Cyber-Resilienz-Verordnung: Cyber Resilience Act verlangt Updates für fünf Jahre

Die Cyber-Resilienz-Verordnung der EU ist seit Dezember 2024 in Kraft. Sie zwingt Hersteller vernetzter Produkte zu klaren Sicherheitsstandards, Meldepflichten und Updates, wobei die Anforderungen von der Produktkategorie abhängen. Hersteller müssen ihre Prozesse anpassen und dokumentieren.

Viele Hersteller und Anwender fragen sich, was die Cyber-Resilienz-Verordnung für sie bedeutet. Der Cyber Resilience Act (kurz: CRA) trat bereits am 10. Dezember 2024 in Kraft. Die Verordnung greift innerhalb der nächsten ein bis zwei Jahre stufenweise: Am 11. September 2026 beginnen erste Meldepflichten für Hersteller, während der CRA am 11. Dezember 2027 den Status der sogenannten „vollen Anwendbarkeit“ erreicht.

Spätestens ab Ende 2027 greifen also neue Pflichten für betroffene Unternehmen. Dazu zählen verschärfte Sicherheitsanforderungen, Risikobewertungen, Dokumentationen und erweiterte Meldepflichten. Ohne diese Nachweise dürfen vernetzte Produkte nicht mehr neu in den EU-Markt gelangen. Die Anwendung der Verordnung ist jedoch unterschiedlich ausgestaltet, wobei feine Abstufungen über den konkreten Umfang der Anforderungen entscheiden. 

Sicherheitsvorgaben: Verordnung betrifft alle vernetzten Geräte

Das Bundesamt für Sicherheit in der Informationstechnik nennt als Ziel der Verordnung ein „Mindestmaß an Cybersicherheit“ für alle vernetzten Produkte. Die Neuerungen sind tiefgreifend, so müssen künftig alle in der EU vertriebenen „Produkte mit digitalen Elementen“ bestimmte Sicherheitsvorgaben erfüllen. Das betrifft also alle Hersteller, die direkt oder indirekt vernetzte Hard- oder Software-Produkte auf den Markt bringen.

Die Regelung bleibt dabei bewusst allgemein gehalten, sie erfasst Endanwenderprodukte wie Smartwatches, vernetztes Spielzeug oder Computerspiele ebenso wie Business-Lösungen. Dazu gehören beispielsweise Mikroprozessoren, Cloud-Anwendungen, Firewalls oder auch VPNs (Virtuelle Private Netzwerke). Ausnahmen macht die EU nur bei Open-Source-Produkten, sofern sie keinen kommerziellen Zweck verfolgen.

Produktklassen: VPNs zählen zur kritischen Kategorie I

Die Verordnung behandelt vernetzte Geräte unterschiedlich und sieht verschiedene Kategorien vor. Zu den einfachen „Produkten mit digitalen Elementen“ zählt alles, was nicht in höhere Kategorien passt. Zu den Beispielen zählen hier Smartphones, Software für Steuererklärungen, Saugroboter oder Airtags. Die nächste Kategorie heißt „Wichtige Produkte mit digitalen Elementen“ und teilt sich in Klasse-I- und Klasse-II-Produkte auf. Hinzu kommen noch „Kritische Produkte mit digitalen Elementen“.

Klasse-I-Produkte umfassen beispielsweise Webbrowser, Passwort-Manager, SIEM-Lösungen (Security Information & Event Management) sowie VPN-Software und -Hardware. Betriebssysteme, Router und Switches gehören ebenfalls dazu. Hypervisoren oder Container-Plattformen zählen hingegen zu den Klasse-II-Produkten. Chipkarten oder Hardware-Sicherheitsmodule gelten dagegen als kritische Produkte. Noch einmal kurz zusammengefasst:

• Allgemeine Produkte
• Wichtige Produkte – Klasse I
• Wichtige Produkte – Klasse II
• Kritische Produkte 

Diese Einteilung hat praktische Folgen: Klasse-II-Produkte unterliegen strengeren Pflichten als Hard- und Software der Klasse I. Dasselbe gilt für Klasse-I-Produkte im Vergleich zu Standardprodukten. Die Cyber-Resilienz-Verordnung sieht mehrere Module mit unterschiedlichen Verfahren vor, die von internen Kontrollen (Modul A) über die EU-Baumusterprüfung (Module B und C) bis hin zur umfassenden Qualitätssicherung (Modul H) reichen. Alternativ steht ein Zertifikatsprozess zur Verfügung.

Ein Diagramm der „Cyber Regulierung“-Website stellt den Entscheidungsprozess für die Auswahl des passenden Verfahrens übersichtlich dar.

Die Produktkategorien der neuen Cyber-Resilienz-Verordnung (Quelle: www.cyber-regulierung.de)