Jetzt CloudGate testen!
CloudGate
Leistungen
Regulatory Advisory
IT-Governance
Audit und Assurance Support
Agentic AI Governance
Themen
AI Act
Cyber Resilience Act
DORA
NIS-2
EU Data Act
BaFin-Mitteilung KI-Anwendungen
Lösungen
Muster-Verträge
IT-GRC


Leistungen
Sourcing-Strategie
Provider Management
IT-Ausschreibung
Transition Support
Verträge, Servicekataloge, SLAs
Themen
TPRM-Automation
Managed Security
Hybrid Infrastructure
Modern Workplace
Services
SLA-Rechner
Third Party Management


Leistungen
AI Literacy/KI-Kompetenz
Agentic AI Governance
Cloud Exit Management
Cloud Strategy
Cloud Security Implementation
Themen
Sovereignty
Marktübersicht EU Public Cloud
FinOps
AI Act
BaFin Mitteilung KI-Anwendungen
Digital Adoption
Services
FinOps Dashboard
AI & Cloud





Seminare

Seminar-Übersicht
GRC-Seminare
TPM-Seminare
AI-Seminare
Cloud-Seminare

Themen

DORA
NIS-2
AI Act

Wissenswertes

Anfrage
AGB
Glossar
microfin Academy


Karriere

Deine Karriere
Bewerbung und Onboarding
Einstieg und Aufstieg
#lieblingsarbeitgeber
Diversity und Familienfreundlichkeit

Offene Stellen

Consultants Outsourcing & Cloud
Senior IT-Consultants Outsourcing & Cloud
Consultants für IT-GRC
Senior Consultants IT-Architektur

Offene Stellen

Senior Consultants IT-Security
Senior Consultants Provider Mgmt
Senior Consultants Cloud & Digitale Transformation
Karriere bei microfin


Erfahrung

Cloud
Outsourcing
GRC
IT-Kostenoptimierung
Providermanagement

News

Publikationen
Veranstaltungen
Outsourcing Deals

Über uns

Team
Mitgliedschaften
Partnerschaften
Engagement
Über uns


  1. Home
  2. IT-GRC
  3. Themen
  4. Cyber Resilience Act

Cyber Resilience Act

Cybersicherheit für digitale Produkte

+++ Compliance für Hersteller, Händler und alle Betroffenen +++

+++ Jetzt handeln: Meldepflichten gelten ab 11. September 2026! +++

Lasst euch unterstützen bei der Umsetzung und Operationalisierung des Cyber Resilience Acts (CRA). Die EU-Verordnung garantiert Cybersicherheit für alle vernetzten Produkte. Die Übergangszeit bis Ende 2027 solltest Du nutzen, um alle Voraussetzungen zu erfüllen.

Bereits bei der Konzeption eines Produkts mit digitalen Elementen und dann auch über den gesamten Lebenszyklus musst Du Dich an grundlegende Cybersicherheitsanforderungen halten. Sonderregelungen bestehen im Bereich Open Source, bei KMUs und Start-Ups.

Mehr erfahren

Team am PC - Cyber Resilience Act

Setzt den Cyber Resilience Act (CRA) mit unserer Unterstützung effizient und wirksam um

Aus dem CRA wird Praxis: Für euch bringen wir die Anforderungen in die Umsetzung und in den Betrieb, steuern die erforderlichen Risikobewertungen und übersetzen die Vorgaben in technische, organisatorische und vertragliche Maßnahmen.

Betroffenheitsfeststellung

Wir klären mit euch, ob euer Produkt unter den CRA fällt. Im Wesentlichen sind dazu vier Fragen zu beantworten:

  • Verwendet das Produkt digitale Elemente oder ist es eine Software?
  • Wird das Produkt ab Ende 2027 neu auf den Markt gebracht?
  • Gilt eine der Ausnahmen (Medizinprodukte, Fahrzeuge, In-vitro-Diagnostika, zivile Luftfahrt und im Bereich nationale Sicherheit und Verteidigung)?
  • Ist das Produkt keine kostenfreie Open-Source-Software ohne Gewinnerzielungsabsicht?
     

Es gibt allerdings Ausnahmen zu beachten, wie beispielsweise für bestimmte Ersatzteile.

