Cyber Resilience Act in 5 Minuten [German Version]

Wie er funktioniert, was er fordert, und die 3 Schritte zur Compliance

Der EU Cyber Resilience Act tritt am 11.12.2024 in Kraft und muss ab 11.12.2027 erfüllt werden.

Der Cyber Resilience Act (CRA) ist die EU-Verordnung (2024/2847), die Cybersicherheitsanforderungen für alle „Produkte mit digitalen Elementen“ vorschreibt. Produkte mit digitalen Elementen sind alle Produkte, die digitale Daten verarbeiten und mit anderen digitalen Produkten verbunden werden können. Dies ist ein riesiger Anwendungsbereich. Er umfasst praktisch die gesamte IT, IoT, industrielle Leitsysteme bzw. OT, eingebettete Systeme und Maschinen — und zwar sowohl Hardware als auch Software.

Der CRA wurde am 20. November 2024 im EU-Amtsblatt veröffentlicht. Da es sich um eine EU-Verordnung und nicht um eine EU-Richtlinie handelt, tritt der CRA nun ohne Umwege am 11. Dezember 2024 in allen Mitgliedsstaaten in Kraft — es ist keine Übersetzung in nationale Gesetze notwendig.

Ab 11. Dezember 2027 muss dann jeder, der ein „Produkt mit digitalen Elementen“ in der EU verkaufen will, sicherstellen, dass es die CRA-Anforderungen erfüllt. Die Konformität wird durch das Anbringen eines CE-Kennzeichens auf dem Produkt demonstriert. Das ist das gleiche Kennzeichen, das bereits für andere Produkte mit Sicherheitsaspekten verwendet wird: Sonnenbrillen, Kinderspielzeug, Druckbehälter, Funkgeräte … und jetzt eben auch Produkte mit digitalen Elementen.

Wie das CE-Kennzeichen funktioniert

Der Grundgedanke hinter dem CE-Kennzeichen ist, dass für Produkte in der gesamten EU die gleichen Anforderungen gelten. Dafür gibt es für verschiedene Arten von Produkten “EU-Harmonisierungsrechtsvorschriften”: Für Maschinen, Sportboote, Windräder…und nun, mit dem CRA, eben für digitale Produkte.

Der gesetzliche Rahmen für diese Vorschriften regelt die Mechanismen, die all diese Vorschriften gemein haben — zu Beispiel, dass ein CE-Kennzeichen angebracht werden muss. Dieses Rahmenwerk wurde zuletzt im Jahr 2008 aktualisiert und ist als „New Legislative Framework“ (NLF) bekannt.

Das NLF definiert das Vokabular, das man braucht, um den Cyber Resilience Act zu verstehen:

• Kernstück aller Harmonisierungsvorschriften (wie dem CRA) sind EU-weite (ergo „harmonisierte“) Anforderungen für bestimmte Produkte (gelb in der obigen Abbildung).
• Die europäischen Normungsgremien (CEN, CENELEC, ETSI) werden von der EU-Kommission beauftragt, „harmonisierte europäische Normen“ (hEN ) zu erstellen, um diese Anforderungen für ausgewählte Produkte zu konkretisieren,
• Die Wirtschaftsakteure (jeder, der ein Produkt in der EU verkauft) stellen sicher, dass eine Konformitätsbewertung durchgeführt wird, erstellen eine Konformitätserklärung für die EU-weiten Anforderungen sowie technische Unterlagen zur Untermauerung ihrer Erklärung und bringen am Produkt ein CE-Kennzeichen an,
• “Notified Bodies”‚ (von “accreditation bodies” akkreditiert) können Konformitätsbewertungen durch Dritte durchführen (bekannte Beispiele für “notified bodies” sind Unternehmen der TÜV-Gruppe),
• Die Marktüberwachungsbehörden („notifizierende Stellen“) überwachen (mit stichprobenartigen Prüfungen oder nach Vorfällen oder Meldungen von Nichtkonformitäten), ob die Produkte die EU-weiten Anforderungen erfüllen.

Der “Blue Guide” (zuletzt aktualisiert 2022) enthält Leitlinien für die Umsetzung des NLF und beantwortet viele praktische Fragen zu diesen Strukturen.

Was der CRA fordert

Der CRA bewirkt, dass das CE-Kennzeichen ab 11. Dezember 2027 auch für Produkte mit digitalen Elementen erforderlich wird — und er definiert für diese Produkte eine Reihe von Cybersecurity-Anforderungen.

