Cyber Resilience Act (CRA): Das neue Zeitalter der Produktsicherheit
Resilient by Design: Aufbruch in eine Welt mit sichereren vernetzten Produkten – über den gesamten Lebenszyklus
Der Cyber Resilience Act (CRA) ist eine europäische Verordnung mit dem Ziel die Cybersicherheit von vernetzten Produkten mit digitalen Elementen zu steigern. Sie führt vor allem für Hersteller, Importeure und Händler neue Anforderungen ein. Diese müssen bis Dezember 2027 die Einhaltung der CRA nachweisen bzw. bis September 2026 Strukturen zum Incident-Reporting etablieren, damit Produkte mit digitalen Elementen weiterhin in der EU vertrieben werden können. Deloitte ist Ihr strategischer Partner auf dem Weg zur effizienten Erfüllung der Anforderungen.
Cyber Resilience Act: Das sind die Anforderungen
Der CRA legt mehrere wichtige Anforderungen für vernetzte Produkte fest:
- Security by Design: Security muss bereits in der Entwicklung mitgedacht und umgesetzt werden.
- Vulnerability- und Incident-Management: Vulnerabilities müssen gemanged und Incidents identifiziert und an das CSIRT und die ENISA gemeldet werden.
- Produktsupport: Kontinuierlicher Support und Softwareupdates sind über einen Supportzeitraum, den Hersteller festlegen, zu gewährleisten.
- SBOM: Es muss ein Asset Management etabliert werden, welches maschinenlesbare SBOM-Formate (z. B. CycloneDX) sowie inhaltliche Anforderungen realisiert.
- Dokumentation: Die erfolgreiche Umsetzung der Anforderungen muss gründlich dokumentiert werden.
- Zertifizierung: Produkte mit digitalen Elementen müssen entsprechend der Kritikalität die Einhaltung der CRA-Anforderungen nachweisen. Für viele Produkte kann dies vom Hersteller durchgeführt werden, für andere ist eine externe Zertifizierung erforderlich.
Roadmap und Vorgehen bei Umsetzung der Anforderungen
Die Zeitleiste für die Umsetzung ist dabei anspruchsvoll. Erste Anforderungen, wie die Meldung von ausnutzbaren Vulnerabilities und Incidents, müssen bereits im September 2026 umgesetzt sein. Die vollumfängliche Umsetzung aller Anforderungen ist bis Dezember 2027 nachzuweisen. Entsprechend müssen Unternehmen schon heute die Weichen stellen.
Dabei gilt es folgende Schritte umzusetzen:
- Betroffenheit feststellen: Prüfung des aktuellen sowie zukünftigen Produktportfolios auf Betroffenheit vom Cyber Resilience Act
- Maturity Assessment durchführen: Evaluierung der aktuellen Umsetzung der Vorgaben und Herausarbeiten von möglichen Lücken
- Konzeptions- und Umsetzungsphase: Konzeption, Projektierung und Implementierung der offenen Maßnahmen zur Compliance mit dem CRA
- Auditierung/Zertifizierung: Interne oder externe Auditierung der Produkte gegen die Anforderungen und (Selbst-)zertifizierung der Produkte
- Kontinuierliche Betrachtung: Überwachung der Produkte im Markt hinsichtlich neuer Vulnerabilities und Incidents
Warten wird schnell zu einer besonderen Herausforderung, da viele Produkte, die im Dezember 2027 im Markt vertrieben werden sollen, bereits deutlich früher entwickelt werden und eine nachträgliche Betrachtung der Product Security oftmals einen enormen Kostenaufwand birgt. Auch steigt das Risiko einer zu späten Umsetzung und somit einer fehlenden Compliance zum Stichtag an.
Cyber Resilience Act: Betroffene Produkte
Alle in der EU verkauften Produkte, die „digitale Elemente“ enthalten, einschließlich Hardwareprodukte mit Netzwerkfunktionen und reine Softwareprodukte, unterliegen dem Cyber Resilience Act (CRA). Für Hardwareprodukte ist die Einhaltung des CRA obligatorisch, um CE Zertifizierungen zu erhalten.
Der Cyber Resilience Act unterteilt die Produkte in folgende Klassen:
Eine Besonderheit ist anzumerken: Produkte, die unter andere Vorschriften fallen, sind von dieser Anforderung ausgenommen. Das betrifft beispielsweise Medizintechnik-Produkte, die unter die Medical Device Regulation fallen, oder Typzugelassene Fahrzeuge, die untere die UN ECE Regulierung 155 fallen. Aber auch Defense- sowie bestimmte Marine-Produkte werden durch andere Regulierungen abgedeckt.
Strafzahlungen und Konsequenzen
Neben möglichen Reputationsschäden durch Sicherheitsvorfälle bei vernetzten Produkten – Schlagzeilen zu derartigen Vorfällen gibt es genügend – drohen Unternehmen weitreichende Konsequenzen:
- Eingeschränkter EU-Marktzugang: Ab Dezember 2027 ist die Einhaltung der CRA-Vorgaben für den Marktzugang verpflichtend. Betroffene Produkte, die nicht compliant sind, können nicht mehr in der EU vertrieben werden.
- Strafzahlungen: Unternehmen drohen bei Verstößen gegen die Vorgaben Strafzahlungen von bis zu 15 Millionen Euro oder 2,5 Prozent des jährlichen globalen Umsatzes.
Nächste Schritte
Viele Unternehmen stehen nun vor neuen Herausforderungen: Wer ist für die Umsetzung der Produktsicherheit zuständig? Wie sind die Anforderungen zu interpretieren? Was muss das Unternehmen umsetzen, um diese zu erfüllen?
Als ersten Schritt empfehlen wir, dass sich zentrale Security Stakeholder aus dem R&D-Bereich, der Qualität sowie der CISO-Organisation zusammensetzen und die Verantwortungsverortung klären.
Sobald die Verantwortung geklärt ist, bietet sich bspw. ein Product Security Lab an, um die zentralen Fragestellungen strategisch aufzuarbeiten und eine passgenaue Roadmap zu entwickeln. Hierfür bieten wir ein vertrauensvolles, innovatives Workshop Setting, z. B. im Deloitte Greenhouse in Berlin, wobei die Product Security Roadmap Ihres Unternehmens im Fokus steht.
Deloitte als Ihr strategischer Partner
Deloitte bringt langjährige Erfahrung im Bereich Product Security mit. Als Marktführer im Security Consulting haben wir viele Unternehmen bei der Umsetzung von regulatorischen Vorgaben, wie z. B. der UN ECE Regulierung 155 für Automotive oder der Medical Device Regulation in der Medizintechnik, erfolgreich unterstützt.
Mit dieser Expertise können wir Unternehmen auf ihrer Reise zur Umsetzung der Anforderungen des Cyber Resilience Act begleiten und Benchmarks sowie Best Practice Ansätze einfließen lassen.
Haben Sie weitere Fragen? Dann treten Sie gerne mit uns direkt in Kontakt.
