IT-Notfall

Cyber Resilience Act

Die Cyberresilienz-Verordnung (EU) 2024/2847, auch bekannt als Cyber Resilience Act (CRA), stellt einen bedeutenden Meilenstein der Europäischen Union dar, um die Cybersicherheit von Produkten mit digitalen Elementen systematisch und einheitlich zu regeln. Ziel ist es, ein hohes Schutzniveau in der gesamten Union sicherzustellen, Schwachstellen zu reduzieren, Risiken zu minimieren und die Transparenz für Verbraucher zu erhöhen. Im Folgenden findest du eine umfassende Zusammenfassung dieser Verordnung in über 550 Worten.

Hintergrund und Zielsetzung

Die EU erkennt Cybersicherheit als zentrale Herausforderung für Wirtschaft, Gesellschaft und öffentliche Sicherheit an. Angesichts der wachsenden Zahl digital vernetzter Geräte und der Zunahme von Cyberangriffen soll die CRA horizontale, verbindliche Anforderungen an alle digitalen Produkte einführen – unabhängig davon, ob sie Hardware, Software oder vernetzte Dienste darstellen.

Ziel ist es, zwei Hauptprobleme zu beheben:

  1. Das niedrige Cybersicherheitsniveau vieler Produkte mit digitalen Elementen.
  2. Die mangelnde Transparenz, die Nutzer daran hindert, sichere Produkte auszuwählen oder sicher zu verwenden.

Anwendungsbereich und Struktur

Die CRA gilt für alle Produkte mit digitalen Elementen, die im Rahmen einer wirtschaftlichen Tätigkeit auf dem Binnenmarkt bereitgestellt werden. Dies umfasst auch Produkte mit Fernverarbeitungsfunktionen (Clouds, APIs), sofern sie eine essenzielle Funktion des Produkts erfüllen. Ausgenommen sind hingegen Produkte, die ausschließlich für militärische, sicherheitspolitische oder medizinische Zwecke entwickelt wurden und bereits durch spezielle EU-Vorschriften geregelt sind.

Auch freie und quelloffene Software ist grundsätzlich vom CRA ausgenommen – sofern sie nicht im Rahmen einer wirtschaftlichen Tätigkeit auf dem Markt bereitgestellt wird. Ist dies jedoch der Fall, greifen auch hier die Sicherheitsanforderungen der Verordnung, wobei eine vereinfachte Regulierung für sogenannte „Verwalter quelloffener Software“ vorgesehen ist.

Zentrale Anforderungen

Die CRA schreibt grundlegende Cybersicherheitsanforderungen vor, die Hersteller erfüllen müssen, bevor sie ein Produkt auf den Markt bringen:

  • Produkte müssen sicher entworfen und entwickelt werden – mit einem Fokus auf Security by Design.
  • Während des gesamten Lebenszyklus ist ein Verantwortungsbewusstsein für Sicherheitsupdates erforderlich.
  • Hersteller sind verpflichtet, Schwachstellenmanagement zu betreiben und bekannte Schwachstellen zu beheben.
  • Eine CE-Kennzeichnung ist erforderlich, um Konformität mit der Verordnung zu bestätigen.
  • Für wichtige und kritische Produkte gelten strengere Konformitätsbewertungsverfahren.

Darüber hinaus sind Unterscheidungen in Produktkategorien vorgesehen:

  • Klasse I und II für wichtige Produkte, je nach Risikopotenzial.
  • Kritische Produkte (z. B. Firewalls, Intrusion Detection Systeme) unterliegen ggf. einer obligatorischen Cybersicherheitszertifizierung.

Wirtschaftliche Akteure und Pflichten

Neben Herstellern richtet sich die CRA auch an Importeure und Händler. Alle Akteure in der Lieferkette müssen sicherstellen, dass die Produkte den Anforderungen entsprechen. Besonders hervorgehoben wird die Rolle der KMU (kleine und mittlere Unternehmen), für die Leitlinien und Unterstützungsmaßnahmen vorgesehen sind, um eine Umsetzung zu erleichtern.

Die Mitgliedstaaten müssen dafür sorgen, dass Marktüberwachungsbehörden über ausreichend Personal und Kompetenzen verfügen. Zudem sollen sie sicherstellen, dass nationale Vorschriften nicht über die Verordnung hinausgehen und den freien Warenverkehr nicht behindern.

Updates und Softwareänderungen

Software-Updates, insbesondere Sicherheitsaktualisierungen, dürfen nicht zu einer unzulässigen Veränderung des Produkts führen, es sei denn, sie stellen keine „wesentliche Änderung“ dar. Wird jedoch eine wesentliche Funktion hinzugefügt, die neue Risiken birgt, muss eine neue Konformitätsbewertung erfolgen.

