THINK SAFE. THINK ICS.

Cyber Resilience Act erklärt: Bin ich betroffen, was gilt und was ist zu tun?

Der Cyber Resilience Act (CRA) ist eine EU-Verordnung zur Cybersicherheit digitaler Produkte mit Hard- und Softwarefunktionalität. Ziel ist, dass Produkte künftig secure by design entwickelt, dokumentiert und betrieben werden.

Der Cyber Resilience Act verpflichtet Hersteller dazu: 

Cyberrisiken zu analysieren
Schwachstellen zu behandeln
Sicherheitsupdates bereitzustellen
Produkte über ihren gesamten Lebenszyklus abzusichern
ics_gmbh_cra_erklaeren_eu
shadow_video

Was ist der Cyber Resilience Act?

Der Cyber Resilience Act ist eine europäische Verordnung, die Cybersicherheit digitaler Produkte verbessern soll. Hersteller müssen künftig sicherstellen, dass ihre Produkte bereits in der Entwicklung und während ihres gesamten Lebenszyklus gegen Cyberrisiken geschützt sind.  

Dazu gehören unter anderem:

  • sichere Entwicklung digitaler Produkte
  • systematische Bewertung von Cyberrisiken
  • Behandlung und Dokumentation von Schwachstellen
  • Bereitstellung von Sicherheitsupdates

Der CRA verlagert Cybersecurity damit stärker in die Produktentwicklung und Produktverantwortung. 

Fällt mein Produkt unter den Cyber Resilience Act?  

Der Cyber Resilience Act betrifft grundsätzlich Produkte mit digitalen Elementen. Dazu gehören Produkte, die Software enthalten, Daten verarbeiten oder mit Netzwerken verbunden sind.  

Typische Beispiele sind:

  • Geräte mit Software oder Embedded Systems
  • Softwareprodukte und Anwendungen
  • Maschinen oder Geräte mit digitaler Steuerung
  • IoT-Produkte oder vernetzte Systeme
  • Produkte mit Cloud- oder Remote-Anbindung

Neben Herstellern können auch andere Unternehmen in der Lieferkette betroffen sein, etwa:

  • OEMs
  • Zulieferer
  • Distributoren
  • Importeure oder Integratoren

Cyber Resilience Act Beratung 

Für viele Unternehmen ist daher der erste Schritt, die eigene CRA-Betroffenheit zu prüfen.

ZU UNSEREN BERATUNGSLEISTUNGEN

Welche Produkte als „wichtige“ oder „kritische“ Produkte gelten  

Der Cyber Resilience Act unterscheidet zwischen verschiedenen Kategorien von Produkten mit digitalen Elementen. Hintergrund ist, dass bestimmte Produkte ein höheres Risiko für Sicherheit, Wirtschaft oder Gesellschaft darstellen können. Die Verordnung unterscheidet unter anderem zwischen:

 

Welche Anforderungen stellt der Cyber Resilience Act an Hersteller?

Der Cyber Resilience Act verpflichtet Hersteller, Cyberrisiken systematisch zu berücksichtigen und Sicherheitsmaßnahmen über den gesamten Produktlebenszyklus hinweg umzusetzen.

Dazu gehören typischerweise:

  • Durchführung einer Risikoanalyse für digitale Produkte
  • Bewertung und Behandlung von Schwachstellen
  • Bereitstellung von Sicherheitsupdates
  • Erstellung einer technischen Dokumentation
  • Vorbereitung auf die Konformitätsbewertung

Für viele Unternehmen bedeutet das, dass bestehende Entwicklungs- und Sicherheitsprozesse angepasst werden müssen.

ics_gmbh_cra_kritische_produkte

Produkten mit digitalen Elementen

Das sind grundsätzlich alle Produkte, die Software enthalten, Daten verarbeiten oder mit Netzwerken verbunden sind.

Wichtigen Produkten mit digitalen Elemente

Dazu können Produkte gehören, deren Ausfall oder Manipulation erhebliche Auswirkungen auf Unternehmen oder Infrastruktur haben kann.

Kritischen Produkten mit digitalen Elementen

Diese Produkte unterliegen besonders hohen Sicherheitsanforderungen, da sie eine zentrale Rolle für Sicherheit oder kritische Funktionen spielen können. Für Unternehmen ist es daher wichtig zu prüfen, in welche Kategorie ihr Produkt fällt, da davon Anforderungen und Konformitätsverfahren abhängen können.

