Was ist der Cyber Resilience Act (CRA)?
Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die erstmals einheitliche und verpflichtende Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (PDE) festlegt. Dabei wird das große Ziel verfolgt, die digitale Sicherheit von Hardware- und Softwareprodukten in der gesamten EU zu erhöhen, sodass Benutzer von Cyberattacken bestmöglich verschont bleiben. Dabei sind sowohl jegliche vernetzte Haushaltsgeräte als auch Embedded Systems im industriellen Kontext betroffen.
Die Verordnung basiert auf dem Prinzip des Security by Design, was bedeutet, dass Sicherheitsmaßnahmen von der Entwicklung bis zum Produktlebenszyklus zentral berücksichtigt werden müssen.
Wer nicht CRA konforme Produkt auf dem Markt entwickelt oder vertreibt, dem drohen künftig rechtliche Konsequenzen, Verzögerungen bei der CE-Kennzeichnung oder sogar der Ausschluss vom EU-Markt.
Höchste Eisenbahn also, sich mit dem Thema zu befassen.
Info: Wir entwickeln CRA-konforme Embedded Hardware und -Software.
Sind Embedded Systems vom CRA betroffen?
Ganz klar: Ja, eingebette Systeme sind direkt betroffen vom CRA!
Wie bereits oben erwähnt, verfügen Produkte aus dem Consumer wie aus dem industriellen Umfeld zunehmend mehr über Embedded Systems. Sensordaten sollen mithilfe von Sensoren aufgenommen, verarbeitet und verschickt werden. Weil gerade der letzte Teil eine gewisse Connectivität voraussetzt, findet der CRA bei genau diesen Geräten Anwendung.
Produkte, die aus dem industriellen Umfeld vom CRA betroffen sind:
- Industrielle Steuerungssysteme (SPS, SCADA, HMI)
- Sensoren und Aktoren mit integrierter digitaler Verarbeitung
- Industrie-Router und Embedded-Komponenten
- B2B-Softwareprodukte mit eigenständiger Funktionalität
- Maschinenkomponenten mit Netzwerkanbindung
- Kommunikations- und Steuerungseinheiten für Energienetze, Bahninfrastruktur oder industrielle Anlagen
Produkte, die aus dem Comsumer Umfeld vom CRA betroffen sind:
- Smarte Türschlösser und Video-Türklingeln
- Sämtliche WLAN-fähige Haushaltsgeräte
- Smartwatches
- Interaktive, vernetzte Spielzeuge mit Sprachsteuerung oder App-Anbindung
Wann tritt der CRA in Kraft?
Das Inkrafttreten des CRA erfolgt in drei Phasen, wobei wir schon mittendrin sind. Seit dem Dezember 2024 ist die Verordnung offiziell gestartet. In den Jahren 2025 und 2026 können Unternehmen ihr Portfolio bereits auf die CRA-konforme Umstellung vorbereiten und freiwillig Anpassungen vornehmen. Ab Dezember 2027 wird die Einhaltung verbindlich.
Der Zeitplan in Kürze:
- 11.12.2024: Inkrafttreten des Cyber Resilience Acts
- 2025–2026: Vorbereitung & freiwillige Umsetzung
- Konformitätsbewertungsstellen können zum Stichtag 11. Juni 2026 die Erfüllung der Anforderungen an den CRA bewerten
- 11. September 2026 (Meldepflicht für Schwachstellen und Sicherheitsvorfälle: Meldungen müssen innerhalb von 24 Stunden nach Bekanntwerden gemacht werden)
- 11.12.2027: Stichtag zur Vollumfängliche CRA-Konformitätspflicht, bzw. alle CRA-Anforderungen sind bei neuen Produkten gewährleistet.
Open-Source-Tool TTM für CRA-konforme Entwicklung
Ein hilfreiches Tool zur strukturierten Umsetzung der Anforderungen des CRA ist der Thing Threat Modeler (TTM) von Simon Liebl.
Das kostenlose Open-Source-Tool wurde speziell für die Bedrohungsmodellierung bei IoT- und eingebetteten Systemen entwickelt und unterstützt Entwickler:innen dabei, Sicherheitsrisiken systematisch zu erkennen. Es eignet sich gut dazu, digitale Produkte nach CRA-Anforderungen ohne allzu tiefgreifende IT_Sicherheitskentnise zu entwickeln.
TTModeler bietet unter anderem Unterstützung für STRIDE, CVSS, CAPEC und CWE, stellt intuitive Diagramm-Editoren bereit und ermöglicht Risikoberichte. Für mich ein praktisches Werkzeug, um Sicherheitsanforderungen in Entwicklungsprojekte praxisnah zu integrieren.
Den Link zum Tool findest Du hier: https://www.simon-liebl.de/TTM/home
Was sind die wichtigsten Anforderungen des CRA für die Entwicklung von Embedded Systems?
