Unter die Cybersicherheitsverordung der EU fallen Produkte mit digitalen Elementen. Raspberry Pi Trading hat die Entwicklung zum Cyber Resilience Act genau verfolgt und will seine Kunden bei der Integration von Rasperry Pis in ihre Designs unterstützen. Wie, verrät dieser Beitrag.
Cyber Resilience Act: Hersteller sind verpflichtet, die Cyberresilienz ihrer Produkte zu verbessern.
Ein „Produkt mit digitalen Elementen“ bezeichnet ein Software- oder Hardwareprodukt und dessen Lösungen zur Fernverarbeitung von Daten, einschließlich Software- oder Hardwarekomponenten, die separat in Verkehr gebracht werden. Wer digitale Produkte in der Europäischen Union herstellen und einsetzen möchte, sollte sich deshalb mit dem EU-Gesetz zur Cyberresilienz (CRA) vertraut machen. Raspberry Pi Trading, der Teil von Raspberry Pi, der sich um die Vermarktung der Singleboard-Computer kümmert, will seine Kunden dabei unterstützen.
Was ist das Gesetz zur Cyber-Resilienz (Cyber Resilience Act, CRA)?
Das CRA ist die wichtigste EU-Rechtsvorschrift, die sich auf die Cybersicherheit von „Produkten mit digitalen Elementen“ konzentriert. Es gilt für jegliche Hardware oder Software mit digitalen Elementen, darunter IoT-Geräte, Embedded-Systeme, industrielle Steuerungen, Smart-Home-Geräte und vieles mehr; wenn es sich um ein vernetztes Produkt handelt, das in Europa verkauft wird, fällt es mit ziemlicher Sicherheit in den Geltungsbereich. Der CRA folgt den in der Verordnung (EG) Nr. 765/2008 zum neuen Rechtsrahmen festgelegten Verfahren zur Produktkonformität, die allgemein als CE-Kennzeichnung bekannt sind.
Hersteller müssen zunächst eine Cybersicherheits-Risikobewertung durchführen, bei der sie die Funktionsweise des digitalen Produkts untersuchen und potenzielle Schwachstellen identifizieren. Je nach Ergebnis der Risikobewertung müssen Hersteller möglicherweise Sicherheitsfunktionen implementieren, Produkte während ihres gesamten Lebenszyklus sicher warten, Verfahren zum Umgang mit Schwachstellen bereitstellen und gegenüber Kunden transparent über Sicherheitsfähigkeiten und -einschränkungen informieren.
Hersteller müssen zudem Maßnahmen ergreifen, um die Cyberresilienz ihrer Produkte zu verbessern – von der Integrität der gesendeten und empfangenen Kommunikation bis hin zur Vertraulichkeit ihrer Daten –, unter anderem durch regelmäßige Überprüfungen und Sicherheitstests. Die Strafen bei Nichteinhaltung können bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes betragen.
Zeitpläne und Anforderungen
Die vollständige CRA tritt am 11. Dezember 2027 in Kraft; bis zu diesem Zeitpunkt müssen Produkte die im Anhang dargelegten Anforderungen erfüllen. Tabelle 1 zeigt, was diese Anforderungen umfassen.
Tabelle 1: Bis zum 11. Dezember 2027 müssen Produkte die in der Tabelle aufgelisteten Anforderungen erfüllen.
(Bild: Raspberry Pi Foundation)
Die Frist im Dezember 2027 lässt Integratoren noch genügend Zeit, die Anforderungen der Verordnung umzusetzen. Für Teams, die bereits heute Produkte entwickeln – also Halbleiter auswählen, Firmware-Architekturen entwerfen und Zertifizierungsstrategien planen –, werden jedoch die jetzt getroffenen Entscheidungen darüber entscheiden, ob sie diese Frist sicher einhalten können. Wenn dieser Zeitpunkt gekommen ist, müssen alle unter die Verordnung fallenden Produkte mit dem CE-Zeichen versehen sein.
Die Meldung von Sicherheitslücken und Vorfällen wird am 11. September 2026 verpflichtend. Hersteller, die vernetzte Produkte in der EU vermarkten, müssen alle aktiv ausgenutzten Sicherheitslücken oder schwerwiegenden Sicherheitsvorfälle melden, die ihre Produkte betreffen. Sie haben 24 Stunden Zeit, um eine Frühwarnung einzureichen, und 72 Stunden, um eine vollständige Meldung vorzulegen. Die Meldungen werden über eine neue, von der CRA eingerichtete zentrale Meldeplattform eingereicht, die den sicheren Datenaustausch zwischen den europäischen Computer-Sicherheits-Notfallteams (CSIRTs) und der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) ermöglicht.
Die Raspberry Pi Foundation hilft weiter
Raspberry-Pi-Produkte bilden das Herzstück einer enormen Vielfalt vernetzter Anwendungen, darunter industrielle Automatisierung, intelligente Gebäudeinfrastruktur, Edge-Computing, medizinische Überwachungsgeräte, Einzelhandelssysteme und vieles mehr. Viele dieser Anwendungsfälle fallen in den Geltungsbereich der CRA.
