EU-Regularien Cyber Resilience Act: Was Hersteller smarter Produkte bis September umsetzen müssen

Ab dem 11. September 2026 müssen Hersteller smarter Produkte den Cyber Resilience Act umsetzen, sprich: Sicherheitsanforderungen bereits während der Produktentwicklung berücksichtigen und diese kontinuierlich überwachen. Onekey, Spezialist für Product Cybersecurity & Compliance Management informiert über die Details.

Mit dem Cyber Resilience Act (CRA) hat die Europäische Union einen regulatorischen Rahmen geschaffen, der erstmals umfassende Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt.

Ziel des Cyber Resilience Act ist, die Sicherheit vernetzter Geräte, Maschinen und Softwareprodukte über ihren gesamten Lebenszyklus hinweg zu verbessern. Der CRA betrifft fast alle vernetzten digitalen Produkte. Schätzungen zufolge fallen Hunderte Millionen, möglicherweise sogar Milliarden Geräte innerhalb der EU unter die neuen Vorschriften.

Sicherheitsmängel digitaler Produkte frühzeitig erkennen

Hintergrund der Regulierung ist die wachsende Bedeutung digitaler Produkte in Industrie und Alltag. Vernetzte Geräte sind heute zentrale Bestandteile von Produktionsanlagen, Infrastruktur, Konsumgütern und Fahrzeugen. Gleichzeitig werden Sicherheitsmängel häufig erst spät erkannt oder bleiben über längere Zeit unbeachtet. Der CRA soll dieser Entwicklung entgegenwirken, indem Hersteller verpflichtet werden, Sicherheitsanforderungen bereits während der Produktentwicklung zu berücksichtigen und diese kontinuierlich zu überwachen.

Stufenweise Einführung der neuen Anforderungen

Der Cyber Resilience Act ist am 10. Dezember 2024 offiziell in Kraft getreten. Die Umsetzung erfolgt jedoch schrittweise über mehrere Jahre hinweg.

Die erste operative Phase beginnt am 11. September 2026. Ab diesem Zeitpunkt sind Hersteller verpflichtet, aktiv ausgenutzte Schwachstellen sowie schwerwiegende Sicherheitsvorfälle innerhalb festgelegter Fristen an die zuständigen Behörden zu melden. Zur Unterstützung dieser Meldepflichten wird eine zentrale europäische Plattform eingerichtet.

Die vollständigen Anforderungen des Cyber Resilience Act werden schließlich ab dem 11. Dezember 2027 verbindlich. Ab diesem Zeitpunkt dürfen Produkte mit digitalen Komponenten innerhalb der Europäischen Union nur noch dann in Verkehr gebracht oder bereitgestellt werden, wenn sie sämtliche vorgeschriebenen Sicherheitsanforderungen erfüllen. Dazu gehören unter anderem Security-by-Design-Prinzipien, durchgängige Sicherheitsupdates über definierte Produktlebenszyklen sowie nachvollziehbare Nachweise über das Management von Sicherheitsrisiken.

Darüber hinaus sind Hersteller verpflichtet, eine Konformitätsbewertung durchzuführen. Bei Produkten mit erhöhtem Sicherheitsrisiko, beispielsweise im Umfeld kritischer Infrastrukturen oder industrieller Steuerungssysteme, ist zusätzlich eine externe Prüfung durch zugelassene Konformitätsbewertungsstellen erforderlich. Für viele andere Produkte reicht eine Selbsterklärung des Herstellers aus. Diese setzt jedoch eine umfassende technische Dokumentation voraus.

Welche Pflichten auf Hersteller zukommen

Der Cyber Resilience Act verpflichtet Hersteller zu einer Vielzahl technischer und organisatorischer Maßnahmen. Dazu gehört insbesondere die systematische Identifikation, Bewertung und Behebung von Schwachstellen über den gesamten Lebenszyklus eines Produkts hinweg. Sicherheitsanforderungen müssen bereits in frühen Entwicklungsphasen berücksichtigt werden. Zusätzlich müssen Unternehmen dokumentierte Prozesse etablieren, um Sicherheitslücken strukturiert zu erfassen, zu bewerten und zu bearbeiten.

Ein zentrales Element der Verordnung ist die Transparenz über eingesetzte Softwarekomponenten. Hersteller müssen für ihre Produkte eine sogenannte Software Bill of Materials (SBOM) erstellen. Diese Software-Stückliste dokumentiert sämtliche verwendeten Programme, Bibliotheken, Frameworks und Abhängigkeiten einschließlich ihrer Versionsstände, Lizenzinformationen und bekannter Schwachstellen. Ziel ist es, die Transparenz innerhalb der Softwarelieferkette zu erhöhen und potenzielle Risiken schneller identifizieren zu können.

Software-Stücklisten als praktische Herausforderung

Die Erstellung und Pflege solcher Software-Stücklisten erweist sich in der Praxis jedoch häufig als anspruchsvoll. Moderne Produkte bestehen oftmals aus einer Vielzahl unterschiedlicher Softwarekomponenten, die aus verschiedenen Quellen stammen. Dazu gehören sowohl Open-Source-Software als auch von Zulieferern bereitgestellte Module.

In vielen Fällen liegen die erforderlichen Informationen nicht vollständig vor oder sind über unterschiedliche Systeme verteilt. Dadurch entsteht zusätzlicher Aufwand bei der Zusammenstellung, Aktualisierung und Pflege der erforderlichen Dokumentation. Insbesondere bei komplexen Produkten und langen Lieferketten kann dies erhebliche Ressourcen binden.