Die Produkte können außerdem noch erhöhten Anforderungen unterliegen, wenn sie kritische oder wichtige Produkte mit digitalen Elementen sind. Ca. 90% der Produkte sollten allerdings so genannte Standardprodukte sein.

Sind die Produktfragen geklärt, bestimmen wir gemeinsam mit euch, ob euer Unternehmen oder ihr selbst zu den betroffenen Wirtschaftsakteuren gehört: Hersteller, Bevollmächtigter, Einführer oder Händler. Auch natürliche oder juristische Personen, die Verpflichtungen im Zusammenhang mit der Herstellung oder Bereitstellung von betroffenen Produkten in der EU unterliegen, fallen unter den CRA.

Sicherstellung der Compliance

Wir unterstützen toolgestützt bei der Festlegung der konkreten Compliance-Anforderungen, der Erstellung entsprechender Richt- und Leitlinien sowie Prozesse – auch gemäß BSI entlang eines bestehenden Information-Security-Management-Systems (ISMS z.B. nach ISO 27001). Dies gilt auch im Falle einer Serienherstellung. Ein Zusammenspiel der verschiedenen Unternehmensbereiche wie IT-Architektur, Operations, Datenschutz, Legal und anderen ist dabei unerlässlich.

Die unterschiedlichen Wirtschaftsakteure müssen unterschiedliche Anforderungen nach dem CRA erfüllen. Insbesondere die Hersteller von Produkten mit digitalen Elementen sind hier gefragt: Allein Art. 13 CRA, der mit "Pflichten der Hersteller" überschrieben ist, hat 25 Absätze, in denen auch auf diverse grundlegende Cybersicherheits-Anforderungen verwiesen wird.

Aber auch Bevollmächtigte, Einführer und Händler werden mit entsprechenden Pflichten belegt, wobei Verwaltern quelloffener Software Erleichterungen gewährt werden.

Analysieren der Cybersicherheitsrisiken über den Lebenszyklus

Wir unterstützen euch dabei, die Risiken so zu analysieren und aufzubereiten, dass die Analyse im Laufe des Lebenszyklus weitergenutzt und entsprechend bearbeitet werden kann. Dabei achten wir darauf, dass auch der geforderte Umfang der Analyse (Betriebsumgebung und -anlagen unter Berücksichtigung der Anlage I des CRA) erreicht und die Risiken mit Maßnahmen hinterlegt werden.

Bereits zum Zeitpunkt der Planung eines Produkts mit digitalen Elementen ist eine Risikoanalyse durchzuführen – und diese Analyse ist nicht nur einmalig, sondern muss regelmäßig aktualisiert und auch im weiteren Lebenszyklus aktuell gehalten werden. Entsprechende regelmäßige Sicherheitstests gehören dazu.

Insbesondere im so genannten Unterstützungszeitraum – verkürzt: der Zeit nach dem Inverkehrbringen – ist eine Bewertung der Cybersicherheitsrisiken fortlaufend vorzunehmen. 

Unterstützung bei der Erstellung der technischen Dokumentation und der SBOM

Bereits vor Inverkehrnahme ist eine technische Dokumentation des Produkts mit digitalen Elementen anzulegen. Auch diese Dokumentation muss im Laufe des Lebenszyklus regelmäßig aktualisiert werden.

Wir unterstützen euch dabei, die erforderlichen Daten hierzu zu ermitteln und aufzuarbeiten sowie so zu erfassen, dass eine Aktualisierung einfach möglich ist. Gleiches gilt auch für die Software-Stückeliste (Software Bill of Materials, SBOM), die die Lieferkette für die Komponenten des Produkts mit digitalen Elementen abbildet.

Hierbei unterstützt euch auch unser Tool CloudGate, um die Nachverfolgung von Komponenten und Drittkomponenten zu vereinfachen und zu optimieren.

Entwicklung eines Design-, Entwicklungs- und Produktionsprozesses

Security by Design ist ein wesentliches Prinzip des Cyber Resilience Acts. Um das sicherzustellen, müssen die zugrundeliegenden Prozesse aufeinander abgestimmt sein, miteinander kommunizieren und zusammenwirken können. Sichere Grundkonfigurationen müssen von Beginn an mitgedacht und dürfen nicht außer Acht gelassen werden.

