Cyber Resilience Act: Marktzugang für Produkte sichern

Marcel Rieger

Managing Director, Cyber Risk

Der Cyber Resilience Act (CRA): Marktzugang und Lieferfähigkeit sichern

Stellen Sie Produkte mit digitalen Elementen in Deutschland oder der EU her oder verkaufen Sie diese? Dann ist der Cyber Resilience Act, kurz CRA, für Sie ein Pflichtthema. Im Kern geht es um Marktzugang und Lieferfähigkeit.

Produkte müssen nachweislich sicher entwickelt werden. Sicherheitsupdates müssen über den gesamten Lebenszyklus geplant und bereitgestellt werden.

CRA-Konformität: Eine Voraussetzung für das Inverkehrbringen in der EU

Ohne nachweisliche CRA-Konformität ist die CE-Kennzeichnung in der Regel nicht möglich. Dies kann dazu führen, dass ein Produkt künftig nicht mehr in der EU in Verkehr gebracht werden darf.

Wichtig ist außerdem: Meldeprozesse für Schwachstellen müssen früher (ab September 2026) stehen als die vollständige Umsetzung. In vielen Unternehmen ist dies der erste Punkt, an dem es organisatorisch hakt, weil Rollen, Wege und Fristen nicht geklärt sind.

Der CRA bedeutet für Sie vor allem eines: Sie sichern weiterhin ihren Marktzugang durch belastbar sichere Produkte. Dies gilt für Hersteller und Händler.

Umfang und Pflichten des Cyber Resilience Acts

Der Cyber Resilience Act ist eine verbindliche gesetzliche Vorgabe der Europäischen Union. Er betrifft Produkte mit digitalen Elementen, zum Beispiel vernetzte Geräte, Maschinen mit Software, Steuerungen, Apps und andere softwarebasierte Komponenten.

Typische Pflichten, die Unternehmen dafür aufsetzen müssen:

• Sichere Entwicklung: Sicherheit wird von Anfang an mitgeplant und mitgeprüft.
• Risikobewertung: Risiken werden strukturiert erfasst und dokumentiert, passend zu Produkt und Einsatz.
• Kontinuierliche Sicherheit über den Lebenszyklus: Updates, Support und Verantwortlichkeiten sind geregelt.
• Schwachstellenmanagement und Meldung: Prozesse zum Erkennen, Bewerten, Beheben und Melden sind eingerichtet, inklusive klarer Zuständigkeiten.
• Konformitätserklärung und Nachweise: Dokumentation, Prüfungen und Nachweisführung müssen auditfest sein.
• Abhängigkeiten und Zulieferer: Risiken aus Bibliotheken, Komponenten und Dienstleistern werden geprüft und gesteuert.

Vier Schritte zur CRA-Konformität

• 1. Workshop zur Roadmap: Es wird geklärt, welche Produkte betroffen sind und wo die größten Lücken liegen. Daraus entstehen Roadmap, Meilensteine und klare Zuständigkeiten.
• 2. Konzeption: Es werden schlanke Vorgaben für sichere Entwicklung, Dokumentation und Schwachstellenprozesse festgelegt. Nachweise, Zuliefererprüfung und Abhängigkeiten werden pragmatisch geplant.

Umsetzung und Nachweis der sicheren Produktentwicklung

• 3. Umsetzung der sicheren Produktentwicklung: Risiken werden priorisiert und Sicherheitslücken werden geschlossen, inklusive sinnvoller Automatisierung von Prüfungen. Zulieferer und Dienstleister werden über Mindestanforderungen verbindlich eingebunden.
• 4. Konformitätsnachweis: Dokumentation und Nachweise werden auditfest aufbereitet und konsistent geprüft. Die Konformitätserklärung wird nachvollziehbar erstellt.