Der neue EU Cyber Resilience Act (CRA) führt verbindliche Cybersicherheitsanforderungen für digitale Produkte ein – und der Zeitplan rückt schnell näher.
Was ist der Cyber Resilience Act (CRA)?
Der CRA ist eine EU-weit geltende Verordnung mit dem Ziel, die Cybersicherheit digitaler Produkte über ihren gesamten Lebenszyklus hinweg zu verbessern. Er gilt sowohl für Geräte als auch für Software und betrifft alle Hersteller, Importeure und Händler, deren Produkte digitale Elemente enthalten. In der Praxis fallen damit alle Produkte, die digital kommunizieren, in den Anwendungsbereich der Verordnung.
Die Anforderungen des CRA sind verpflichtend und gelten einheitlich für alle Unternehmen innerhalb der EU. Werden die Vorgaben bis zu den festgelegten Fristen nicht erfüllt, dürfen die betroffenen Produkte nicht auf dem EU-Markt in Verkehr gebracht werden oder müssen vom Markt genommen werden. Darüber hinaus können Verstöße zu erheblichen Sanktionen führen.
Zeitplan und zentrale Termine des CRA
Für Unternehmen sind insbesondere zwei Stichtage relevant:
der 11. September 2026, ab dem die Meldepflichten für Sicherheitslücken gelten, sowie der 11. Dezember 2027, ab dem die grundlegenden Cybersicherheitsanforderungen für Produkte verpflichtend werden.
Nachfolgend die wichtigsten Meilensteine im Überblick:
- 11. Dezember 2025: Frist für die technische Dokumentation wichtiger und kritischer Produkte (Artikel 7)
- 30. August 2026: Veröffentlichung des Typ-A-Standards (Risikomanagement und Maßnahmen zur Produktsicherheit); zeitgleich Veröffentlichung des Typ-B-Standards zum Umgang mit Schwachstellen
- 11. September 2026: Inkrafttreten der Meldepflichten für Sicherheitslücken
Hinweis: Diese Pflicht gilt auch für bereits bestehende Produkte, nicht nur für neu in Verkehr gebrachte Produkte. - 30. Oktober 2026: Veröffentlichung der Typ-C-Standards für wichtige und kritische Produkte (CRA-Anhänge III/IV) sowie des vertikalen Standards für OT-Umgebungen (ISA/IEC 62443)
- 30. Oktober 2027: Veröffentlichung des Typ-B-Standards zu allgemeinen Cybersicherheitsanforderungen
- 11. Dezember 2027: Inkrafttreten der grundlegenden Cybersicherheitsanforderungen für Produkte
Diese gelten für Produkte, die erstmals nach diesem Datum in Verkehr gebracht werden.
Weitere Standardisierungsaufträge oder Fristen für zusätzliche Typ-C-Standards wurden von der Europäischen Kommission bislang nicht veröffentlicht.
Was bedeutet der CRA für euer Unternehmen?
Mit dem CRA sind Unternehmen verpflichtet, die Cybersicherheit ihrer Produkte systematisch zu bewerten, Risiken zu managen und Sicherheitsaspekte über den gesamten Produktlebenszyklus hinweg zu berücksichtigen. Dies erfordert neue Kompetenzen, angepasste Prozesse, belastbare Dokumentation sowie eine kontinuierliche Weiterentwicklung.
Unser Cybersecurity-Team ist mit den Anforderungen des CRA vertraut und unterstützt Unternehmen dabei, diese korrekt und fristgerecht umzusetzen. Dazu gehören unter anderem:
- Bewertung der CRA-Konformität
- Sichere Software- und Produktentwicklungsprozesse
- Threat Modelling und Risikomanagement
- Security-Trainings
- Unterstützung bei der Umsetzung der IEC-62443-Anforderungen
- Sicherheitstests und Identifikation von Schwachstellen