Die Entwicklung und Anpassung nötiger Prozesse unterstützen wir mit unserer langjährigen Expertise. Insbesondere die Einbeziehung der Lieferkette in die diesbezüglichen Überlegungen ist ein wesentlicher Punkt, um Compliance mit dem CRA herzustellen und aufrechterhalten zu können.

Unterstützung bei der Meldung von Schwachstellen und Bewältigung von Sicherheitsvorfällen

Der Cyber Resilience Act verlangt von Herstellern ein strukturiertes Vorgehen im Umgang mit Sicherheitsvorfällen – von der schnellen Erkennung bis zur fristgerechten Meldung.

Wir unterstützen euch beim Aufbau wirksamer Prozesse zur Erkennung und Reaktion auf Schwachstellenmeldungen und Sicherheitsvorfälle. Wir helfen euch, Meldeverfahren toolgestützt an die zuständigen europäischen und deutschen Behörden einzurichten und einzusetzen. Erst-, Folge- und Abschlussmeldungen können so einfach innerhalb der geforderten teilweise sehr kurzen Zeiträume erfolgen.

Darüber hinaus begleiten wir euch bei der Erstellung von den geforderten kostenlosen Sicherheitsupdates sowie den Hinweismeldungen an Nutzende. Auch Tests, Simulationen und Übungen zur Sicherstellung der Cybersecurity planen und unterstützen wir.

Assurance Support

Ihr wollt proaktiv prüfen, ob und wie gut ihr die Anforderungen aus dem Cyber Resilience Act umgesetzt habt? Wir übernehmen auf Grundlage eines Soll-Ist-Vergleichs die Vorbereitung, Begleitung und Nachbereitung eurer Qualitätsprüfung und stellen Daten, Informationen und Dokumente strukturiert zusammen, inklusive Vorprüfung auf Vollständigkeit und Anforderungszuordnung sowie Identifikation relevanter Evidenzen. Gleichzeitig schließen wir erste Umsetzungslücken ("quick wins").

Bei Bedarf nehmen wir dabei die Perspektive der Nutzer eurer Produkte mit digitalen Elementen ein. Wir orchestrieren alle Beteiligten mit klaren Briefings und reibungsloser Abstimmung. Nach der Prüfung unterstützen wir euch bei der Bearbeitung festgestellter Defizite und führen eine verbindliche Fortschrittskontrolle der Maßnahmen zum Schließen der Lücken durch.

Cyber Resilience Act

Cyber Resilience Act

Wir stellen Compliance für Hersteller, Händler und alle Betroffenen sicher

Kostenloses Erstgespräch sichern

Nutze ein unverbindliches, kostenloses Erstgespräch, um den aktuellen Stand zur Umsetzung des Cyber Resilience Acts präzise zu klären und konkrete Handlungsbedarfe sichtbar zu machen. 

Im Gespräch klären wir die folgenden Fragen:

  • Status-Check: Wo steht ihr heute bei der Sicherheit eurer Produkte mit digitalen Elementen? Sind die Produkte wichtig oder kritisch? Sind Konformitätserklärungen erforderlich? 
  • Priorisierte Maßnahmen: Welche Schritte sind jetzt wirklich notwendig – effizient, nachweisfähig und ressourcenschonend?
  • Marktübliche Spielräume: Welche Gestaltungsmöglichkeiten sind praktikabel und anerkannt, z. B. bei Vertragsklauseln, Schnittstellen, Komponenten?

Kostenloses Gespräch vereinbaren    Mehr erfahren

Den EU Cyber Resilience Act und seine Ziele verstehen

Der Cyber Resilience Act soll die Cybersicherheit in der EU fördern, indem er Anforderungen an die Cybersicherheit für Produkte mit digitalen Elementen festlegt. Neben einer laufenden Risikobewertung der Produkte werden Anforderungen an den Umgang mit Schwachstellen sowie entsprechende Meldepflichten festgesetzt. Die Hersteller und weitere Beteiligte müssen sich auch um die Lieferketten kümmern und eine Software Bill of Materials anfertigen, um eine Nachverfolgung und eine Weiterleitung möglicher Schwachstellen an die Lieferanten sicherzustellen.

