Der Cyber Resilience Act (CRA) ist nicht nur ein weiterer europäischer Rechtsakt, sondern die erste europäische Verordnung, die ein Mindestmaß an Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt. Ziel ist die Schaffung einheitlicher Sicherheitsstandards innerhalb der Europäischen Union, sodass Verbraucher und Organisationen besser vor digitalen Bedrohungen geschützt werden. Der Cyber Resilience Act ist bereits im Jahr 2024 verabschiedet und am 11. Dezember 2024 in Kraft getreten. Auch wenn die wesentlichen Anforderungen erst ab Dezember 2027 gelten, wird eine zentrale Norm bereits im Herbst 2026 anwendbar. Ein Überblick.
Anwendungsbereich des Cyber Resilience Act
Der Cyber Resilience Act gilt gemäß Art. 2 Abs. 1 CRA für nahezu sämtliche Hardware- und Software-Produkte, die direkt oder indirekt mit einem anderen Gerät oder einem Netzwerk verbunden werden können und ab Ende 2027 neu auf den Markt gebracht werden. Damit erfasst die Verordnung grundsätzlich ein sehr breites Spektrum an sogenannten „Produkten mit digitalen Elementen“, von einfachen Alltagsgeräten bis hin zu komplexen Industriemaschinen. Hierunter können beispielsweise intelligente Thermostate, Smart Meter, Router, Switches sowie vernetzte Maschinensteuerungen und Roboter fallen. Ausschlaggebend ist hierbei der Zielmarkt Europa – unabhängig davon, ob die betreffende Hard- oder Software etwa in Amerika, Asien oder anderen Teilen der Welt ihren Ursprung hat.
Hingegen nicht umfasst sind gemäß Art. 2 Abs. 2 – 4 CRA einige Produktkategorien, die bereits anderen spezialgesetzlichen Vorschriften der Europäischen Union unterliegen, zum Beispiel medizinische Geräte, bestimmte Kraftfahrzeugkomponenten oder Schiffsausrüstungen. Ferner ist kostenfreie Open-Source-Software ohne Gewinnerzielungsabsicht von den Anforderungen ausgenommen. KMU und Start-ups sind zwar von den Regelungen nicht ausgenommen, können jedoch auf Unterstützung mittels Leitlinien, Helpdesks und vereinfachten Dokumentationspflichten hoffen.
Ziele des Cyber Resilience Act
Mit dem Cyber Resilience Act verfolgt die Europäische Union das übergeordnete Ziel, die Cybersicherheit in der Union nachhaltig zu stärken. Insbesondere sollen hierbei Mindeststandards für die IT-Sicherheit EU-weit etabliert, digitale Risiken reduziert, die Verantwortung der Hersteller gestärkt sowie Verbraucher und Wirtschaft stärker geschützt werden. Der Cyber Resilience Act baut damit unmittelbar auf der Cybersicherheitsstrategie der Europäischen Union auf.
Wesentliche Pflichten und Maßnahmen des Cyber Resilience Act
Gemäß Art. 6 CRA werden Produkte mit digitalen Elementen nur dann auf den Markt bereitgestellt, wenn diese „den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I genügen“, ordnungsgemäß betrieben werden und „die vom Hersteller festgelegten Verfahren den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II entsprechen.“ Zu den jeweiligen Anforderungen gehören beispielsweise Security by Design & Default, ein kontinuierliches Schwachstellenmanagement und Updates, eine technische Dokumentation und ein Software-Stückverzeichnis („SBOM“ – Software Bill of Materials) sowie Konformitätsnachweise und CE-Kennzeichnungen. Weitergehende Anforderungen können in Zukunft für wichtige Produkte mit digitalen Elementen (z. B. Netzmanagementsysteme, Art. 7 CRA) sowie für kritische Produkte mit digitalen Elementen (z. B. Smart-Meter-Gateways, Art. 8 CRA) gelten.
All diese Anforderungen sind ab dem 11. Dezember 2027 für Produkte mit digitalen Elementen einschlägig, die entweder ab dem 11. Dezember 2027 in Verkehr gebracht werden oder die bereits zuvor in Verkehr gebracht wurden und nach diesem Zeitpunkt wesentlichen Änderungen unterliegen. Unabhängig davon gelten für sämtliche Hersteller von Produkten mit digitalen Inhalten, die in den Anwendungsbereich des Cyber Resilience Acts fallen, ab dem 11. September 2026 Meldepflichten gemäß Art. 14 CRA.
Gemäß Art. 14 Abs. 1 CRA hat ein Hersteller „jede aktiv ausgenutzte Schwachstelle, die in dem Produkt mit digitalen Elementen enthalten ist und von der er Kenntnis erlangt“ dem Computer Security Incident Response Team (CSIRT) sowie der Agentur der Europäischen Union für Cybersicherheit (ENISA) zu melden. Letztere ist verpflichtet für die Umsetzung der Meldepflichten eine einheitliche Meldeplattform bereitzustellen. Die Meldepflicht nach dem Cyber Resilience Act ergänzt bestehende europäische Regelungen, etwa die Meldepflichten nach der NIS-2-Richtlinie, ist jedoch produktbezogen und nicht auf Betreiber kritischer Infrastrukturen beschränkt.
Die Anforderungen des Art. 14 Abs. 2 CRA sehen grundsätzlich ein mehrstufiges Verfahren vor: Eine Erstmeldung ist innerhalb von 24 Stunden nach Kenntniserlangung verpflichtend. Diese Meldung enthält erste Angaben zum betroffenen Produkt, zur Art der Schwachstelle und zu möglichen Auswirkungen. Eine Folgemeldung mit detaillierteren Informationen muss innerhalb von 72 Stunden erfolgen, sobald weitere technische Erkenntnisse vorliegen. Darüber hinaus verlangt der Cyber Resilience Act, dass Hersteller binnen 14 Tagen nach der Erstmeldung einen vollständigen Bericht einreichen, der die Ursachenanalyse, ergriffene Gegenmaßnahmen und geplante Sicherheitsupdates dokumentiert.
Sanktionsmöglichkeiten
Der Cyber Resilience Act sieht in Artikel 64 bei Verstößen gegen zentrale Pflichten Bußgelder von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes vor. Bei weniger schwerwiegenden Verstößen können bis zu zehn Millionen Euro oder 2 % des Umsatzes verhängt werden. Zusätzlich dürfen Marktaufsichtsbehörden gemäß Art. 54 Abs. 5 CRA alle geeigneten Maßnahmen ergreifen, um die Bereitstellung von Produkten mit digitalen Elementen zu untersagen oder einzuschränken, das Produkt vom Markt zu nehmen oder es zurückzurufen.
Fazit
Der Cyber Resilience Act markiert einen Wendepunkt, indem er für Produkte mit digitalen Elementen IT-Sicherheit zur gesetzlichen Pflicht macht. Für Organisationen bedeutet dies kurzfristig einen Mehraufwand, bietet aber langfristig die Chance, durch nachweislich sichere Produkte Vertrauen bei Kunden aufzubauen. Wer früh handelt und die Vorgaben proaktiv umsetzt, sichert sich nicht nur die Compliance zum Stichtag, sondern verschafft sich auch einen Wettbewerbsvorteil in einer zunehmend digitalisierten Wirtschaft. Dabei sollte der Fokus zunächst auf die Umsetzung der Meldeverpflichtung gelegt werden. Weiterführende Informationen finden sich unter anderem auf der Seite des Bundesamt für Sicherheit in der Informationstechnik.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
