Der Cyber Resilience Act (CRA) ist eine europäische Verordnung mit dem Ziel die Cybersicherheit von vernetzten Produkten mit digitalen Elementen zu steigern. Sie führt vor allem für Hersteller, Importeure und Händler neue Anforderungen ein. Diese müssen bis Dezember 2027 die Einhaltung der CRA nachweisen bzw. bis September 2026 Strukturen zum Incident-Reporting etablieren, damit Produkte mit digitalen Elementen weiterhin in der EU vertrieben werden können. Deloitte ist Ihr strategischer Partner auf dem Weg zur effizienten Erfüllung der Anforderungen.
Der CRA legt mehrere wichtige Anforderungen für vernetzte Produkte fest:
Die Zeitleiste für die Umsetzung ist dabei anspruchsvoll. Erste Anforderungen, wie die Meldung von ausnutzbaren Vulnerabilities und Incidents, müssen bereits im September 2026 umgesetzt sein. Die vollumfängliche Umsetzung aller Anforderungen ist bis Dezember 2027 nachzuweisen. Entsprechend müssen Unternehmen schon heute die Weichen stellen.
Dabei gilt es folgende Schritte umzusetzen:
Warten wird schnell zu einer besonderen Herausforderung, da viele Produkte, die im Dezember 2027 im Markt vertrieben werden sollen, bereits deutlich früher entwickelt werden und eine nachträgliche Betrachtung der Product Security oftmals einen enormen Kostenaufwand birgt. Auch steigt das Risiko einer zu späten Umsetzung und somit einer fehlenden Compliance zum Stichtag an.
Alle in der EU verkauften Produkte, die „digitale Elemente“ enthalten, einschließlich Hardwareprodukte mit Netzwerkfunktionen und reine Softwareprodukte, unterliegen dem Cyber Resilience Act (CRA). Für Hardwareprodukte ist die Einhaltung des CRA obligatorisch, um CE Zertifizierungen zu erhalten.
Der Cyber Resilience Act unterteilt die Produkte in folgende Klassen:
Eine Besonderheit ist anzumerken: Produkte, die unter andere Vorschriften fallen, sind von dieser Anforderung ausgenommen. Das betrifft beispielsweise Medizintechnik-Produkte, die unter die Medical Device Regulation fallen, oder Typzugelassene Fahrzeuge, die untere die UN ECE Regulierung 155 fallen. Aber auch Defense- sowie bestimmte Marine-Produkte werden durch andere Regulierungen abgedeckt.
Neben möglichen Reputationsschäden durch Sicherheitsvorfälle bei vernetzten Produkten – Schlagzeilen zu derartigen Vorfällen gibt es genügend – drohen Unternehmen weitreichende Konsequenzen:
Viele Unternehmen stehen nun vor neuen Herausforderungen: Wer ist für die Umsetzung der Produktsicherheit zuständig? Wie sind die Anforderungen zu interpretieren? Was muss das Unternehmen umsetzen, um diese zu erfüllen?
Als ersten Schritt empfehlen wir, dass sich zentrale Security Stakeholder aus dem R&D-Bereich, der Qualität sowie der CISO-Organisation zusammensetzen und die Verantwortungsverortung klären.
Sobald die Verantwortung geklärt ist, bietet sich bspw. ein Product Security Lab an, um die zentralen Fragestellungen strategisch aufzuarbeiten und eine passgenaue Roadmap zu entwickeln. Hierfür bieten wir ein vertrauensvolles, innovatives Workshop Setting, z. B. im Deloitte Greenhouse in Berlin, wobei die Product Security Roadmap Ihres Unternehmens im Fokus steht.
Deloitte bringt langjährige Erfahrung im Bereich Product Security mit. Als Marktführer im Security Consulting haben wir viele Unternehmen bei der Umsetzung von regulatorischen Vorgaben, wie z. B. der UN ECE Regulierung 155 für Automotive oder der Medical Device Regulation in der Medizintechnik, erfolgreich unterstützt.
Mit dieser Expertise können wir Unternehmen auf ihrer Reise zur Umsetzung der Anforderungen des Cyber Resilience Act begleiten und Benchmarks sowie Best Practice Ansätze einfließen lassen.
Haben Sie weitere Fragen? Dann treten Sie gerne mit uns direkt in Kontakt.