Cyber Resilience Act

Der Cyber Resilience Act (CRA, EU 2024/2847) ist die erste EU-weite Produktsicherheitsverordnung, die explizit Cybersicherheitsanforderungen für Hardware und Software mit Netzwerkfunktion stellt. Betroffen sind Hersteller, Importeure und Händler von Produkten mit digitalen Elementen: vernetzte Geräte, Software, IoT-Produkte, industrielle Steuerungssysteme, Router, Smart-Home-Geräte und – mit besonderen Einschränkungen – auch Software-as-a-Service-Komponenten, die direkt in Produkte integriert sind.

Der CRA kategorisiert Produkte nach Risikostufe. Standard-Produkte (Klasse I) unterliegen einer vereinfachten Konformitätsbewertung. Kritische Produkte (Klasse II) – darunter Netzwerkgeräte, Firewalls, industrielle Router und bestimmte Betriebssysteme – benötigen eine Prüfung durch benannte Stellen. Hochkritische Produkte erfordern die strengste Bewertung. Die Einordnung Ihrer Produkte in die richtige Klasse ist der erste und wichtigste Schritt.

Die Übergangsfristen sind klar definiert: Ab September 2026 müssen Hersteller die Meldepflichten umsetzen; ab Dezember 2027 gelten die vollständigen Anforderungen. Unternehmen, die diese Fristen ignorieren, riskieren den Marktzugang im EU-Binnenmarkt, Rückrufe und Bußgelder. Für exportorientierte Hersteller ist CRA-Compliance damit keine regulatorische Option, sondern Geschäftsgrundlage.

Der CRA verankert Security-by-Design als verbindliches Prinzip. Hersteller müssen Sicherheitsaspekte von der ersten Designentscheidung an berücksichtigen – nicht als nachträgliches Patch-Level, sondern als integralen Bestandteil des Entwicklungsprozesses. Das umfasst strukturierte Bedrohungsmodellierungen (Threat Modeling), sichere Programmierpraktiken, Code-Reviews und automatisierte Sicherheitstests als Teil der CI/CD-Pipeline.

Eine der konkreten CRA-Anforderungen ist das Schwachstellenmanagement über den gesamten Produktlebenszyklus. Hersteller müssen aktiv ausgenutzten Schwachstellen in ihren Produkten innerhalb von 24 Stunden nach Bekanntwerden an ENISA (EU-Agentur für Cybersicherheit) melden – und unverzüglich mit der Behebung beginnen. Das setzt voraus, dass Hersteller systematisch beobachten, welche Schwachstellen in ihren Produkten und deren Abhängigkeiten auftreten.

Sicherheitsupdates müssen für die gesamte erwartete Produktlebensdauer kostenlos bereitgestellt werden. Der CRA definiert Mindestsupportzeiträume in Abhängigkeit von der Produktkategorie – für viele IoT-Hersteller eine erhebliche Herausforderung, weil bisherige Geschäftsmodelle auf dem Ende des Supports als Treiber für Neugeräte-Käufe basieren.

Eine Software Bill of Materials (SBOM) ist eine maschinenlesbare Stückliste aller Software-Komponenten, die in einem Produkt enthalten sind – Bibliotheken, Frameworks, Laufzeitumgebungen, Abhängigkeiten. Der CRA verlangt, dass Hersteller eine SBOM für ihre Produkte erstellen und pflegen, um die Identifizierung bekannter Schwachstellen in verwendeten Komponenten zu ermöglichen.

Die relevanten SBOM-Formate sind SPDX (ISO/IEC 5962:2021) und CycloneDX – beides offene Standards, die von den gängigen Build-Systemen und CI/CD-Plattformen unterstützt werden. Die eigentliche Herausforderung ist nicht die Generierung einer SBOM, sondern der kontinuierliche Abgleich gegen öffentliche Schwachstellendatenbanken (NVD, OSV, GHSA) und die Integration der Ergebnisse in einen handlungsfähigen Vulnerability-Management-Prozess.

Wir integrieren SBOM-Generierung und Schwachstellen-Monitoring in Ihre bestehende Entwicklungspipeline: SBOM-Erzeugung als automatischer Build-Schritt, kontinuierlicher Abgleich gegen aktuelle Schwachstellendaten, Alerting bei neuen CVEs mit CVSS-Priorisierung und ein dokumentierter Prozess zur Risikoentscheidung und Behebung. Das schafft nicht nur CRA-Compliance, sondern echten Sicherheitsnutzen.