Anstelle eines deutsche Durchführungsgesetzes wird es flankierende Standards geben, die zeitnah durch europäische Standardsetzer erlassen werden.

Cyber Resilience Act: Ziele und Anforderungen

Welche Pflichten haben Hersteller von Produkten mit digitalen Elementen?

Auch wenn es andere Beteiligte gibt, der Hersteller steht im Zentrum des CRA und seine Pflichten gegenüber Nutzern, Behörden, ihren Bevollmächtigten und anderen sind vielfältig. Er muss Cybersicherheit immer im Blick behalten, mit einer Konformitätserklärung die Erfüllung von Anforderungen nachweisen, Schwachstellen offenlegen und dauerhaft Sicherheits-Updates zur Verfügung stellen. Dabei muss er auch darauf achten, dass die Cybersicherheit auch bei Serienherstellung dauerhaft gewahrt bleibt.

Im Einzelnen handelt es sich u.a. um die folgenden Pflichten des Herstellers:

1. Grundlegende Sicherheitsanforderungen
 

2. Cyber-Risikoanalyse

3. Technische Dokumentation und Software-Stückliste (SBOM)

4. Meldung und Behandlung von Schwachstellen

5. Dokumentation aller Cybersicherheitsaspekte

6. Durchführung des Konformitätsbewertungsverfahrens

7. Angabe von Informationen auf oder am Produkt mit digitalen Elementen

8. Informationen und Anleitungen für den Nutzer

  • Grundlegende Sicherheitsanforderungen

    Grundlegende Sicherheitsanforderungen

    Ein Teil der Cyber­sicher­heits-An­for­de­rungen sind nach Ge­setzes­sys­tematik grund­legend – diese finden sich in An­hang I zum CRA wieder.

  • Cyber-Risikoanalyse

    Cyber-Risikoanalyse

    Durch eine Bewertung der Cyber­sicher­heits-Risiken sollen diese Risken im Lau­fe des Pro­dukt-Lebens­zyklus mini­miert, Sicher­heits­vor­fälle redu­ziert und in ihrer Aus­wirkung auf Gesund­heit und Sicher­heit der Nutzer mini­miert wer­den.

    Der Lebens­zyklus betrifft sämt­liche Produkt-Phasen: Plan­ung, Kon­zeption, Ent­wicklung, Her­stellung, Lie­ferung, Wartung.
    Somit sind die Risiko­analysen regel­mäßig durch­zu­führen und je­weils aktuell zu halten (vgl. auch Art. 13 Abs. 3 CRA).

  • Technische Dokumentation und Software-Stückliste (SBOM)

    Die nach Art. 31 CRA erfor­derliche tech­nische Doku­men­tation enthält alle ein­schlä­gigen Da­ten oder Einzel­heiten darü­ber, wie der Her­stel­ler sicher­stellt, dass das Pro­dukt mit digi­talen Ele­men­ten und die vom Her­steller fest­ge­legten Ver­fah­ren den grund­legenden Cyber­sicher­heits­an­forde­rungen genü­gen.

    Dabei ist auch eine Soft­ware-Stückl­iste (Soft­ware Bill Of Materials, SBOM) zu er­stellen, aus der zumin­dest die obersten Ab­hängig­keiten der Pro­dukte hervorgehen.
    Sie muss vor dem In­ver­kehr­bringen des Pro­dukts er­stellt und lau­fend ak­tuali­siert werden.

  • Meldung und Behandlung von Schwachstellen

    Meldung und Behandlung von Schwachstellen

    Stellt der Her­steller eine Schwach­stelle in in­te­grier­ten (auch quell­offenen) Kom­po­nenten fest, unter­liegt er Pflich­ten:

