Der Cyber Resilience Act (CRA) ist eine Verordnung der Europäischen Union, die die Cybersicherheit von Produkten mit digitalen Elementen stärkt. Damit sind Software- oder Hardwareprodukte gemeint, deren bestimmungsgemäßer Zweck oder vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt. Beispiele dafür sind Software, Router bzw. Modems, IoT-Geräte, Bezahlterminals, Laptops, Smartcards etc. 

• Schwachstellen von Produkten zu minimieren, die innerhalb der EU in Verkehr gebracht werden. 
• Den Hersteller, Importeur bzw. Händler für die Einhaltung grundlegender Cybersicherheitsanforderungen über den Produktlebenszyklus verantwortlich zu halten. 
• Die digitale Sicherheit von Endkund:innen zu erhöhen.
•  Die Transparenz durch ein einheitliches Sicherheitsniveau zu stärken. 

Der CRA betrifft alle Unternehmen, die Produkte mit digitalen Elementen herstellen, in die EU importieren oder innerhalb der EU vertreiben. Dies schließt sowohl kleine und mittelständische Unternehmen als auch große Unternehmen aus verschiedenen Branchen ein. Von der Verordnung ausgenommen sind bspw. Medizinprodukte, Fahrzeuge und –teile, Flugsysteme, Schiffsausrüstung und ähnliche Produkte, da für sie bereits Regelungen bestehen, die mit dem CRA gleichwertig sind. 

• Unternehmen müssen sicherstellen, dass ihre Produkte ohne ausnutzbare Schwachstellen und mit einer sicheren Standardkonfiguration auf den Markt kommen. 
• Sicherheitsupdates müssen einfach und gegebenenfalls automatisch installiert werden können. 
• Schutzmechanismen gegen unbefugten Zugriff, wie Authentifizierungs- und Identitätssysteme, sind zu implementieren. 
• Vertraulichkeit und Integrität von Daten sind durch Verschlüsselung und andere technische Mittel sicherzustellen. 
• Unternehmen müssen Datenminimierung praktizieren und die Verfügbarkeit wesentlicher Funktionen auch nach Sicherheitsvorfällen sicherstellen.  
• Produkte sollten so entwickelt werden, dass sie geringe Angriffsflächen bieten und die Auswirkungen von Sicherheitsvorfällen eindämmen. 
• Datenzugriffe, Dienste, Funktionen, Änderungen etc. müssen aufgezeichnet oder überwacht werden.
• Eine sichere Datenlöschung und -übertragung muss gewährleistet sein. 

Zudem bestehen weitere Anforderungen an die Behandlung von Schwachstellen. Beispiel dafür sind die Führung einer Software-Bill-of-Materials (SBOM) oder Strategien für eine koordinierte Veröffentlichung von Schwachstellen. 

Weiters sind betroffene Unternehmen verpflichtet, Sicherheitsvorfälle und Schwachstellen an die ENISA (European Union Agency for Cybersecurity) und das zuständige CSIRT (Computer Security Incident Response Team) zu melden. 

Wichtige Produkte werden taxativ in die Klassen I, II oder kritisch eingeordnet. Die Hersteller, Importeure und Händler müssen definierte Anforderungen, bspw. bei der Konformitätsbewertung erfüllen, um das CE-Kennzeichen am Produkt anbringen zu dürfen. 

• Beispiele Klasse I: Passwortmanager, Betriebssysteme, VPNs, Router 
• Beispiele Klasse II: Firewalls, Virtualisierungssysteme oder manipulationssichere Mikroprozessoren 
• Beispiel kritische Produkte: Hardwaregeräte mit Sicherheitsboxen

Unwichtige Produkte: Alle Produkte, die nicht zuvor taxativ in Klasse I, II oder kritisch gefallen sind, gelten als „unwichtige Produkte“. Unternehmen können dann mit einfacheren Methoden die Konformitätsbewertung durchführen. Ein Großteil der betroffenen Produkte wird in diese Kategorie fallen. 

Die EU-Verordnung ist am 11.12. 2024 in Kraft getreten und wird mit einer Übergangsfrist von 3 Jahren am 11.12.2027 vollumfänglich gelten. Jedoch müssen Hersteller eine Meldepflicht bzgl. Schwachstellen in den Produkten bereits ab 11.09.2026 erfüllen. 

Bei Nichtkonformität erhalten die Produkte kein CE-Kennzeichen und dürfen am EU-Markt nicht mehr in Verkehr gebracht werden. Bei Abweichungen zu den Anforderungen kann die Marktüberwachungsbehörde die Hersteller, Importeure oder Händler auffordern, die Bereitstellung vorhandener Produkte zu untersagen oder sie zurückzurufen. 

Weiters können Verwaltungsstrafen bei Verstößen gegen die grundlegenden Cybersicherheitsanforderungen bis zu max. EUR 15 Mio. oder 2,5 % des jährlichen, weltweiten Jahresumsatzes verhängt werden.

Bei Nichtentsprechung anderer, im CRA enthaltenen Vorschriften können Strafen bis zu EUR 10 Mio. oder 2 % des jährlichen, weltweiten Jahresumsatzes verhängt werden. Bei der Bereitstellung falscher, unvollständiger oder fehlleitender Informationen an Aufsichtsbehörden und Marktüberwachung können Verwaltungsstrafen bis zu EUR 5 Mio. oder 1 % des jährlichen, weltweiten Jahresumsatzes anfallen. 

Es gilt jeweils der höhere Betrag. 

Die Unternehmensgröße spielt bei der Anwendung des CRA keine Rolle und ist somit für kleine und mittelständische Unternehmen ebenso relevant wie für große Konzerne. Wenn der Cyber Resilience Act Ihr Unternehmen betrifft, sollten Sie rechtzeitig Vorbereitungsmaßnahmen treffen. Damit die Anforderungen des CRA effektiv und ganzheitlich umgesetzt werden, kann es hilfreich sein, sich externe Unterstützung durch Expert:innen zu holen.