Cyber Resilience Act (CRA): Das neue Zeitalter der Produktsicherheit
Resilient by Design: Aufbruch in eine Welt mit sicheren vernetzten Produkten über den gesamten Lebenszyklus
Vernetzte Geräte, Software und cloudbasierte Dienste sind heute integraler Bestandteil unseres Alltags und nahezu jedes Geschäftsmodells. Gleichzeitig nehmen Cyberangriffe auf diese Produkte deutlich zu und verursachen erhebliche wirtschaftliche und persönliche Schäden.
Mit dem Cyber Resilience Act (CRA) reagiert die EU auf die kontinuierlich zunehmende Bedrohungslage mit einheitlichen Sicherheitsanforderungen für Produkte mit digitalen Elementen. Hersteller, Importeure und Distributoren werden verpflichtet, während des gesamten Produktlebenszyklus Sicherheitsmaßnahmen umzusetzen und deren vollständige Konformität bis Dezember 2027 nachzuweisen.
Key Takeaways
- Der CRA schafft EU-weit verbindliche Cybersecurity Anforderungen für Produkte mit digitalen Elementen. Der Umfang der Anforderungen und Nachweispflichten hängt von der Rolle des Unternehmens sowie der Produktkategorie und -Klasse ab.
- Ab dem 11. Dezember 2027 dürfen betroffene Produkte in der EU nur noch mit nachgewiesener CRA-Konformität bereitgestellt werden. Erste Meldepflichten zum Reporting aktiv ausgenutzter Schwachstellen greifen ab dem 11. September 2026.
- Der CRA fordert unter anderem Security by Design und by Default, ein wirksames Vulnerability & Incident Management sowie Security Updates über den Supportzeitraum. Eine frühe Umsetzung reduziert Risiken und stärkt Vertrauen.
Relevante Produkte: Wen der CRA betrifft
Nahezu alle in der EU in Verkehr gebrachten Produkte mit digitalen Elementen (vernetzte Hardware, Softwarekomponenten innerhalb vernetzter Hardware sowie reine Softwareprodukte) fallen in den Anwendungsbereich des CRA. Für solche Produkte ist die Einhaltung der CRA‑Vorgaben verpflichtend und Voraussetzung für den EU‑Marktzugang; bei Hardwareprodukten zudem erforderlich, um die CE‑Kennzeichnung zu erhalten, die deren sichere Inverkehrbringung bestätigt.
Ausgenommen sind Produkte, die bereits durch bestimmte sektorspezifische Regulierungen adressiert werden, z. B. Medizintechnik (MDR), bestimmte Fahrzeugtypen (UN ECE R155) sowie Produkte im Bereich der nationalen Sicherheit oder nichtkommerzielle Open Source Software. Dennoch sollten Unternehmen in regulierten Branchen ihr Portfolio sorgfältig analysieren, da alle Produkte, die nicht eindeutig durch andere Regime abgedeckt sind, unter den horizontalen CRA-Anwendungsbereich fallen.
Am Beispiel der Automobilindustrie zeigt sich, dass der CRA unter anderem auch für Automobilhersteller und deren Zulieferer relevant ist. Eine Übersicht über das Zusammenspiel der regulatorischen Anforderungen in der Automobilindustrie finden Sie in unserem Whitepaper.
Einordnung im CRA: Diese Produktkategorien und -klassen gibt es
Der CRA unterteilt Produkte mit digitalen Elementen in drei Kategorien, wovon die zweitere (wichtige Produkte mit digitalen Elementen) ihre Produkte nochmals in zwei Klassen teilt. Dies ermöglicht eine angemessene Zuteilung von Anforderungen gemäß des mit dem jeweiligen Produkt verbundenen Sicherheitsrisikos.
Strategische Relevanz des CRA: Risiken und Chancen
Der CRA ist kein Pflichtcheck, sondern ein Wachstumsmotor: Wer Security by Design als Prinzip konsequent in seine Prozesse und Produkte integriert, verkürzt die Time-to-Market, senkt Lifecycle Kosten und schafft die Basis für neue digitale Services. Nachweisbare Konformität wird zum Vertrauens- und Marktzugangsfaktor und ermöglicht eine messbare Differenzierung im Wettbewerb.
- Ingo Dassow
Sicherheit über den Produktlebenszyklus: Diese Anforderungen müssen erfüllt werden
Der CRA legt mehrere wichtige Anforderungen für vernetzte Produkte fest:
Von der Analyse bis zur Zertifizierung: Der Weg zur CRA-Konformität
Die Umsetzungsfristen des CRA sind eng getaktet: Ab dem 11. September 2026 greifen Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle. Ab dem 11. Dezember 2027 gelten die vollständigen Pflichten (inkl. CE‑Konformität) für Produkte mit digitalen Elementen. Entsprechend müssen Unternehmen schon heute die Weichen stellen.
Viele Produkte, die ab Dezember 2027 in den Markt gehen sollen, befinden sich bereits in Entwicklung. Eine späte Einbindung von Product Security führt erfahrungsgemäß zu höherem Nacharbeits- und Kostenaufwand und erhöht das Risiko, zum Stichtag nicht compliant zu sein. Unternehmen sollten die Umsetzung daher frühzeitig und gezielt angehen und die folgenden Schritte umsetzen:
Deloitte als Partner: Unterstützung auf dem Weg zu einer sicheren und CRA-konformen Produktlandschaft
Deloitte bringt langjährige Erfahrung in Product Security über verschiedene Industrien (u. a. Automotive, Banking, Consumer Products, Medizintechnik sowie Industrial Products & Construction) mit und verbindet regulatorische Anforderungen konsequent mit branchen- und produktspezifischen Gegebenheiten.
Unsere Product Security Expertise fließt bereits in zahlreiche Projekte in unterschiedlichen Branchen ein, welche von unserem starken internationalen Expertennetzwerk profitieren. Zudem engagieren wir uns in der Normungs- und Standardisierungsarbeit (u. a. in einer DIN/DKE-Arbeitsgruppe sowie in der CEN/CLC/JTC 13 WG 9 zum CRA) und fördern den industrieübergreifenden Austausch in unseren „CRA Roundtable“ Veranstaltungen.
Mit diesem Netzwerk und dieser Expertise begleiten wir Unternehmen entlang des gesamten Umsetzungsweges und bringen Benchmarks sowie Best Practice Ansätze zielgerichtet ein.
Ob Sie noch vor der Betroffenheitsprüfung stehen, sich mitten in der Implementierung befinden oder operative Prozesse und Tools gezielt effizienter gestalten möchten – Deloitte unterstützt Sie bedarfsgerecht genau dort, wo es für Sie erforderlich ist. Wenn Sie einzelne Punkte vertiefen oder Ihre Ausgangslage einordnen möchten, stehen wir Ihnen gern für einen fachlichen Austausch zur Verfügung.