    • Meldung der Schwach­stelle (un­ver­züg­lich bzw. in 24 h) an die Per­son oder Ein­rich­tung, die die Kompo­nente her­stellt oder war­tet; bei ak­tiv aus­ge­nutzten Schwach­stellen an die euro­päische Cyber­sicher­heits-Behörde ENISA und an das Com­puter Emer­gency Response Team (CSIRT))
    • Be­hand­lung und Be­he­bung der Schwach­stelle gemäß Anhang I, Teil II CRA. Die Pflicht gilt ab dem In­ver­kehr­brin­gen bis über die er­war­tete Pro­dukt­lebens­dauer bzw. bis zum Ende des Unter­stützungs­zeit­raums. Sind keine Korrektur­maß­nahmen mög­lich, muss das Pro­dukt vom Markt ge­nom­men oder zurück­ge­rufen werden.
    • Zur­ver­fügung­stellen von Sicher­heits­aktuali­sie­rungen über einen Zei­traum von min­destens 10 Jah­ren
  • Personenbezogene und nicht-personenbezogene Daten

    Dokumentation aller Cybersicherheitsaspekte

    Der Her­steller doku­mentiert sys­tema­tisch und in ange­messen­er Wei­se 

    • alle relevanten Cyber­sicher­heitsa­spekte des Pro­dukts mit digi­talen Ele­men­ten, 
    • alle Schwach­stel­len, von denen er Kennt­nis erlangt
    • alle von Drit­ten bereit­ge­stell­ten ein­schlä­gigen Informationen
       

    Gegebenen­falls ak­tuali­siert er außer­dem die Bewer­tung der Cyber­sicher­heits­risi­ken des Pro­dukts.

  • Geschäftsgeheimnisse

    Durchführung des Konformitätsbewertungsverfahrens

    Vor Inverkehr­bringen eines Pro­dukts mit digi­talen Ele­men­ten ist ein Kon­for­mi­täts­be­wer­tungs­ver­fahren nach Art. 32 CRA durchzuführen. Das kennt man be­reits durch das Vor­gehen bei der CE-Kenn­zeichnung. Wel­ches der zur Ver­fügung stehe­nden Kon­for­mi­täts­ver­fahren zur Wahl steht, hängt von der je­wei­ligen Produkt­kategorie ab.

    Mit die­sem Ver­fah­ren wird nach­ge­wie­sen, dass das Prod­ukt mit digi­ta­len Ele­men­ten und die an­ge­wand­ten Ver­fahren den grund­le­gen­den Cyber­sicher­heits­an­for­de­run­gen genü­gen.

  • Angabe von Informationen auf oder am Produkt mit digitalen Elementen

    Angabe von Informationen auf oder am Produkt mit digitalen Elementen

    Der Her­steller sorgt für eine aus­rei­chen­de Aus­zeich­nung der Pro­dukte mit digi­ta­len Ele­men­ten, wobei fol­gende Infor­mationen an­gegeben wer­den müs­sen:

    • Typen-, Chargen-, Serien­nummer oder an­deres Identi­fikations­kenn­zeichen
    • Name, Handels­name oder ein­ge­tra­gene
    • Handelsmarke des Herstellers
    • Post­an­schrift des Her­stellers
    • E-Mail-Adresse oder an­dere digi­tale Kontakt­an­gabe inkl. Web­seite des Her­stellers
    • An­gabe einer zen­tra­len An­lauf­stelle für Nut­zer
  • Informationen und Anleitungen für den Nutzer

    Informationen und Anleitungen für den Nutzer

    Der Her­steller fügt dem Pro­dukt mit digi­talen Elemen­ten leicht ver­ständ­liche, deut­liche und les­bare Infor­ma­tio­nen und An­lei­tun­gen für den Nutzer bei, etwa:

    • die Zweck­be­stimmung des Pro­dukts 
    • ver­nünftiger­weise vor­her­seh­bare Fehl­an­wen­dun­gen
    • Art der tech­ni­schen Sicher­heits­unter­stüt­zung
    • aus­führliche Bedie­nungs­an­lei­tung­en zur siche­ren In- und Außer­betrieb­nah­me so­wie Nut­zung
    • End­datum des Unter­stüt­zungs­zeit­raums
    • Ko­pie der oder ver­ein­fach­te EU-Kon­for­mi­täts­er­klä­rung
    • etc.

Kontakt aufnehmen

Auch interessant für dich

CloudGate

DORA-Tool: CloudGate

Kennst du CloudGate, unser RegTech-Tool für Governance, Risk & Compliance? Hier erfährst du mehr und kannst es kostenlos testen.