Hersteller dürfen während des Support-Zeitraums Updates nur für die jeweils neueste Version bereitstellen, sofern Nutzer kostenfrei auf diese zugreifen können und keine neue Hardware benötigen.

Cyber Resilience Act

Datenschutz und andere Rechtsvorschriften

Die CRA steht im Einklang mit der Datenschutz-Grundverordnung (DSGVO) und fördert durch Sicherheitsanforderungen auch den Schutz personenbezogener Daten. Es wird ausdrücklich betont, dass Synergien zwischen Datenschutz und Cybersicherheit geschaffen werden sollen – etwa durch gemeinsame Normen oder Zertifizierungsprozesse.

Fazit Die Cyberresilienz-Verordnung schafft einen einheitlichen europäischen Rechtsrahmen, der erstmals umfassende, horizontale Cybersicherheitsanforderungen für digitale Produkte festlegt. Sie stärkt nicht nur die Rechte und die Sicherheit von Verbrauchern, sondern unterstützt auch Unternehmen dabei, sicheren digitalen Handel zu betreiben und Innovationen vertrauenswürdig umzusetzen. Durch verpflichtende Sicherheitsupdates, Risikobewertungen und CE-Kennzeichnung soll die CRA die EU zu einem Vorreiter in Sachen Cybersicherheit machen und gleichzeitig ein hohes Maß an Cyber-Resilienz im Binnenmarkt sicherstellen.
Vollständiges Gesetz downloaden
Juristische Beratung

Marktplatz IT-Sicherheit: weitere Angebote

Beiträge IT-Sicherheit
newspaper - news - icon
News
IT-Sicherheit-News
artikel paper - artikel - icon
Artikel
IT-Sicherheit-Artikel
Sprechblasen - Blog - Icon
Blog
IT-Sicherheit-Blogeinträge
Büroklammer - Whitepaper - Icon
Whitepaper
IT-Sicherheit-Whitepaper
ITS-Couch
ITS-Couch-Sofa-Icon
Markplatz Formate
Experten sehen & hören
its-couch-podcast-icon
IT-Sicherheit-Podcast
IT-Sicherheit zum hören
its-couch-video-icon
Livestream IT-Sicherheit
Events & Material
Ratgeber IT-Sicherheit
Glühbirne - Ratgeber - Icon
Cyber-Risyk-Check
Hilfestellungen IT-Sicherheit
Dokument mit Stern - Studien - Icon
IT-Sicherheitsstudien
IT-Sicherheit-Studien
Glossar Cyber-Sicherheit - Glossar - Icon
Glossar
Glossar Cyber-Sicherheit
Buch - Icon
Vorlesung Cyber-Sicherheit
Lehrbuch “Cyber-Sicherheit”
IT-Gesetze Icon
IT-Sicherheitsgesetze
Aktueller Gesetzesrahmen
Forum IT-Sicherheit
Datenschutz - Icon
Datenschutz
Diskussionsforum
Penetrationstests - Icon
Penetrationstests
Diskussionsforum
NIS2
NIS2
Diskussionsforum
markplatz_illustration_firstidea_standdertechnik
Stand der Technik
Diskussionsforum
IT Supply-Chain-Security Icon
IT-Supply Chain Security
Diskussionsforum
IT-Sicherheitstools
secaware_lightbulb
Interaktive Awareness-Schulung
Selbstlernangebot IT-Sicherheit
Zahnräder - Tools - Icon
Tools für IT-Sicherheitschecks
Tools zu verschiedenen Aspekten
Interaktive Listen
IT-Notfall
IT-Notfall
Kontaktdaten von IT-Sicherheitsanbietern
Penetrationstests - Icon
Penetrationstests
Kontaktdaten von IT-Sicherheitsanbietern
markplatz_illustration_beauftragtertest
Informationssicherheitsbeauftragter (ISB)
Kontaktdaten von IT-Sicherheitsanbietern
SOC - Icon
Security Operations Center (SOC)
Kontaktdaten von IT-Sicherheitsanbietern
Datenschutzbeauftragter-Icon
Der Datenschutzbeauftragte
Kontaktdaten von IT-Sicherheitsanbietern
it-sicherherheitsrecht waage
IT-Sicherheitsrecht
Juristische Beratung
Zertifikate IT-Sicherheit
Personenzertifikate - Icon
Personenzertifikate
Interaktive Liste
Unternehmenszertifikate - Icon
Unternehmenszertifikate
Interaktive Liste
Veranstaltungen
Anbieterverzeichnis
Skip to content