EU Cyber Resilience Act (CRA) im Überblick

Hinweis:
Die hier bereitgestellten Informationen dienen ausschließlich zu allgemeinen Zwecken und stellen keine Rechtsberatung dar. Maßgeblich ist der endgültige Wortlaut des CRA, sobald dieser veröffentlicht wird. Dieser hat Vorrang vor den in diesem Dokument enthaltenen Ausführungen.

Was ist der Cyber Resilience Act?

Der Cyber Resilience Act (CRA) ist eine geplante EU-Verordnung, die verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen einführt. Ziel ist es, die Sicherheit von Software und Hardware zu gewährleisten, um Verbraucher, Unternehmen und kritische Infrastrukturen vor Cyberangriffen zu schützen. Die Verordnung basiert auf dem Prinzip des „Security by Design“, was bedeutet, dass Sicherheitsmaßnahmen von der Entwicklung bis zum Produktlebenszyklus zentral berücksichtigt werden müssen.

Der EU-CRA stellt besonders hohe Anforderungen an die Softwareentwicklung für eingebettete Systeme, wie IoT- oder Edge-Geräte. Werkzeuge wie das Yocto-Projekt helfen dabei, sichere und angepasste eingebettete Systeme zu entwickeln, die den regulatorischen Anforderungen entsprechen.

Wann tritt der EU Cyber Resilience Act in Kraft?

Der Cyber Resilience Act (CRA) wurde am 20. November 2024 im Amtsblatt veröffentlicht und tritt am 9. Dezember 2024 in Kraft. Nach der Verabschiedung der Verordnung wird eine Übergangsfrist von zwei Jahren gelten. Unternehmen müssen somit spätestens ab Dezember 2026 die neuen Anforderungen umsetzen.

Da die CRA umfangreiche Sicherheitsüberprüfungen und Produktanpassungen erfordert, sollten Unternehmen diese Zeit nutzen, um ihre Prozesse anzupassen. Schulungen wie das Web Security Awareness Training können den Teams helfen, Sicherheitsrisiken frühzeitig zu erkennen und präventive Maßnahmen zu ergreifen.

Welche Produkte fallen unter den Cyber Resilience Act?

Die CRA gilt für eine breite Palette von Produkten mit digitalen Elementen, die auf dem EU-Markt in Verkehr gebracht werden, darunter

• IoT-Geräte: Smart-Home-Anwendungen, Wearables und andere verbundene Geräte.
• Software-Produkte: Betriebssysteme, Firmware und Anwendungen, die mit der Hardware interagieren.
• Industrielle Systeme: Automatisierungslösungen und Steuerungen in kritischen Infrastrukturen wie Energie oder Gesundheitswesen.

Produkte, die bereits durch andere EU-Rechtsvorschriften geregelt sind, wie z. B. die Verordnung über Medizinprodukte, sind ausgeschlossen. Unternehmen, die Firmware oder Software für vernetzte Geräte entwickeln, profitieren von einer klar definierten OTA-Strategie (Over-the-Air), um Sicherheitsupdates effizient und nahtlos bereitzustellen.

Warum ist der Cyber Resilience Act so wichtig?

Der CRA ist von zentraler Bedeutung für die Minimierung der mit der zunehmenden Konnektivität verbundenen Cybersicherheitsrisiken. Es befasst sich in erster Linie mit:

1. Schutz der Verbraucher: Der CRA stellt sicher, dass Geräte und Software sicher sind und keine bekannten Schwachstellen enthalten.
2. Förderung von Innovationen: Einheitliche Standards schaffen einen sicheren digitalen Binnenmarkt, der den Unternehmen neue Geschäftsmöglichkeiten eröffnet.
3. Vermeidung von wirtschaftlichem Schaden: Cyberangriffe können hohe Kosten verursachen und den Ruf schädigen – die CRA hilft, diese Risiken zu minimieren.

Für Entwickler und Teams, die mit vernetzten Geräten arbeiten, ist es entscheidend, Cybersicherheit in ihre Arbeitsabläufe zu integrieren.

Welche Auswirkungen hat der Cyber Resilience Act auf Unternehmen?

Die CRA verlangt von den Unternehmen weitreichende Änderungen, um die Einhaltung der Vorschriften zu gewährleisten. Hersteller und Entwickler müssen die folgenden Maßnahmen ergreifen:

• Integrieren Sie Sicherheitsstandards: Cybersecurity-Konzepte wie Verschlüsselung und sichere Boot-Mechanismen müssen Teil der Produktentwicklung sein.
• Zu Updates verpflichten: Unternehmen müssen Sicherheitsupdates über den gesamten Lebenszyklus hinweg bereitstellen – oft über automatisierte OTA-Prozesse.
• Risikomanagement einführen: Regelmäßige Sicherheitsaudits und -nachweise sind erforderlich, um Produkte auf dem Markt zu halten.

Welche Strafen drohen bei Verstößen gegen den Cyber Resilience Act?

Die EU wird Verstöße gegen den Cyber Resilience Act streng bestrafen, um die Einhaltung der Sicherheitsvorschriften zu gewährleisten. Die Strafen umfassen:

• Hohe Geldstrafen: Bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
• Produktverbote: Unsichere Produkte dürfen weder verkauft noch vertrieben werden.
• Verpflichtende Produktrückrufe: Die Unternehmen müssen unsichere Produkte vom Markt nehmen und Sicherheitsmängel beheben.

Diese Sanktionen sind mit denen der Datenschutz-Grundverordnung vergleichbar und sollen Unternehmen dazu bewegen, die Cybersicherheit ernst zu nehmen. Regelmäßige Schulungen, wie z. B. Sensibilisierungstrainings für Web-Sicherheit, können dazu beitragen, Sicherheitslücken frühzeitig zu erkennen und Verstöße zu verhindern.