Whitepaper DORA-Informationsregister

Whitepaper: DORA-Informationsregister

Lest im kostenlosen Whitepaper, wie Finanzunternehmen ihre IKT-Drittdienstleister dokumentieren und überwachen sollten - inklusive Update 2025. Jetzt downloaden!

GRC-Seminare

GRC-Seminare

Du willst mit deinem Team Innovationen vorantreiben, wenn es um GRC geht? Dann buche für euch eines unserer Seminare!

Sebastian Dosch
Dein Experte für
den Cyber Resilience Act
mf Icon male

Sebastian Dosch
Enabler und Principal Consultant

Du hast Fragen zum Cyber Resilience Act oder einem anderen Regulatorik-Thema? Sebastian Dosch hat die Antworten und freut sich über deine Kontaktaufnahme.
Tel +49 6172 177 630

Kontakt    Profil ansehen

×

Produkt mit digitalen Elementen

Ein Produkt mit digitalen Elementen ist ein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden, wobei man unter Datenfernverarbeitung die entfernt stattfindende Datenverarbeitung versteht, für die eine Software vom Hersteller selbst oder unter dessen Verantwortung konzipiert und entwickelt wird und ohne die das Produkt mit digitalen Elementen eine seiner Funktionen nicht erfüllen könnte.

×

Interoperabilität

Interoperabilität ist die Fähigkeit von zwei oder mehr Datenräumen oder Kommunikationsnetzen, Systemen, vernetzten Produkten, Anwendungen, Datenverarbeitungsdiensten oder Komponenten, Daten auszutauschen und zu nutzen, um ihre Funktionen auszuführen.

Dabei ist zu beachten, dass auch für Datenverarbeitungsdienste offene Interoperabilitäts-Spezifikationen und harmonisierte Normen gelten, wobei bevorzugt Funktionsäquivalenz hergestellt werden soll. Wir helfen euch dabei, die Übersicht über diese Regelungen zu behalten und insbesondere die Funktionsäquivalenz herzustellen

×

Digital Trust

Der Data Act leistet einen substanziellen Beitrag zu "Digital Trust", weil er Rechtsklarheit über den Zugang zu und die Nutzung von Daten schafft und Nutzer sowie Unternehmen verlässlichere Rahmenbedingungen für datengetriebene Geschäftsmodelle erhalten.

Er stärkt einen fairen, wettbewerblichen Datenmarkt, indem er Nutzern von vernetzten Produkten den Zugriff auf ihre Nutzungsdaten ermöglicht und klare Regeln für deren Weitergabe an Dritte setzt.
Zentral für digitales Vertrauen sind hier an erster Stelle die Vorgaben zu den Datenverarbeitungsdiensten (Cloud/Edge): Der Data Act adressiert Lock‑in‑Risiken und ermöglicht Cloud‑Switching durch Interoperabilitäts- und Portabilitätsanforderungen, sodass Wechsel zwischen Anbietern technisch und vertraglich erleichtert werden.

×

Wichtige oder kritische Produkte mit digitalen Elementen

Wichtige oder kritische Produkte mit digitalen Elementen unterliegen erhöhten Sicherheitsanforderungen und insbesondere strengeren Konformitätsverfahren. 

Ob ein wichtiges oder kritisches Produkt vorliegt, wird anhand der Anhänge III und IV des CRA bestimmt.

×

Betroffene Wirtschaftsakteure

Betroffene Wirtschaftsakteure im Verständnis des Cyber Resilience Acts sind:

  • Hersteller, also jede natürliche oder juristische Person, die Produkte entwickelt, herstellt, konzipiert, entwickelt oder herstellen lässt und sie unter ihrem Namen oder ihrer Marke vermarktet, sei es gegen Bezahlung, zur Monetarisierung oder unentgeltlich (Art. 3 Nr. 13 CRA).
    Es gibt daneben nach Art. 21 und 22 CRA noch Fälle, in denen die Herstellereigenschaft fingiert wird.
  • Bevollmächtigte, also eine in der EU ansässige oder niedergelassene natürliche oder juristische Person, die von einem Hersteller schriftlich beauftragt wurde, in seinem Namen bestimmte Aufgaben wahrzunehmen 
  • Einführer, also jede in der EU ansässige oder niedergelassene natürliche oder juristische Person, die ein Produkt unter dem Namen oder der Marke einer außerhalb der Union ansässigen oder niedergelassenen natürlichen oder juristischen Person in der Union in den Verkehr bringt (Art. 3 Nr. 16 CRA).
  • Händler, also jede natürliche oder juristische Person in der Lieferkette, ohne Hersteller oder Einführer zu sein, die ein Produkt ohne Änderung seiner Eigenschaften auf dem Unionsmarkt bereitstellt (Art. 3 Nr. 17 CRA).