Die CRA stuft Produkte mit digitalen Elementen nach ihrem Risiko ein – die Mehrheit fällt in die Standardkategorie mit dem geringsten Risiko, einige jedoch in die Kategorien „wichtig“ und „kritisch“, für die strengere Bewertungsanforderungen gelten. Für viele Raspberry-Pi-Kunden wird die Standardkategorie gelten, doch diejenigen, die kritischere Infrastrukturen aufbauen, sehen sich proportional anspruchsvolleren Verpflichtungen gegenüber.
Raspberry Pi Trading ist sich bewusst, dass Compliance nicht nur eine Formalität ist, die man abhaken kann; sie erfordert dokumentierte Risikobewertungen, Nachweise über Sicherheitstests, Verfahren zur Offenlegung von Sicherheitslücken sowie fortlaufende Verpflichtungen, die noch lange nach der Markteinführung eines Produkts bestehen bleiben. Unsere Kunden sind Ingenieure und Produktentwickler, keine Regulierungsspezialisten, und sie arbeitet intensiv daran, diesen Prozess für Anwender zu vereinfachen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel Communications Group GmbH & Co. KG, Max-Planckstr. 7-9, 97082 Würzburg einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
Wie Raspberry Pi Trading hilft, die Compliance-Anforderungen zu erfüllen
Gemessen an den wesentlichen Cybersicherheitsanforderungen der CRA bieten die Hardware- und Softwareprodukte von Raspberry Pi eine solide Grundlage für ein konformes Systemdesign. Funktionen für den sicheren Systemstart, verschlüsselte Speicheroptionen, robuste Update-Mechanismen und starke kryptografische Grundfunktionen sind alle nativ in die Plattform integriert, und Raspberry Pi OS das offizielle Raspberry-Pi-Betriebssystem, wird mit einer sicherheitsoptimierten Standardkonfiguration ausgeliefert.
Die Einhaltung der Vorschriften ist eine gemeinsame Verantwortung entlang der gesamten Lieferkette. Wenn Sie ein Produkt mit Raspberry-Pi-Technologie entwickeln, fangen Sie nicht bei Null an – Sie bauen auf einer Plattform auf, die einen Großteil der Vorarbeit bereits geleistet hat. Die Raspberry-Pi-Sicherheitsarchitektur ist dokumentiert, der Prozess zur Offenlegung von Sicherheitslücken ist ausgereift und das Engagement von Raspberry Pi für die Unterstützung von Produkten mit langfristigen Sicherheitsupdates ist fest verankert. Raspberry Pi unterstützt sogar früheste Computer weiterhin mit neuesten Raspberry-Pi-OS-Builds.
Beratung und Unterstützung für Anwender
Um nachzuweisen, dass ein Produkt den Anforderungen der CRA entspricht, müssen Entwickler alle ihre Konformitäts- und Risikobewertungen dokumentieren und dabei darlegen, dass die derzeit getroffenen Sicherheitsmaßnahmen angemessen sind, sowie ihre Pläne für die fortlaufende Sicherheitswartung skizzieren. Aus diesem Grund investiert Raspberry Pi Trading in Unterstützung und Beratung, die speziell darauf ausgerichtet ist, Anwender bei der Umsetzung der CRA zu helfen.
Das Produktinformationsportal (PIP) von Raspberry Pi enthält bereits Anwendungshinweise und Whitepaper, in denen die Umsetzung von Sicherheitsmaßnahmen erläutert wird. Es werden weiterhin zusätzliche Anleitungen bereitgestellt, während eine interne Arbeitsgruppe der Foundation die Entwicklung der Verordnung und die Veröffentlichung der harmonisierten Normen, die den Konformitätsbewertungen zugrunde liegen, verfolgt.
Die verbleibende Zeit nutzen
Raspberry Pi empfiehlt allen, die im Engineering tätig sind, die verbleibende Zeit zu nutzen und die Einhaltung der CRA sicherzustellen. Die Integration der Raspberry-Pi-Technologie verschafft einen erheblichen Vorsprung. Ein Abwarten bis zum Inkrafttreten der Vorschriften kann zu Verzögerungen, rechtlichen Risiken und unvermeidbaren Nacharbeiten führen.
Die Wahl einer Plattform, die in Sicherheit investiert hat, bereits langfristige Supportzusagen und ein transparentes Schwachstellenmanagement bietet und aktiv Compliance-Leitlinien entwickelt, schafft eine solide Sicherheitsgrundlage. Das bedeutet, dass Anwender ihre technischen Anstrengungen auf die Anwendung selbst konzentrieren können, anstatt eine Sicherheitsinfrastruktur von Grund auf neu aufbauen zu müssen.
Die CRA legt die Messlatte für die Sicherheit vernetzter Geräte deutlich höher. Indem Entwickler dazu ermutigt werden, Produkte von Grund auf sicher zu gestalten, wird gewährt, dass Kunden und Endnutzer besser geschützt sind. (mk)