Die Anforderungen des CRA sind technischer Natur und greifen tief in den Entwicklungsprozess ein:
- Security by Design
Sicherheitsaspekte müssen vom ersten Tag an in Architektur, Code und Test eingebaut werden. - Software Bill of Materials (SBOM)
Eine vollständige Liste aller Softwarekomponenten – inkl. Open Source – muss gepflegt, geprüft und dokumentiert sein. - Secure Boot und Secure OTA-Updates
Secure Boot, signierte Firmware und verschlüsselte Updates sind zentrale Bestandteile für CRA-Konformität. - Schwachstellenmanagement Management (Vulnerability Handling)
Sicherheitslücken müssen erkannt, dokumentiert und innerhalb von 24 Stunden gemeldet werden (an ENISA). Dazu sind Prozesse und Tools zur Schwachstellenanalyse erforderlich. - Logging & Monitoring
Auch in Embedded-Umgebungen müssen sicherheitsrelevante Ereignisse geloggt und analysiert werden können.
Welche Strafen drohen bei Verstößen gegen den CRA?
Verstöße gegen den CRA können für Hersteller, Importeure und Inverkehrbringer erhebliche rechtliche und wirtschaftliche Konsequenzen haben. Die EU-Verordnung sieht ein gestaffeltes Sanktionssystem vor, das sich an der Schwere und Art des Verstoßes orientiert.
Die Strafen können bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes eines Unternehmens betragen.
Zusätzlich zur finanziellen Belastung drohen:
- Rückrufe oder Verkaufsverbote für nicht-konforme Produkte
Verlust der CE-Kennzeichnung - Image- und Vertrauensverlust bei Kunden, Partnern und Investoren
- Haftungsrisiken bei sicherheitskritischen Vorfällen oder Verletzungen
Behörden der Mitgliedstaaten (in Deutschland z. B. das BSI oder die Marktüberwachungsbehörden) sind verpflichtet, CRA-Verstöße zu prüfen und Sanktionen durchzusetzen. Wer den CRA ignoriert oder zu spät umsetzt, riskiert also nicht nur Bußgelder, sondern auch ernsthafte operative Folgen bis hin zum Marktausschluss.
Ich denke, aus diesem Grund sollte jedem klar sein, dass Prävention bzw. eine rechtzeitige CIA-Umsetzung nicht optional sind, sondern betriebsnotwendig.
Zusammenfassung
Der CRA bringt Bewegung in den Markt für eingebettete Systeme. Die neuen Anforderungen der EU zielen darauf ab, das Sicherheitsniveau von vernetzten Produkten deutlich zu erhöhen. Da es zukünftig immer mehr vernetzte Produkte geben, ist dieser Schritt bezüglich Cyber Security absolut notwendig. Gleichzeitig bringt das Thema viele Herausforderungen mit sich. Hersteller stehen künftig stärker in der Pflicht, Risiken frühzeitig zu erkennen, Sicherheitsmaßnahmen gezielt umzusetzen und ihre Systeme dauerhaft resilient zu halten.
Für viele Unternehmen stellt sich jetzt die Frage: Wie schaffen wir es, diese Vorgaben praxisnah, rechtzeitig und vor allem wirtschaftlich umzusetzen.
Mit dem Thema Cybersicherheit setzen wir uns schon lange auseinander. Durch den Cyber Resilience Act wird es nun zu einem zentralen Faktor auf dem Markt. Und weil es unser Anspruch ist, unsere Kunden ganzheitlich zu begleiten, unterstützen wir dich selbstverständlich auch dabei, dein Produkt CRA-konform zu entwickeln – von der ersten Analyse bis zur CE-Kennzeichnung.
FAQ - Häufig gestellte Fragen
Ab wann muss ich CRA-konform sein?
Bis spätestens Dezember 2027. Aber es ist natürlich empfehlenswert, sich schon vorher mit dem Thema auseinander zu setzen.
Wer muss den CRA erfüllen und gilt er auch außerhalb der EU?
Der CRA betrifft Hersteller, Importeure und Händler, die Produkte mit digitalen Elementen in der EU bereitstellen – unabhängig vom Unternehmensstandort. Selbst im außereuropäischen Raum ansässige Anbieter sind betroffen, wenn ihre Produkte in der EU verkauft werden. Produkte in Bereichen wie Medizin, Automotive oder Luftfahrt sind ausgenommen, sofern sie bereits durch andere EU-Verordnungen geregelt sind.
Was passiert bei Nicht-Einhaltung?
Bei Nicht-Einhaltung des CRA drohen Busgelder bis zu 15. Mio € oder 2,5 % des Jahresumsatzes.
Was ist der Unterschied zwischen CRA und NIS2?
NIS2 betrifft Beteiber mit kritischen Dienste, CRA betrifft Produkte mit digitalen Komponenten.