Die wesentlichen Anforderungen (“essential requirements”) des CRA sind in Anhang I des CRA aufgeführt. Sie lassen sich wie folgt zusammenfassen (gelbe Box in der Abbildung unten):

1. Incident prevention & design principles: Designprinzipien und (regelmäßige) Maßnahmen zur Entwicklung sicherer Produkte (quasi die Zahnbürste der Produktentwicklung).
2. Incident readiness & resilience: Alles, was dazu beiträgt, die Auswirkungen zu mildern, wenn eine Schwachstelle gefunden und ausgenutzt wird (man könnte das als Reifenstapel beschreiben).
3. Incident & Vulnerability handling: Der Prozess, um einen Sicherheitsvorfall professionell zu behandeln und schnell zu beheben (wie es ein Feuerwehrschlauch tut).
   Die Meldepflichten im Falle ausgenutzter Schwachstellen (Art. 14) gelten früher als der Rest des CRA: schon ab 11. September 2026.

Und da der CRA die Mechanismen des CE-Kennzeichen nutzt, gilt das gesamte NLF-Vokabular von oben. Es gibt also im Grunde drei Dokumente, die Produkthersteller (oder Integratoren oder Importeure) erstellen müssen:

1. die EU-Konformitätserklärung , die die Übereinstimmung mit den wesentlichen Anforderungen bestätigt. Sie wird mit dem Produkt mitgeliefert.
2. die technischen Unterlagen , die alles enthalten, um die Konformität zu belegen. Für den CRA bedeutet dies: eine Beschreibung des Produkts und seiner Entwurfs-, Entwicklungs- und Produktionsprozesse, eine Beschreibung des Verfahrens zur Behebung von Schwachstellen, eine Bewertung der Cybersicherheitsrisiken und eine Beschreibung der Cybersicherheitslösungen, die zur Erfüllung der wesentlichen Anforderungen eingesetzt werden.
   Darüber hinaus: Prüfberichte, die belegen, dass die Konformitätsbewertung durchgeführt wurde.
   Die technischen Unterlagen sind nicht öffentlich. Sie müssen der Prüfstelle für die Konformitätsbewertung (z.B. einem “notified body” / TÜV) vorgelegt werden — und der Marktaufsichtsbehörde, wenn sie danach fragt.
3. die Informationen und Anleitungen für den Nutzer. Die können Sie sich als ein dem Produkt beiliegendes Cybersecurity-Handbuch vorstellen, das alles enthält, was ein Nutzer über die Cybersicherheit des Produkts wissen muss. Praktisch wird es in den meisten Fällen aus für den Nutzer relevanten Auszügen der technischen Unterlagen bestehen.
   Die Informationen und Anleitungen für den Nutzer sind besonders wichtig für jeden, der ein B2B-Produkt verkauft, und vor allem, wenn die Kunden selbst reguliert sind (z. B. NIS-2). Hier ist ein Umsetzungsbeispiel.

Roadmap zur CRA-Compliance

Bis Ende 2027 müssen alle in der EU verkauften Produkte mit digitalen Elementen dem CRA entsprechen. Es spielt keine Rolle, wann das Produkt entwickelt oder zum ersten Mal auf den Markt gebracht wurde — wenn es ab 2027 noch verkauft wird, muss es die Anforderungen erfüllen.

Außerdem gilt der CRA für alle Komponenten des Produkts, unabhängig davon, ob sie selbst hergestellt oder zugekauft wurden. Für Komponenten von Dritten ist eine Sorgfaltspflicht (“due diligence”) vorgeschrieben. Sie besteht mindestens darin, sicherzustellen, dass die zugekauften Komponenten selbst eine CE-Kennzeichen tragen.

Wenn Sie also ein digitales Produkt in der EU verkaufen, werden Sie definitiv bis Ende 2027 etwas tun müssen.

Hier ist eine mögliche Roadmap zur CRA-Compliance:

Schritt 1: Produkte kategorisieren

Kategorisieren Sie zunächst Ihre Produkte. Prüfen Sie, ob sie unter den „wichtigen“ oder „kritischen“ Produkten in Anhang III oder IV des CRA aufgeführt sind.

Wenn ja, benötigen Sie möglicherweise eine Konformitätsbewertung durch Dritte, und wahrscheinlich gibt es bald harmonisierte Normen für diese Produkte.

Es ist auch sinnvoll, ähnliche Produkte zu gruppieren, um Synergien zu finden. Das beschleunigt Schritt 2.

Schritt 2: Drei Security-Prozesse aufsetzen

Jetzt kommt der Knackpunkt: Es gibt drei Prozesse, die Sie aufsetzen (oder zumindest überprüfen und dokumentieren) müssen, um die Anforderungen des CRA zu erfüllen.

• Eine Cybersecurity- Risikoanalyse für Ihr Produkt aus der Sicht der Nutzer. Je nach Produkt sollten Sie verschiedene Einbauumgebungen berücksichtigen. Verweisen Sie bei der Beschreibung der risikomindernden Maßnahmen unbedingt auf die wesentlichen Anforderungen des CRA.
• Security in den Entwurfs-, Entwicklungs- und Produktionsprozess Ihres Produkts integrieren. Stellen Sie sicher, dass Sie alle risikomindernden Maßnahmen aus der Risikoanalyse berücksichtigen und außerdem die wesentlichen Anforderungen erfüllen. Abhängig von Ihrem Produkt und Ihren bestehenden Prozessen kann es hilfreich sein, sich an bewährten Standards wie NIST 800–218 oder ISA/IEC 62443–4–1 zu orientieren.
• Ein Verfahren für den Umgang mit Schwachstellen, einschließlich einer “Responsible Disclosure”-Policy und Mechanismen zur Verteilung von Security-Advisories und -Updates, falls eine Schwachstelle gefunden wird. Sie benötigen auch eine Software-Stückliste (SBOM), damit Sie und Ihre Kunden schnell herausfinden können, ob Ihr Produkt von einer Schwachstelle in Ihrer Lieferkette betroffen ist.

Wenn Sie diese drei Prozesse nicht nur umgesetzt, sondern auch gut dokumentiert haben, haben Ihre technischen Unterlagen für den CRA einen guten Reifegrad.

Schritt 3: Konformitätsbewertung

Sofern es sich bei Ihrem Produkt nicht um ein „kritisches“ oder „wichtiges“ Produkt handelt, ist es wahrscheinlich ausreichend, eine Konformitätsbewertung nach Modul A (interne Kontrolle) durchzuführen. Das bedeutet NICHT, dass Sie keine Konformitätsbewertung brauchen, aber Sie können die Bewertung selbst durchführen. Dokumentieren Sie Ihre Tests, denn diese Dokumentation muss auch in die technischen Unterlagen aufgenommen werden.

Danach müssen Sie nur noch den Papierkram erledigen: Auszüge aus den technischen Unterlagen für die Informationen und Anweisungen für den Nutzer, die EU-Konformitätserklärung (dafür gibt es Vorlagen) und natürlich: Bringen Sie das CE-Kennzeichen an Ihrem Produkt an.

Leseliste

Brauchen Sie mehr Details zu irgendeinem Aspekt? Hier ist eine Leseliste:

• Gesetzestext des CRA (EU-Verordnung 2024/2847)
• Ausführlichere Einführung in den CRA und das CE-Kennzeichen (mein Blog, 2022)
• “Blue Guide” der EU, der die Mechanismen rund um CE-Kennzeichen und Konformitätserklärungen erklärt (EU, 2022)
• Erklärung, wie harmonisierte Normen (hENs) entstehen (mein Blog, 2023)
• Zuordnung der CRA-Anforderungen zu Anforderungen existierender Standards (ENISA, 2024, auf Englisch)
• Ausführlichere Beschreibung der wesentlichen Anforderungen des CRA (mein Blog, 2024)
• Überblick über die globale Landschaft der Produkt-Security-Regulierungen und die Rolle des CRA darin (mein Blog, 2024)
• Umsetzungsbeispiel für die “Informationen und Anleitungen für den Nutzer” (mein Blog, 2024)
• Video eines Vortrags von Benjamin Bögel (EU-Kommission) zu Hintergründen des CRA (SECURITY UNTER KONTROLLE, 2024)
• TR-03183 “Cyber Resilience Requirements” des BSI (beschreibt Anforderungen des CRA konkreter, insbesondere für SBOMs) (BSI, 2024)
• Englische Version dieser Zusammenfassung (enthält auch die englischen Versionen der Links auf dieser Liste)