Warum der Cyber Resilience Act für Unternehmen eine Herausforderung ist    

Der Cyber Resilience Act betrifft nicht nur einzelne Sicherheitsfunktionen eines Produkts. Die Verordnung verlangt eine strukturierte Betrachtung des gesamten Systems, einschließlich Schnittstellen, Abhängigkeiten und möglicher Angriffsflächen.

Unternehmen müssen unter anderem klären:

  • Wo liegen die Systemgrenzen eines Produkts?
  • Welche Cyberrisiken bestehen für das System?
  • Welche Schwachstellen sind erreichbar oder ausnutzbar?
  • Wie werden Sicherheitsmaßnahmen dokumentiert?
  • Wie wird die Konformitätsbewertung vorbereitet?

Gerade bei komplexen oder vernetzten Produkten wird die Umsetzung schnell anspruchsvoll.

Warum der Cyber Resilience Act den gesamten Produktlebenszyklus betrifft     

Der Cyber Resilience Act betrachtet Cybersicherheit nicht als einmalige Aufgabe während der Entwicklung eines Produkts. Stattdessen verlangt die Verordnung, dass Sicherheitsrisiken über den gesamten Lebenszyklus eines Produkts hinweg berücksichtigt werden.

Dazu gehören unter anderem:  

  • sichere Entwicklung digitaler Produkte
  • Bewertung von Cyberrisiken
  • Behandlung von Schwachstellen
  • Bereitstellung von Sicherheitsupdates
  • kontinuierliche Überwachung der Sicherheitslage

Dieser Lebenszyklusansatz soll sicherstellen, dass Produkte auch nach ihrer Markteinführung weiterhin gegen Cyberrisiken geschützt bleiben.

Welche Unternehmen in der Lieferkette vom CRA betroffen sind     

Der Cyber Resilience Act richtet sich nicht nur an Hersteller. Auch andere Unternehmen entlang der Lieferkette können von den Anforderungen betroffen sein.  

Dazu gehören beispielsweise:  

  • Hersteller digitaler Produkte
  • OEMs und Systemintegratoren
  • Zulieferer von Software oder Komponenten
  • Distributoren und Händler
  • Importeure, die Produkte in den europäischen Markt bringen

Unternehmen müssen daher häufig gemeinsam klären, wer welche Verantwortung für Cybersecurity übernimmt und wie Sicherheitsanforderungen in der Lieferkette umgesetzt werden.

Welche Rolle die CE-Konformitätsbewertung spielt     

Der Cyber Resilience Act wird Teil der europäischen CE-Konformitätsbewertung für Produkte mit digitalen Elementen. Hersteller müssen daher nachweisen können, dass ihre Produkte die Sicherheitsanforderungen der Verordnung erfüllen.  

Dazu gehören unter anderem:

  • eine nachvollziehbare Risikoanalyse
  • technische Dokumentation zu Sicherheitsmaßnahmen
  • Prozesse zum Umgang mit Schwachstellen
  • Sicherheitsupdates während des Produktlebenszyklus

Für viele Unternehmen bedeutet das, dass Cybersecurity künftig ein fester Bestandteil der Produktentwicklung und Produktdokumentation wird.

Wie Unternehmen den Cyber Resilience Act umsetzen können       

Die Umsetzung des Cyber Resilience Act ist selten ein einmaliges Projekt, sondern ein schrittweiser Prozess, der sich an Produkt, Organisation und vorhandenen Nachweisen orientiert.

Typische Schritte sind:  

  1. Betroffenheit und Produktklassifizierung prüfen
  2. Risikoanalyse für das Produkt durchführen
  3. Sicherheitsmaßnahmen in Entwicklung und Betrieb integrieren
  4. Schwachstellenmanagement etablieren
  5. technische Dokumentation und Konformitätsbewertung vorbereiten

Eine strukturierte Vorgehensweise hilft Unternehmen dabei, die Anforderungen effizient umzusetzen.

Unterstützung bei der Umsetzung des Cyber Resilience Act  

Viele Unternehmen stehen vor der Frage, wie sie die Anforderungen des Cyber Resilience Act konkret umsetzen können. Eine strukturierte Analyse der eigenen Produkte und Risiken ist oft der erste Schritt. 

MEHR ÜBER UNSERE CRA BERATUNG ERFAHREN

FAQ

Gilt der CRA auch für uns, obwohl wir kein klassisches IT-Unternehmen sind?

Ja, sehr wahrscheinlich. Der CRA betrifft nicht nur Softwareunternehmen – sondern alle Hersteller, Importeure und Händler von „Produkten mit digitalen Elementen“. Dazu zählen z. B. Maschinen mit eingebetteter Software, IoT-Geräte, vernetzte Steuerungseinheiten oder digitale Medizingeräte. Entscheidend ist, ob Ihr Produkt vernetzbar ist oder Software enthält, die mit Daten umgeht.

Was genau ist ein „Produkt mit digitalen Elementen“ laut CRA?

Ein Produkt mit Hardware- oder Software-Komponente, das direkt oder indirekt mit anderen Geräten oder Netzwerken verbunden ist.
Der CRA unterscheidet zwischen:

  • Software (z. B. Anwendungen, Betriebssysteme, Apps, Middleware)

  • Hardware mit digitaler Funktion (z. B. Sensoren, Steuergeräte, vernetzte Maschinen)
    Sogar Open-Source-Komponenten können betroffen sein, wenn sie kommerziell bereitgestellt werden.

Müssen wir auch bestehende Produkte nach CRA anpassen – oder gilt das nur für neue Entwicklungen?

Grundsätzlich gilt der CRA nur für Produkte, die nach Inkrafttreten neu auf den Markt gebracht werden.
ABER: Wenn ein bestehendes Produkt wesentlich geändert oder weiterentwickelt wird (z. B. durch größere Softwareupdates), kann der CRA rückwirkend greifen. Zudem gelten Pflichten zur Updatebereitstellung auch für bereits ausgelieferte Produkte während ihrer geplanten Lebensdauer.

Wie unterscheidet sich der CRA von NIS2 oder dem IT-Sicherheitsgesetz 2.0?

CRA = Produktsicherheit. NIS2 = Betriebssicherheit.

  • CRA betrifft Hersteller, Importeure und Händler von digitalen Produkten.

  • NIS2 betrifft Betreiber „kritischer Einrichtungen“ (z. B. Energie, Gesundheit, Transport), also die IT/OT im Betrieb.
    Ziel ist bei beiden Gesetzen Cyberresilienz, aber auf unterschiedlichen Ebenen und mit unterschiedlichen Pflichten.

Mehr zu NIS2 und unseren Leistungen

Welche konkreten Pflichten kommen auf Entwickler und Produktmanager zu?

Folgende CRA-Pflichten betreffen direkt Produktteams:

  • Durchführung einer Risikoanalyse vor Markteinführung

  • Integration von Security by Design & Default

  • Einrichtung eines Vulnerability Managements

  • Erstellung und Pflege der technischen Dokumentation

  • Vorbereitung auf eine mögliche Konformitätsbewertung (z. B. CE)

Was bedeutet „Security by Design“ konkret – und wie können wir das umsetzen?

Security by Design heißt: Sicherheit ist von Anfang an Teil des Produktentwicklungsprozesses – nicht erst am Ende.
Praktisch bedeutet das:

  • Bedrohungsmodellierung (z. B. Angriffsbaum)

  • risikobasierte Architekturentscheidungen

  • Dokumentation von Schutzmaßnahmen

  • kontinuierliches Testen und Schwachstellenmanagement
    Tools wie SECIRA unterstützen diesen Prozess systematisch.

Welche Dokumente und Nachweise verlangt der CRA konkret?

Mindestens erforderlich sind:

  • eine Risikobewertung des Produkts

  • eine Bedrohungsanalyse

  • eine technische Dokumentation der Schutzmaßnahmen

  • eine Beschreibung des Vulnerability-Management-Prozesses

  • ggf. Testergebnisse, Prüfnachweise oder externe Audits. SECIRA dokumentiert diese Nachweise automatisiert und nachvollziehbar.

CRA oder IEC 62443 – was gilt wann für welches Produkt?

Gilt für Ihr Produkt der CRA, IEC 62443 oder beides? Finden Sie es mit unserem Fragenkatalog und konkreten Beispielen schnell und verständlich heraus.

 

ZUM ARTIKEL

Normative Anforderungen an Risikomanagement – IEC 62443 und ISO 27005

Inwiefern unterschieden sich die verschiedenen Normen und Standards, und was müssen Unternehmen tun, um ihnen zu entsprechen?

 

ZUM ARTIKEL

Die Bedeutung einer benutzerfreundlichen Sicherheitsplattform | SECIRA

Erfahren Sie, warum Benutzerfreundlichkeit zur Sicherheitsfrage wird – und wie SECIRA Risiken, Compliance & IT/OT-Security auf einer Plattform...

 

ZUM ARTIKEL

Neue Beiträge

Jetzt Beratungstermin buchen!

Im Erstgespräch klären wir, ob CRA, IEC 62443 oder beides für Sie gilt und ob eine GAP-Analyse oder unser Basic-Umsetzungspaket der richtige Einstieg ist. Wir zeigen Ihnen live, wie SECIRA Ihre Umsetzung beschleunigt.