Cyber Resilience Act (CRA): Das Wichtigste in Kürze

14.10.2024 | Essen: Am 10.10.2024 hat der Rat der EU-Innenminister:innen den Cyber Resilience Act (CRA) beschlossen. Damit kommen auf Hersteller von vernetzten Geräten zukünftig neue Mindestanforderungen in Sachen Cybersicherheit zu. Wir haben das Wichtigste rund um den CRA für Sie zusammengefasst.

Was ist der Cyber Resilience Act (CRA)?

Der Cyber Resilience Act (CRA) legt verbindliche Anforderungen an die Cybersicherheit von vernetzten Geräten fest, die innerhalb der EU in Verkehr gebracht werden. Sein Ziel: Einen einheitlichen Sicherheitsstandard für digitale Hardware- und Softwareprodukte auf dem europäischen Markt zu schaffen.
 

Wer ist betroffen?

Vom CRA betroffen sind Hersteller oder Entwickler vernetzter digitaler Geräte. Diese werden mit dem CRA dazu verpflichtet, über den gesamten Lebenszyklus eines Gerätes für dessen sichere Funktion zu sorgen. Nur wenige Produktarten sind dagegen vom CRA ausgenommen. Darunter z. B. nicht-kommerzielle Open-Source-Softwareprodukte. 
 

Was bringt der CRA mit sich?

Der CRA enthält neue Mindestanforderungen an die Sicherheit von vernetzten Geräten. So müssen in Zukunft alle vernetzten Produkte, die innerhalb der EU auf den Markt gebracht werden, das CE-Kennzeichen tragen. Dies belegt sichtbar nach außen, dass das gekennzeichnete Produkt die Anforderungen des CRA erfüllt.
 

Anforderungen, die an Hersteller gestellt werden, sind unter anderem:

  • Berücksichtigung & Umsetzung von Cybersicherheit über den gesamten Produktlebenszyklus (Planung, Entwicklung, Produktion, Betrieb)
  • Dokumentation aller Cybersicherheitsrisiken
  • Meldung von Cybersicherheitsvorfällen sowohl an die ENISA als auch an betroffene Nutzer:innen
  • Sicherstellung, dass mögliche Schwachstellen über die erwartete Produktlebensdauer (maximal 5 Jahre) wirksam behandelt werden
  • Bereitstellung von Sicherheitsupdates für mindestens 5 Jahre 
  • Klare & verständliche Bedienungsanleitungen für Produkte mit digitalen Elementen

 

Wie ist der aktuelle Stand? 

Der CRA ist am 10.10.2024 durch den Rat der EU-Innenminister:innen beschlossen und am 20.11.2024 als Regulation (EU) 2024/2847 im Amtsblatt der Europäischen Union veröffentlicht worden. Damit stehen die Fristen zur Umsetzung fest: 

  • 10. Dezember 2024: Inkrafttreten des CRA
  • 11. Juni 2026: Kapitel IV (Notifizierung von Konformitätsbewertungsstellen) tritt in Kraft.
  • 11. September 2026: Hersteller sind verpflichtet, nationale Behörden sowie die ENISA über aktiv ausgenutzte Sicherheitslücken in ihren Produkten zu informieren (Meldepflichten).  
  • 11. Dezember 2027: Ab diesem Datum gelten alle Anforderungen des CRA. Das bedeutet, dass alle vernetzten Produkte, die innerhalb der EU auf den Markt gebracht werden, eine CE-Kennzeichnung tragen müssen. 
Diese Seite weiterempfehlen: