Cyber Resilience Act
Cyber Resilience Act
Überblick
Der Cyber Resilience Act (CRA) führt verpflichtende Cybersicherheitsanforderungen für Hardware- und Softwareprodukte mit digitalen Elementen ein. Er deckt den gesamten Produktlebenszyklus von der Entwicklung bis zum Supportende ab und zielt darauf ab, die Verbreitung unsicherer IoT- und Softwareprodukte zu bekämpfen.[1]
Der CRA gilt für Produkte, die auf dem EU-Markt bereitgestellt werden, unabhängig davon, wo sie hergestellt wurden.
Anwendungszeitplan
| Datum | Meilenstein |
|---|---|
| 10. Dezember 2024 | Inkrafttreten des CRA |
| 11. September 2026 | Beginn der Meldepflichten |
| 11. Dezember 2027 | Vollständige Anwendung aller Anforderungen |
Geltungsbereich der Produkte
Abgedeckte Produkte
Produkte mit digitalen Elementen, die:
- Eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netzwerk haben
- Hardware- und Softwarekomponenten enthalten
Kategorien
| Kategorie | Anforderungen | Beispiele |
|---|---|---|
| Standard | Selbsteinschätzung | Die meiste Software, einfache IoT-Geräte |
| Wichtig Klasse I | Standardbasierte Bewertung | Browser, Passwortmanager, VPNs, Netzwerkmanagement |
| Wichtig Klasse II | Drittparteibewertung | Betriebssysteme, Firewalls, Router, Hypervisoren |
| Kritisch | Drittparteibewertung + Zertifizierung | Hardware-Sicherheitsmodule, intelligente Zähler, Smartcards |
Ausnahmen
- Open-Source-Software (nicht-kommerzielle Entwicklung)
- SaaS (unterliegt anderen Vorschriften)
- Bereits regulierte Produkte (Medizinprodukte, Fahrzeuge, Luftfahrt)
- Verteidigungs- und nationale Sicherheitsprodukte
Wesentliche Cybersicherheitsanforderungen[2]
Sicherheit durch Design
Produkte müssen so entworfen und entwickelt werden, dass sie gewährleisten:
- Angemessenes Sicherheitsniveau: Basierend auf vorhersehbaren Risiken
- Keine bekannten ausnutzbaren Schwachstellen: Zum Zeitpunkt der Markteinführung
- Sichere Standardkonfiguration: Einschließlich Werksreset-Funktion
- Schutz der Vertraulichkeit: Für gespeicherte, übertragene und verarbeitete Daten
- Integritätsschutz: Gegen unbefugte Änderungen
- Verfügbarkeit: Widerstandsfähig gegen Denial-of-Service-Angriffe
- Minimale Angriffsfläche: Reduzierung potenzieller Angriffsvektoren
- Begrenzung der Auswirkungen von Vorfällen: Minimierung der Folgen von Sicherheitsverletzungen
Authentifizierung und Zugriffskontrolle
- Starke, eindeutige Standardanmeldedaten oder vom Nutzer bei Erstgebrauch festgelegt
- Schutz vor Brute-Force-Angriffen
- Sichere Authentifizierungsmechanismen
Datenschutz
- Verschlüsselte Speicherung sensibler Daten
- Sichere Datenübertragung
- Löschen oder Anonymisieren von Daten, wenn sie nicht mehr benötigt werden
Anforderungen an den Umgang mit Schwachstellen[3]
Hersteller müssen:
- Schwachstellen identifizieren: Durch Tests und Überwachung
- Komponenten dokumentieren: Pflege einer Software-Stückliste (SBOM)
- Schwachstellen beheben: Sicherheitsupdates ohne unangemessene Verzögerung bereitstellen
- Schwachstellen offenlegen: Koordination mit betroffenen Parteien
- Sicherheitsupdates: Kostenlose Updates für definierten Supportzeitraum (mindestens 5 Jahre)
Schwachstellenmeldung
Ab September 2026 müssen Hersteller melden:
| Berichtstyp | Frist |
|---|---|
| Aktiv ausgenutzte Schwachstelle | 24 Stunden an ENISA |
| Sicherheitsrelevanter Vorfall | 24 Stunden an ENISA/CSIRT |
| Schwachstellenbenachrichtigung | 72 Stunden an ENISA |
Konformitätsbewertung
| Kategorie | Verfahren |
|---|---|
| Standard | Selbsterklärung oder EU-Typprüfung |
| Wichtig Klasse I | Harmonisierte Normen ODER Drittparteibewertung |
| Wichtig Klasse II | Drittparteikonformitätsbewertung |
| Kritisch | EU-Typprüfung + Produktionsqualitätskontrolle |
Produkte müssen die CE-Kennzeichnung tragen, die die Konformität bestätigt.
Strafen
- Nichteinhaltung: Bis zu 15 Millionen € oder 2,5 % des weltweiten Umsatzes
- Verstoß gegen wesentliche Anforderungen: Bis zu 10 Millionen € oder 2 % des Umsatzes
- Andere Verstöße: Bis zu 5 Millionen € oder 1 % des Umsatzes[4]
Handlungsempfehlungen für Entwickler
Für Software- und Hardwarehersteller:
- Produkte inventarisieren: Ermitteln, welche Produkte betroffen sind und deren Kategorie
- Sicherheit durch Design: Sicherheit in Entwicklungsprozesse integrieren
- Schwachstellenmanagement: Erkennung und Handhabung etablieren
- SBOM-Erstellung: Softwarekomponenten und Abhängigkeiten dokumentieren
- Supportplanung: Supportzeiträume definieren und kommunizieren
- Update-Mechanismen: Sichere Update-Verteilungssysteme aufbauen
- Konformitätsvorbereitung: Technische Dokumentation vorbereiten
Quellen & Referenzen
[1]
Verordnung (EU) 2024/2847 zu Cybersicherheitsanforderungen für Produkte. EUR-Lex: CRA Amtstext
[2]
CRA Anhang I: Wesentliche Cybersicherheitsanforderungen. CRA Portal: Anhang I
[3]
CRA Anhang I Teil II: Anforderungen an den Umgang mit Schwachstellen. CRA Portal: Umgang mit Schwachstellen
[4]
CRA Artikel 64: Strafen. CRA Portal: Strafen