Cyber Resilience Act

EU-Verordnung tritt schrittweise in Kraft

Der Cyber Resilience Act (CRA) ist die erste europäische Verordnung, die ein Mindestmaß an Cybersicherheit für vernetzbare Produkte auf dem EU-Markt festlegt. In einem "Management Blitzlicht" hilft das Bundesamt für Sicherheit in der Informationstechnik Herstellern bei der Umsetzung.

EU-Verordnung tritt schrittweise in KraftFoto: piick/shutterstock.com

Der Leitfaden hilt einzuschätzen, wann ein Produkt unter den CRA fällt, gibt Empfehlungen zur Vorbereitung und klärt auf, ab welchem Zeitpunkt ein Produkt CRA-konform sein muss.
Auf folgende Fragen wird eingegangen:

Wann geht es los?
Der CRA tritt 20 Tage nach seiner Veröffentlichung im Amtsblatt der EU in Kraft. Der aktuelle Status kann › hier eingesehen werden. Die Umsetzung erfolgt schrittweise, sodass bis Ende 2027 alle neuen Produkte den festgelegten Anforderungen entsprechen müssen.

Fällt mein Produkt unter den CRA?
Ein Produkt fällt unter den CRA, wenn es digitale Elemente verwendet oder ein Softwareprodukt ist, ab Ende 2027 neu auf den EU-Markt gebracht wird, nicht zu den fünf Ausnahmesektoren (Medizinprodukte, Fahrzeuge, In-vitro-Diagnostika, zivile Luftfahrt sowie Produkte im Kontext der nationalen Sicherheit) gehört und keine kostenfreie Open-Source-Software ohne Gewinnerzielungsabsicht ist.

Was ist zu tun?
Ein Hersteller muss im Rahmen des CRA verschiedene Anforderungen erfüllen, um die Cybersicherheit seiner Produkte zu gewährleisten und die Konformität mit den EU-Vorgaben sicherzustellen. Zu den wichtigsten Pflichten gehören:

  • Risikobewertung 
  • Grundsätze „security by design“ und „security by default“ berücksichtigen
  • Software Bill of Materials (SBOM) integrieren
  • Konformitätsbewertung
  • Informationsaustausch zu Schwachstellen
  • Sicherheitsupdates und Wartung

Wie unterstützt das BSI?
Das BSI entwickelt eine Technische Richtlinie, um die Anforderungen des CRA verständlicher zu machen. Diese Richtlinie beschreibt die Anforderungen an Hersteller und Produkte zur Cyberresilienz klar und übersichtlich. Teil 1, „General Requirements“, fasst die Anforderungen an Hersteller und Produkte in Anlehnung an die Artikel und Anhänge des CRA zusammen. Teil 2, „Software Bill of Materials (SBOM)“, legt formelle und fachliche Vorgaben für SBOMs fest. Teil 3, „Vulnerability Reports and Notifications“, beschreibt den Umgang mit eingehenden Schwachstellenmeldungen.

Mehr Infos in der BSI-PDF "Cyber Resilience Act - Cybersicherheit EU-weit gedacht"

Oder beim BSI direkt.

Thorsten Schwäger

Thorsten Schwäger

Infrastrukturpolitik, Verkehr und Gefahrgut,
IHK-Zentrale
Position: Gesamtleitung Verkehr und digitale Infrastruktur
Schwerpunkte: Infrastruktur und Medienpolitik, Digitalisierungsausschuss, Branchenbetreuung: Verkehr, Verkehrsausschuss, Digital Hub
Telefon: 07121 201-234
E-Mail schreiben
vCard herunterladen
Zur Detailseite


Zur Übersicht