Kontinuierliches Schwachstellenmanagement wird Pflicht

Neben der Dokumentation fordert der Cyber Resilience Act ein durchgängiges Management von Sicherheitslücken. Hersteller müssen geeignete Mechanismen etablieren, um bekannte Schwachstellen zu erkennen, zu bewerten und zeitnah zu beheben. Gleichzeitig sind sie verpflichtet, ihre Produkte auch nach der Markteinführung kontinuierlich zu überwachen, um neu auftretende Risiken frühzeitig identifizieren zu können.

Ein wichtiger Bestandteil ist dabei die Analyse der Softwarelieferkette. Sicherheitsprobleme entstehen häufig nicht im eigenen Quellcode, sondern in Drittanbieter-Komponenten, Frameworks oder Bibliotheken. Ohne geeignete Analyseverfahren bleibt oftmals unklar, welche Softwarebestandteile tatsächlich in einem Produkt enthalten sind und ob bekannte Schwachstellen vorhanden sind.

Der CRA verlangt daher nicht nur technische Schutzmaßnahmen, sondern auch organisatorische Prozesse für Risikomanagement, Dokumentation und Meldepflichten. Sämtliche Maßnahmen müssen nachvollziehbar dokumentiert werden, um die regulatorischen Nachweispflichten erfüllen zu können.

Unternehmen stehen vor umfangreichen Anpassungen

Für viele Hersteller bedeutet die Umsetzung der CRA-Vorgaben erhebliche organisatorische und technische Veränderungen. Besonders Unternehmen mit komplexen Produktportfolios oder weit verzweigten Softwarelieferketten müssen ihre Entwicklungs- und Sicherheitsprozesse überprüfen und anpassen. Häufig besteht zunächst Unsicherheit darüber, welche Produkte konkret unter die Verordnung fallen und welche Anforderungen im Einzelfall erfüllt werden müssen.

Hinzu kommt, dass viele bestehende Systeme nicht auf eine kontinuierliche Überwachung von Softwarekomponenten ausgelegt sind. Ohne automatisierte Analyse- und Monitoringverfahren wäre der Aufwand für die manuelle Prüfung sämtlicher Komponenten kaum beherrschbar.

Zudem müssen Unternehmen sicherstellen, dass sie ihre Sicherheitsmaßnahmen über den gesamten Produktlebenszyklus hinweg aufrechterhalten können. Dies umfasst nicht nur die Entwicklungsphase, sondern auch Wartung, Updates und Support über mehrere Jahre hinweg.

Strukturierte Wege zur CRA-Compliance

Um Unternehmen bei der Umsetzung der neuen Anforderungen zu unterstützen, wurden verschiedene strukturierte Vorgehensmodelle entwickelt. Ein Beispiel ist der Ansatz „CRA Fast Start“ des Cybersecurity-Unternehmens ONEKEY. Ziel dieses Konzepts ist es, Herstellern einen schnellen und systematischen Einstieg in die CRA-Compliance zu ermöglichen und gleichzeitig die technischen Grundlagen für eine langfristige Einhaltung der Anforderungen zu schaffen.

Den Ausgangspunkt bildet ein CRA Readiness Assessment. Dabei wird untersucht, wie gut ein Unternehmen bereits auf die Anforderungen des CRA vorbereitet ist. Analysiert werden unter anderem bestehende Prozesse zum Schwachstellenmanagement, vorhandene Dokumentationsstrukturen sowie organisatorische Verantwortlichkeiten. Auf Basis dieser Ergebnisse lassen sich Compliance-Lücken identifizieren und priorisierte Maßnahmen ableiten.

Eine wesentliche technische Grundlage bildet die Erstellung und Pflege von Software-Stücklisten. Sie ermöglichen Transparenz über die Softwarelieferkette und dienen als Ausgangspunkt für Sicherheitsanalysen. Auf Basis dieser Informationen kann ein systematisches Vulnerability-Management etabliert werden, das bekannte Schwachstellen automatisch identifiziert und bewertet.

Ein weiterer wichtiger Bestandteil ist ein kontinuierliches Monitoring der Softwarekomponenten. Durch regelmäßige Analysen lassen sich neue Sicherheitslücken frühzeitig erkennen. Gleichzeitig können Veränderungen in der Softwarelieferkette nachvollzogen werden. Dadurch entsteht eine dauerhafte Übersicht über den Sicherheitsstatus digitaler Produkte.

Mehr Sicherheit, aber auch mehr Verantwortung

Der Cyber Resilience Act gilt zu Recht als ein wichtiger Schritt zur Verbesserung der digitalen Sicherheit in Europa. Er schafft erstmals verbindliche Anforderungen an die Sicherheit vernetzter Produkte und verpflichtet Hersteller zu einem durchgängigen Sicherheitsmanagement.

Gleichzeitig führt die Regulierung zu einem erheblichen organisatorischen und technischen Aufwand für die betroffenen Unternehmen. Insbesondere die Anforderungen an Dokumentation, Schwachstellenmanagement und kontinuierliches Monitoring erfordern neue Prozesse und Werkzeuge.

Langfristig wird der CRA dazu beitragen, ein höheres Sicherheitsniveau für digitale Produkte zu etablieren und Risiken durch Software-Schwachstellen zu reduzieren. Für Hersteller bedeutet dies, Cybersicherheit stärker als integralen Bestandteil ihrer Produktentwicklung zu betrachten und entsprechende Strukturen dauerhaft zu verankern. (mk)

* Jan Wendenburg ist CEO von Onekey

Embedded-Systeme

Wie Cybersecurity und KI die industrielle Zukunft beeinflussen

Datenverarbeitung

Wie Millimeterwellen-Bildgebungssysteme für mehr Sicherheit sorgen

DSGVO

10 Jahre DSGVO: Datenschutz verankert, aber jedes Jahr aufwendiger

(ID:50880065)