Außerdem werden für Verwalter quelloffener Software (Open Source) diverse Erleichterungen geboten.

×

Grundlegende Cybersicherheits-Anforderungen

Ein Teil der Cybersicherheits-Anforderungen sind nach Gesetzessystematik grundlegend – diese finden sich in Anhang I zum CRA wieder:

  • Konzeption, Entwicklung und Herstellung mit angemessenem Cybersicherheitsniveau
  • Bereitstellung ohne Schwachstellen
  • Sichere Standardkonfiguration
  • Zurverfügungstellung von Sicherheitsaktualisierungen
  • Schutz vor unbefugtem Zugriff
  • Schutz der Vertraulichkeit und Integrität verarbeiteter Daten
  • Datenminimierung
  • Weiterbetrieb bei Sicherheitsvorfall
  • Minimierung negativer Auswirkungen auf andere Produkte und Dienste
  • Möglichst geringe Angriffsfläche
  • Monitoring und Logging (inkl. Opt-out-Möglichkeit)
  • Möglichkeit zum Löschen der Daten und zur sicheren Datenübertragung
  • Weitere Anforderungen an die Behandlung von Schwachstellen
×

Lebenszyklus

Der Lebenszyklus betrifft sämtliche Produkt-Phasen:

  • Planung
  • Konzeption
  • Entwicklung
  • Herstellung
  • Lieferung
  • Wartung
     

Die Cyberrisikoanalyse ist zu dokumentieren und insbesondere im Unterstützungszeitraum zu aktualisieren – also insbesondere im Zeitraum der Lieferung und Wartung. Dieser Zeitraum soll die voraussichtliche Nutzungsdauer des Produkts widerspiegeln und beträgt mindestens 5 Jahre.

"Unterstützungszeitraum" ist der mindestens 5-jährige Zeitraum, in dem der Hersteller sicherstellen muss, dass die Schwachstellen des Produkts mit digitalen Elementen wirksam und im Einklang mit den grundlegenden Cybersicherheitsanforderungen behandelt werden. 
 

×

Unterstützungszeitraum

"Unterstützungszeitraum" ist der mindestens 5-jährige Zeitraum, in dem der Hersteller sicherstellen muss, dass die Schwachstellen des Produkts mit digitalen Elementen wirksam und im Einklang mit den grundlegenden Cybersicherheitsanforderungen behandelt werden. 

×

Inhalte der technischen Dokumentation

Die technische Dokumentation hat Mindestinhalte, die in Anhang VII des CRA beschrieben sind:

  • Produktbeschreibung 
  • Beschreibung der Konzeption, Entwicklung und Herstellung des Produkts mit digitalen Elementen
  • Bewertung der Cybersicherheitsrisiken über den Lebenszyklus des Produkts
  • Informationen zur Festlegung des Unterstützungszeitraums
  • Aufführung der technischen Spezifikation und angewandten harmonisierten Normen
  • Testberichte zur Konformität des Produkts
  • Prüfberichte zur Konformität des Produkts
  • EU-Konformitätserklärung
  • Software-Stückliste (SBOM)
×

Software-Stückliste (auch Software Bill Of Materials oder SBOM)

Software-Stückliste (auch Software Bill Of Materials oder SBOM) ist eine formale Aufzeichnung der Einzelheiten und Lieferkettenbeziehungen der Komponenten, die in den Softwareelementen eines Produkts mit digitalen Elementen enthalten sind.

Über eine Software-Stückliste können denjenigen, die Software herstellen, kaufen und betreiben, Informationen bereitgestellt werden, die ihnen helfen, die Lieferkette besser zu verstehen, was insbesondere Herstellern und Nutzern hilft, bekannte neu aufgetretene Schwachstellen und Cybersicherheitsrisiken zu verfolgen.

