Cyber Resilience Act: Was jetzt zählt
Security-Pflichten für Produkte
Nachdem im ersten Teil die strategische Bedeutung des Cyber Resilience Acts (CRA) im Fokus stand, wird es jetzt konkret: Welche Anforderungen kommen tatsächlich auf Unternehmen zu und was bedeutet das für die Praxis?
Der CRA ist bewusst so gestaltet, dass er keine abstrakten Leitlinien vorgibt, sondern klare, überprüfbare Pflichten definiert. Genau das macht ihn so wirksam und zugleich so herausfordernd.
Anwendungsbereich: Produkte mit digitalen Elementen
Im Zentrum des CRA stehen alle „Produkte mit digitalen Elementen“ – ein bewusst weit gefasster Begriff. Darunter fallen:
- Softwareprodukte jeder Art
- vernetzte Geräte (IoT)
- eingebettete Systeme in industriellen Umgebungen
Die entscheidende Abgrenzung erfolgt über das Risikopotenzial:
- Nichtkritische Produkte unterliegen Standardanforderungen
- Kritische Produkte (z. B. sicherheitsrelevante Komponenten) müssen deutlich strengere Prüf- und Nachweispflichten erfüllen
Ein zentrales Element ist dabei die CE-Kennzeichnung: Sie wird künftig auch die Cybersicherheit eines Produkts attestieren und ist Voraussetzung für den Vertrieb im EU-Markt. Für viele Unternehmen bedeutet das: Security wird Teil des formalen Produktzulassungsprozesses.
Secure by Design & Secure by Default
Einer der wichtigsten Grundsätze des CRA ist zugleich einer der anspruchsvollsten: Sicherheit muss von Anfang an im Produkt verankert sein. Das umfasst insbesondere:
- Minimierung der Angriffsfläche
Nur notwendige Funktionen und Schnittstellen - keine unnötigen offenen Flanken - Sichere Voreinstellungen (Secure by Default)
Produkte dürfen nicht mit unsicheren Standardkonfigurationen ausgeliefert werden - Lifecycle-Betrachtung
Sicherheit endet nicht mit dem Release, sondern umfasst den gesamten Lebenszyklus - inklusive Updates und Support
In der Praxis zeigt sich häufig eine Lücke: Entwicklungsprozesse sind funktional optimiert, aber nicht konsequent auf Security ausgerichtet. Genau an dieser Stelle entscheidet sich, ob CRA-Anforderungen effizient integriert werden oder erst später aufwendig „nachgerüstet“ werden müssen.
Vulnerability Management & Meldepflichten
Der CRA macht das Vulnerability Management zur verpflichtenden Daueraufgabe. Kernanforderungen sind:
- Aktive Behandlung von Schwachstellen
Unternehmen müssen bekannte und aktiv ausgenutzte Schwachstellen systematisch identifizieren, bewerten und beheben - 24-Stunden-Meldepflicht an ENISA
Wird eine Schwachstelle aktiv ausgenutzt, muss dies innerhalb von 24 Stunden gemeldet werden - Koordinierte Offenlegung (Coordinated Vulnerability Disclosure)
Klare Prozesse für den Umgang mit extern gemeldeten Schwachstellen - Software Bill of Materials (SBOM)
Transparenz über eingesetzte Softwarekomponenten und Abhängigkeiten
Gerade dieser Bereich zeigt, wie stark der CRA operative Fähigkeiten erfordert. Es reicht nicht, Richtlinien zu definieren - Unternehmen müssen in der Lage sein, Schwachstellen in Echtzeit zu managen. In der Praxis wird deutlich: Ohne strukturierte Prozesse und klare Verantwortlichkeiten wird die Umsetzung schnell zur organisatorischen Herausforderung.
Dokumentation & Konformitätsbewertung
Neben technischen Maßnahmen legt der CRA großen Wert auf Nachweisbarkeit. Unternehmen müssen umfassend dokumentieren:
- Technische Dokumentation
Sicherheitskonzepte, Architektur, Risikobewertungen - EU-Konformitätserklärung
Offizielle Bestätigung, dass das Produkt alle Anforderungen erfüllt - Interne Kontrollverfahren
Prozesse zur kontinuierlichen Sicherstellung der Compliance
Diese Anforderungen betreffen nicht nur Engineering-Teams, sondern auch Governance-, Qualitätsmanagement- und Compliance-Funktionen. Erfahrungsgemäß ist hier eine der größten Herausforderungen: die Verbindung von technischer Umsetzung und regulatorischer Nachweisführung.
Sanktionen bei Verstößen
Der CRA ist kein „Soft Law“. Verstöße haben spürbare Konsequenzen:
- Erhebliche Bußgelder
Abhängig von Schwere und Umfang des Verstoßes - Vertriebsverbote
Produkte können vom Markt genommen oder gar nicht erst zugelassen werden - Reputationsrisiken
Sicherheitsmängel werden zunehmend öffentlich und geschäftskritisch
Damit wird klar: Compliance ist nicht optional, sondern geschäftsentscheidend.
Ein kurzer Reality-Check für Unternehmen:
- Enthält Ihr Produkt Software oder digitale Komponenten?
- Wird Ihr Produkt auf dem EU-Markt angeboten oder betrieben?
- Haben Sie Transparenz über den eingesetzten Softwarebestandteil (SBOM)?
- Existiert ein strukturierter Prozess für das Vulnerability Management?
- Können Sie Sicherheitsmaßnahmen und -entscheidungen nachvollziehbar dokumentieren?
Wenn Sie mehrere dieser Fragen nicht eindeutig mit „Ja“ beantworten können, besteht Handlungsbedarf.
Fazit
Der Cyber Resilience Act übersetzt Cyber Security in konkrete, überprüfbare Anforderungen entlang des gesamten Produktlebenszyklus. Für viele Unternehmen bedeutet das einen tiefgreifenden Wandel: von punktuellen Sicherheitsmaßnahmen hin zu strukturierten, durchgängigen Prozessen.
Organisationen, die diese Anforderungen frühzeitig operationalisieren und in ihre Produktentwicklung integrieren, schaffen nicht nur Compliance, sondern auch nachhaltige Stabilität und Vertrauen im Markt.
Verfasst von
