Cyberresilienz-Verordnung (Cyber Resilience Act): Fristen und Fahrplan für Compliance-Verantwortliche

Was ist die Cyberresilienz-Verordnung?

Die Cyberresilienz-Verordnung, die auch Cyber Resilience Act (CRA) heißt, ist eine EU-weite Verordnung für mehr Cybersicherheit von Produkten mit digitalen Elementen. Für solche Produkte schafft die EU mit dem CRA einheitliche Sicherheitsstandards, um Verbraucher und Unternehmen besser vor Cyberrisiken zu schützen.

Vom CRA ist eine große Bandbreite von Produkten betroffen – angefangen bei Laptops über Steuerungssysteme für die Industrie bis hin zu verschiedenen Softwarelösungen. Sowohl Hersteller als auch Importeure und Händler solcher Produkte müssen sich mit der neuen Cybersecurity-Verordnung beschäftigen, denn ihre Anforderungen betreffen den gesamten Lebenszyklus digitaler Produkte. Diese müssen künftig bereits bei Markteinführung ein Mindestmaß an Informationssicherheit erfüllen.

Cyberresilienz-Definition: Was versteht man darunter?

Grundsätzlich beschreibt Resilienz die Widerstandsfähigkeit oder Anpassungsfähigkeit von Personen. Übertragen auf Organisationen bezeichnet Cyberresilienz die Fähigkeit, Angriffe besser abwehren und im Fall der Fälle effizient darauf reagieren zu können. Mit der NIS2-Richtlinie stärkt die EU die Cyberresilienz ihrer Unternehmen. Der CRA sorgt auf der anderen Seite dafür, dass Cyberresilienz nicht nur durch organisatorische und prozessuale Maßnahmen erreicht wird, sondern auch durch sichere digitale Produkte als Basis.

Welche Produkte sind vom Cyber Resilience Act betroffen?

Grundsätzlich umfasst der CRA alle Produkte mit digitalen Elementen. Das sind insbesondere:

• Softwarelösungen wie Passwort-Manager, Firewalls, Browser

• B2C-Produkte wie Smartphones, Smart-Home-Geräte, Wearables, Chipkarten

• Industrieprodukte wie IoT-Geräte, Steuerungen oder vernetzte Maschinen

Diese Produkte werden in wichtige Produkte der Klasse I und II und in kritische Produkte unterteilt. Zu den kritischen Produkten zählen dabei zum Beispiel Smart-Meter-Gateways oder Geräte, die Sicherheitszwecken dienen.

Ausgenommen von den Vorschriften der CRA sind Produkte, für die bereits andere EU-Vorschriften gelten, wie Medizinprodukte, Cloud-Dienste oder Produkte aus dem Militärbereich.

Welche Anforderungen stellt die Cyberresilienz-Verordnung an Unternehmen?

Der CRA verlangt von betroffenen Unternehmen einen ganzheitlichen Ansatz für die Informationssicherheit ihrer Produkte:

• Security im gesamten Lebenszyklus: Hersteller müssen bereits in der Entwicklungsphase mögliche Risiken im Blick haben und dafür sorgen, dass ihre Produkte grundlegende Cybersicherheitsanforderungen erfüllen. Softwarelösungen müssen beispielsweise standardmäßig eine Funktion zur Verschlüsselung von Daten mitbringen. Nach Markteinführung sollen regelmäßige Updates und Patch-Management dafür sorgen, dass die Produkte in Sachen Cybersecurity auf dem aktuellen Stand bleiben.

• Schwachstellen managen und melden: Unternehmen sollen Sicherheitslücken in Zukunft kontinuierlich überwachen, bewerten und möglichst schnell beheben. Sicherheitsvorfälle müssen innerhalb von 24 Stunden an die Agentur der Europäischen Union für Cybersicherheit (ENISA) gemeldet werden.

• Sicherheit dokumentieren und belegen: Hersteller von Produkten mit digitalen Elementen müssen eine technische Dokumentation ihrer Informationssicherheit bereitstellen, die unter anderem eine EU-Konformitätserklärung als Bestätigung dafür enthält, dass ihre Produkte sicher sind.

Welche Strafen drohen bei einem Verstoß gegen die Verordnung?

Bei Nichteinhaltung der CRA-Vorgaben müssen Hersteller und Händler empfindliche Strafen in Kauf nehmen – je nach Art des Verstoßes drohen ihnen Strafen von bis zu 15 Millionen Euro oder 2,5 Prozent ihres weltweiten Jahresumsatzes. Bereits Falschangaben zur Informationssicherheit können Strafen von bis zu 5 Millionen Euro oder 1 Prozent des weltweiten Jahresumsatzes nach sich ziehen.