×

Security by Design

Hersteller von Produkten mit digitalen Elementen müssen dafür sorgen, dass alle Produkte im Einklang mit den im CRA festgelegten grundlegenden Cybersicherheitsanforderungen konzipiert und entwickelt werden. Das gilt für den gesamten Lebenszyklus und beginnt bei der Konzeption und endet noch nicht bei Einstellung des Produkts.

×

Lieferkette

Alle Produkte mit digitalen Elementen, die in ein größeres elektronisches Informationssystem integriert oder mit ihm verbunden sind, können unter bestimmten Umständen böswilligen Akteuren als Angriffsvektor dienen. Folglich kann selbst eine als weniger kritisch geltende Hardware und Software eine erste Kompromittierung eines Geräts oder Netzes erleichtern und es böswilligen Akteuren ermöglichen, sich privilegierten Zugriff auf einem System zu verschaffen oder sich systemübergreifend zu bewegen. Aus diesem Grund legt der Cyber Resilience Act besonderen Wert auf die Einbeziehung der Lieferkette in die Ausgestaltung der Cybersicherheit für Produkte mit digitalen Elementen.

×

Meldepflicht der Hersteller

Die Meldepflicht der Hersteller ist dreistufig geregelt: Jede aktiv ausgenutzte Schwachstelle muss sowohl an die ENISA als auch an das als Koordinator benannte CSIRT gemeldet werden, und zwar

  • unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung,
  • mit weiteren Informationen zu Korrekturmaßnahmen durch den Hersteller und für mögliche Nutzer, über die allgemeine Art der Ausnutzung und über eine erste Einschätzung des Risikos angereichert innerhalb von 72 Stunden nach Kenntniserlangung, und
  • innerhalb von 14 Tagen mit einem Abschlussbericht mit
    o    einer Beschreibung der Schwachstelle, des Schweregrads und der Auswirkungen
    o    Informationen über jeden böswilligen Akteur, der die Schwachstelle ausgenutzt hat oder ausnutzt,
    o    Informationen über die Sicherheitsaktualisierung oder andere Korrekturmaßnahmen, die zur Behebung der Schwachstelle zur Verfügung gestellt wurde.
×

Beteiligte

Zu den im Rahmen der Qualitätsprüfung einzubindenden Rollen und Funktionen gehören erfahrungsgemäß u.a. Verantwortliche im Unternehmen für

  • Business Continuity Management
  • Detection und Crypto Management 
  • Betrieb und Entwicklung 
  • Datenschutz
  • Informationssicherheit
  • IT‑Security
  • Recht 
  • Risikomanagement
×

Cyber Resilience Act

Der Cyber Resilience Act*, häufig auch abgekürzt als CRA zitiert, ist am 10. Dezember 2024 EU-weit in Kraft getreten. Als Verordnung ist sie direkt geltendes Recht in den EU-Mitgliedsstaaten.
Der Cyber Resilience Act ist die erste europäische Verordnung, die ein Minimum an Cybersicherheit für alle vernetzten Produkte – also solche mit digitalen Elementen - festlegt, die auf dem EU-Markt erhältlich sind. Ziel ist es, die Cybersicherheit innerhalb der Europäischen Union zu erhöhen.

*Verordnung (EU) 2024/2847 vom 23.10.2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (Cyber Resilience Act)

×

Standards

Die Anforderungen des CRA werden durch harmonisierte Normen spezifiziert, um die Hersteller dabei zu unterstützen, die Anforderungen umzusetzen. Hierfür zuständig sind die europäischen Normierungsbehörden:

  • das Europäische Komitee für Normung (CEN) für allgemeine Normen, 
  • das Europäische Komitee für elektrotechnische Normung (CENELEC) für elektrotechnische Normen sowie 
  • das Europäische Institut für Telekommunikationsnormen (ETSI) für den Bereich Telekommunikation.

Wer den aktuellen Umsetzungsstand zu den verschiedenen Normgebungsverfahren erfahren möchte, kann sich beim BSI erkundigen, das ein CRA Standardisation Dashboard dafür eingerichtet hat.