Cyber Resilience Act (CRA) — Verordnung ueber Cybersicherheitsanforderungen fuer Produkte mit digitalen Elementen
Der Cyber Resilience Act (EU 2024/2847) fuehrt verbindliche Cybersicherheitsanforderungen fuer Hardware und Software ueber ihren gesamten Lebenszyklus ein.
Zusammenfassung
Der Cyber Resilience Act (CRA), Verordnung (EU) 2024/2847, ist die erste EU-weite horizontale Verordnung, die verbindliche Cybersicherheitsanforderungen fuer Produkte mit digitalen Elementen — sowohl Hardware als auch Software — ueber ihren gesamten Lebenszyklus festlegt. Er schliesst eine erhebliche Regulierungsluecke, da bisher die meisten dieser Produkte keinen EU-weiten Cybersicherheitspflichten unterlagen.
Die Verordnung verfolgt einen risikobasierten Ansatz und teilt Produkte in drei Kategorien ein: Standardprodukte (Selbstbewertung), wichtige Produkte (z. B. Passwortmanager, VPN-Software, Router) und kritische Produkte (z. B. Hardware-Sicherheitsmodule, Smart-Meter-Gateways), die jeweils unterschiedlichen Konformitaetsbewertungsverfahren unterliegen.
Hersteller werden verpflichtet, Cybersicherheit von der Entwurfsphase an zu beruecksichtigen (Security by Design), bekannte Schwachstellen zu beheben, Sicherheitsupdates fuer mindestens fuenf Jahre bereitzustellen und aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden an die ENISA und die zustaendige nationale Behoerde zu melden. Die vollstaendige Anwendbarkeit beginnt am 11. Dezember 2027.
Geschichte
Kommissionspraesidentin Ursula von der Leyen kuendigte den Cyber Resilience Act erstmals in ihrer Rede zur Lage der Union im September 2021 an. Der Rat forderte die Kommission in seinen Schlussfolgerungen vom 23. Mai 2022 auf, den Vorschlag bis Ende 2022 vorzulegen. Am 15. September 2022 veroeffentlichte die Kommission den CRA-Vorschlag.
Nach intensiver Debatte — insbesondere ueber die Auswirkungen auf Open-Source-Software — erzielte der Ausschuss der Staendigen Vertreter (COREPER) im Juli 2023 eine gemeinsame Position. Am 1. Dezember 2023 erreichten Parlament und Rat eine politische Einigung, die eine Ausnahme fuer Open-Source-Software vorsieht. Das Europaeische Parlament stimmte am 12. Maerz 2024 zu, der Rat nahm die Verordnung am 10. Oktober 2024 an. Der CRA wurde am 23. Oktober 2024 unterzeichnet, am 20. November 2024 im Amtsblatt veroeffentlicht und trat am 10. Dezember 2024 in Kraft.
Geltungsbereich
Der CRA gilt fuer alle Produkte mit digitalen Elementen, die auf dem EU-Binnenmarkt bereitgestellt werden:
- Standardprodukte (Klasse Standard): Die Mehrheit der Produkte mit digitalen Elementen — von Spielzeug und Smart-Home-Geraeten bis hin zu Textverarbeitungssoftware — unterliegt einer Selbstbewertung der Konformitaet durch den Hersteller.
- Wichtige Produkte (Klasse I und II): Klasse I umfasst Identitaetsmanagement-Software, VPN-Software, Passwortmanager, Firewalls, Router und Betriebssysteme. Klasse II umfasst Hypervisoren, Container-Runtimes, Public-Key-Infrastruktur und Intrusion-Detection-Systeme — diese erfordern die Einbeziehung einer benannten Stelle.
- Kritische Produkte: Hardware-Sicherheitsmodule, Smart-Meter-Gateways und Smartcard-Leser mit hoechsten Sicherheitsanforderungen und obligatorischer Drittbewertung.
- Hersteller: Jede natuerliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt und unter eigenem Namen in der EU in Verkehr bringt.
- Importeure und Haendler: Muessen sicherstellen, dass nur konforme Produkte auf den Markt gelangen, und Dokumente fuer zehn Jahre aufbewahren.
- Ausnahmen: Open-Source-Software (ohne kommerzielle Aktivitaet), Medizinprodukte, Luftfahrtprodukte und Kfz-Systeme, die bereits sektorspezifischen Cybersicherheitsregeln unterliegen.
Kernanforderungen
- Security by Design (Anhang I, Teil I): Produkte muessen so entworfen und entwickelt werden, dass sie ein angemessenes Cybersicherheitsniveau gewaehrleisten — einschliesslich sicherer Standardkonfigurationen, Zugangskontrolle und Schutz der Vertraulichkeit und Integritaet von Daten.
- Schwachstellenmanagement (Anhang I, Teil II): Hersteller muessen einen dokumentierten Prozess zur Identifizierung, Meldung und Behebung von Schwachstellen unterhalten, einschliesslich einer koordinierten Schwachstellenoffenlegung (CVD).
- Sicherheitsupdates (Art. 13): Hersteller muessen kostenlose Sicherheitsupdates fuer einen Unterstuetzungszeitraum von mindestens fuenf Jahren bereitstellen; ist die erwartete Lebensdauer des Produkts laenger, gilt diese laengere Dauer.
- Meldepflichten (Art. 14): Hersteller muessen sowohl aktiv ausgenutzte Schwachstellen als auch schwerwiegende Sicherheitsvorfaelle in einem dreistufigen Verfahren an das koordinierende CSIRT und die ENISA melden: eine Fruehwarnung innerhalb von 24 Stunden, eine Schwachstellen- bzw. Vorfallsmeldung innerhalb von 72 Stunden und einen Abschlussbericht innerhalb von 14 Tagen (bei Schwachstellen) bzw. innerhalb eines Monats (bei Vorfaellen) nach der Meldung.
- Konformitaetsbewertung (Art. 24-30): Standardprodukte erfordern eine Selbstbewertung (Modul A); wichtige Produkte der Klasse II und kritische Produkte erfordern die Einbeziehung einer benannten Stelle.
- Software Bill of Materials (SBOM): Hersteller muessen eine maschinenlesbare Stueckliste der in ihren Produkten enthaltenen Softwarekomponenten erstellen und pflegen.
- CE-Kennzeichnung (Art. 22): Konforme Produkte tragen die CE-Kennzeichnung als Nachweis der Einhaltung der CRA-Anforderungen.
Korrekturen & Errata
Die Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle (Art. 14) gelten ab dem 11. September 2026; die meisten übrigen Pflichten ab dem 11. Dezember 2027. Sofern der Eintrag abweichende Daten nennt, sind sie zu korrigieren.
Alle Details auf der Errata-Seite →