Zeitlich sollten bis zum 11. Juni 2026 die Marktüberwachungs- und Behördenkommunikation funktionsfähig sein, bis zum 11. September 2026 die Prozesse für Schwachstellen- und Vorfallmeldungen inklusive Nutzerbenachrichtigungen produktiv laufen und spätestens bis zum 11. Dezember 2027 nur noch konforme, korrekt gekennzeichnete Produkte in den EU-Markt gelangen.

Für die technische Ausgestaltung empfiehlt es sich, harmonisierte Normen zu nutzen, sobald diese verfügbar sind, und bis dahin auf etablierte Standards wie ETSI EN 303 645 „Cyber Security for Consumer Internet of Things: Baseline Requirements“, ISO/IEC  29147 „Information technology – Security techniques – Vulnerability disclosure“ sowie ISO/IEC  30111 „Information technology – Security techniques – Vulnerability handling processes“ sowie grundlegende Normen wie ISO/IEC 27001/27002 oder die (Mobile) Application Security Verification Standards der OWASP (ASVS/MASVS) zurückzugreifen.

Die Rollen von ENISA und BSI

Die „European Union Agency for Cybersecurity“ ENISA soll die Fähigkeit besitzen, den Prozess der Durchführung des CRA zu unterstützen – allem voran die Zusammenarbeit der Marktüberwachungsbehörden. Wenn es Hinweise auf mögliche Nichtkonformität von Produkten mit digitalen Elementen mit dem CRA gibt, ist es der ENISA gestattet, die Produktkategorien zu ermitteln, zu denen „Sweeps“ organisiert werden sollen.

Überdies hat die ENISA weitere Zuständigkeiten gemäß CRA: Zunächst soll sie einheitliche Meldeplattformen nach Art. 16 einrichten, steuern und aufrechthalten, um die Meldepflichten der Hersteller zu vereinfachen. Außerdem kann die ENISA Computer-Security-IncidentResponse-Teams (CSIRTs) in begründeten Einzelfällen Aufschub gewähren oder auf einzelne Teile von Meldungen verzichten.

Zusammenfassend lässt sich festhalten, dass die ENISA geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreift, um die Sicherheit der Meldeplattformen zu gewährleisten und Risiken zu bewältigen. Sie meldet dem CSIRTs-Netzwerk und der Kommission jeden Sicherheitsvorfall, der die Meldeplattform betrifft und unterstützt somit die Kommission, Mitgliedstaaten und Marktüberwachungsbehörden mit technischer Expertise in Bezug auf die Risikobewertung der Produkte mit digitalen Elementen.

Anfang Oktober hat die deutsche Bundesregierung gegenüber der Europäischen Kommission das Bundesamt für Sicherheit in der Informationstechnik (BSI) als notifizierende und marktüberwachende Behörde benannt [4]. Damit erhält auch das BSI neue Aufgaben: Als notifizierende Behörde wird das BSI Drittstellen bewerten und notifizieren, damit diese unabhängig IT-Produkte auf die Anforderungen des CRA prüfen können. Als marktüberwachende Behörde kann das Amt stichprobenartig oder gezielt IT-Produkte auf Cybersicherheit überprüfen und bei Verstößen Sanktionen und Bußgelder verhängen (bis zu 15 Mio. € bzw. 2,5% des weltweiten Umsatzes vom vorangegangenen Geschäftsjahr). Und nicht zuletzt wird dem BSI sogar die Möglichkeit eingeräumt, Produkte mit digitalen Elementen vom Markt zu nehmen, wenn sie den Anforderungen des CRA nicht gerecht werden sollten.

Fragen, Antworten und weitergehende Informationen zum CRA und seiner Umsetzung in Deutschland hält das BSI über die Portalseite www.bsi.bund.de/dok/cra bereit und will diese kontinuierlich ausbauen.

Fazit

Betroffene Unternehmen sollten sich schon längst mit den Auswirklungen von CRA auseinandergesetzt haben – sonst kann ein böses Erwachen folgen, denn die regulatorischen Anforderungen der Verordnung lassen sich nicht „über Nacht“ etablieren. Schließlich muss Sicherheit in etliche Prozesse integriert und „gelebt“ werden.

CRA-konform zu agieren ist jedoch kein Hexenwerk – alle, die sich bereits zuvor Gedanken um Sicherheit gemacht und entsprechende Prozesse etabliert haben, müssen im Wesentlichen nur Abweichungen vom bisherigen Vorgehen herausarbeiten und mit geeigneten Maßnahmen adressieren. Allerdings gilt auch dafür: je früher, desto besser!

Manuel Atug ist Principal, Rozerin Karaterzi ist Werkstudentin Security Consulting bei der HiSolutions AG.

Literatur

_{[1] Prof. Dr. Dennis-Kenji Kipker, Europäische Revolution in der Product-Security, Was der Cyber-Resilience-Act bringen wird, 2025# 1, S. 48, www.kes-informationssicherheit.de/print/titelthema-eu-regularien-updates-fuer-die-cybersicherheit/europaeische-revolution-in-der-product-security/ (+)}

_{[2] Europäische Union, Verordnung (EU) 2024/ 2847 … vom 23. Oktober 2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen … (Cyberresilienz-Verordnung), konsolidierte Fassung, November 2024, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:02024R2847-20241120}

_{[3] Europäische Union, Verordnung (EU) 2023/988 … vom 10. Mai 2023 über die allgemeine Produktsicherheit …, konsolidierte Fassung, Mai 2023, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:02023R0988-20230523}

_{[4] Bundesamt für Sicherheit in der Informationstechnik (BSI), Cyber Resilience Act: BSI wird marktüberwachende Behörde, Pressemitteilung, Oktober 2025, www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2025/251007_CRA_BSI_marktueberwachende_Behoerde.html}

_{[5] Europäische Kommission, Bedingungen für die verzögerte Weitermeldung von Sicherheitsvorfällen (delegierter Rechtsakt), fortlaufend aktualisiert, https://ec.europa.eu/info/law/better-regulation/haveyour-say/initiatives/14731_de}