Noch eine Cyber-Verordnung? So hängen CRA, NIS2 und DORA zusammen

Neben der Cyberresilienz-Verordnung gibt es weitere Richtlinien, die für mehr Cybersicherheit in europäischen Organisationen sorgen sollen und die einander zum Teil ergänzen.

• Die NIS2-Richtlinie richtet sich an Unternehmen mit erhöhter Systemrelevanz, etwa aus der IT, Energie, Logistik oder dem Gesundheitswesen. Sie ist ein wichtiger Treiber der Cyberresilienz in Unternehmen der EU. Betroffene Organisationen müssen die Resilienz nicht nur herstellen, sondern auch jederzeit nachweisen können, etwa durch Vorfallprotokolle, Notfallübungen oder strukturierte Risikoanalysen.

• Der Cyber Resilience Act richtet sich an Unternehmen, die digitale Produkte einsetzen oder in Verkehr bringen. Sie müssen künftig gewährleisten, dass diese grundlegende Sicherheitsanforderungen erfüllen. Das Ziel: IT-Sicherheit wird zur Voraussetzung für Marktzugang – und das über den gesamten Lebenszyklus eines Produkts hinweg. Auch Betreiber profitieren: weniger Angriffspunkte, mehr Standardisierung, bessere Wartbarkeit.

• Der Digital Operational Resilience Act (DORA) richtet sich an Unternehmen aus dem Finanzsektor und verpflichtet unter anderem Banken, Versicherungen und Zahlungsdienstleister zu umfassenden Maßnahmen der digitalen Betriebsresilienz.

Daneben sind für Unternehmen Normen wie ISO 27001 relevant. Diese sind zwar nicht gesetzlich verpflichtend, bieten aber vor allem für Unternehmen Vorteile, die von mehreren Vorgaben betroffen sind. Für Unternehmen, die zum Beispiel von NIS2 und dem CRA betroffen sind, kann es sich lohnen, ihre Produkte unter den Gesichtspunkten beider Vorschriften zu prüfen und Synergien in der Umsetzung zu nutzen.  

Tipp: Auch kleinere Unternehmen, die nicht von der CRA oder NIS2 betroffen sind, haben mit der ISO 27001 die Chance, mit strukturierten Sicherheitsmaßnahmen ihre Cyberresilienz zu stärken.

Von der Cyberresilienz-Verordnung betroffen? Das ist jetzt zu tun

Um auf den Cyber Resilience Act vorbereitet zu sein, sollten Unternehmen folgende Schritte einleiten:

• Bestandsaufnahme: Erfassen Sie alle Produkte mit digitalen Elementen.

• Risikoanalyse: Identifizieren Sie potenzielle Schwachstellen und Bedrohungen.

• Security by Design: Sorgen Sie dafür, dass Cybersicherheit im gesamten Lebenszyklus Ihrer Produkte eine Rolle spielt – von der ersten Idee bis zum „End of Life“.

• Compliance-Strategie entwickeln: Planen Sie Ressourcen für Schwachstellenmanagement, Incident Response und Reporting.

• Lieferketten überprüfen: Stellen Sie sicher, dass auch Zulieferer CRA-Anforderungen einhalten.

• Interne Prozesse anpassen: Schulen Sie Mitarbeiter und passen Sie Ihre Sicherheits- und Dokumentationsstandards an.

Zeitplan und nächste Schritte: Jetzt Fokus auf Informationssicherheit legen

Der Cyber Resilience Act ist seit Dezember 2024 in Kraft und ab Dezember 2027 verbindlich. Bis dahin müssen betroffene Organisationen die CRA-Anforderungen umsetzen. Allerdings warten weder Hacker noch Ihre Wettbewerber auf Sie, deshalb ist es ratsam, schnell auf die neuen Vorgaben zu reagieren. Das hat den Vorteil, dass Sie Ihre Produkte bereits vor Ablauf der Frist als besonders sicher verkaufen können.  

Gut zu wissen: Die Meldepflicht gilt bereits ab September 2026.

Ein guter Startpunkt für betroffene Unternehmen ist der Aufbau eines Informationssicherheitsmanagementsystems (ISMS) auf Basis der ISO 27001. Damit legen Sie die Grundlage, um Vorgaben wie NIS2 oder CRA zu erfüllen. Vereinbaren Sie jetzt einen unverbindlichen Termin und finden Sie heraus, wie Sie ein ISMS umsetzen.