Was wir bisher wissen:
Was ist CRA?
Der Cyber Reslience Act ist eine EU Richtlinie, die in Teilen bereits 2024 gilt. Ab 2026 kommen Meldepflichten ins Spiel und ab dem 10. Dezember 2027 soll sie vollständig umgesetzt sein. Das heißt, es dürfen nur noch CRA konforme Produkte mit CE Kennzeichnung in den Umlauf gebracht = auf dem EU Markt vertrieben werden. Grundidee ist, die Sicherheit von digitalen Produkten zu erhöhen und digitale Produkte unempfindlicher gegen Cyber Gefahren zu gestalten.
Warum CRA?
CRA soll Produkte sicher machen was Cybersicherheit / Cyber Security angeht. In einem stetig unsicheren Weltbild, Stichwort: Kriege, Auseinandersetzungen, Hackerangriffe …, stellt eine IT Infrastruktur eine Möglichkeit da, ein Land, Industrien und Bürger nachhaltig zu schaden, wenn man die IT angreift. Sei es tagelanger Ausfall eines Netzwerkes (wie z.B. der S-Bahn Hannover im Juli 2025) oder mögliche Angriffe auf IT von Krankenhäuser, Kraftwerden oder auch „nur“ die IT eines Mittelständlers, der vielleicht wochenlang keine Produkte produzieren oder ausliefern kann. In jedem Fall haben Cyberangriffe das Potenzial nachhaltigen Schaden anzurichten.
Mit CRA sollen Produkte in Netzwerken sicher werden. Lücken von außen und innen sollen erkannt und geschlossen werden. Als erste Instanz sind daher Produzenten und Inverkehrbringer zur Einhaltung von CRA betroffen.
Welche Produkte sind von CRA betroffen?
CRA gilt für alle Produkte mit digitalen Elementen (PDE), die im Rechtsgebiet der EU in Verkehr gebracht oder verkauft werden. Konkret bedeutet das Hard- und Softwareprodukte die direkt oder indirekt mit Geräten und Netzwerken verbunden sind. Beispiel: Router und Drucker sind von CRA betroffen, Fernbedienungen und Toaster nicht. Ebenfalls nicht betroffen sind Produkte, die bereits von IT Sicherheitsregeln betroffen sind, z.B. Medizinprodukte, KFZ Technik und Produkte der Luft- u. Seefahrt, Militärtechnik.
Was beinhaltet CRA?
Hersteller und Inverkehrbringer müssen ab 2027:
Sicherheitsanforderungen und CE Kennzeichen
Produkte müssen die „essentiellen Cybersicherheitsanforderungen“ einhalten, hierzu zählen z.B. Standardeinstellungen, keine bekannten Schwachstellen beim Inverkehrbringen, geringstmögliche Angriffsfläche, Schutz der Vertraulichkeit / Integrität / Verfügbarkeit von Daten). Geräte müssen mittels CE Kennzeichen markiert sein.
Risikobewertung und Lifecycle Prozess
Für die zu erwartende Lebensdauer (min. 5 Jahre) müssen Risiken in einer Risikobewertung erfasst und dokumentiert werden. Hersteller müssen Produktsicherheits-Teas (PSIRT Product Security Incident Response Teams) etablieren, die Produkte und auch verwendete Vorprodukte permanent auf Sicherheitslücken prüfen und dokumentieren.
Schwachstellen Management und Sicherheitsupdates
Entdeckte Sicherheitslücken müssen innerhalb der Lebensdauer des Produktes zeitnah behoben und kostenfrei für den Kunden bereit gestellt werden. In der Regel gelten Fristen von min. 5 Jahre nach Markteinführung. Prozesse für die koordinierte Offenlegung (CVD) und Updates müssen geschaffen und dokumentiert werden.
Meldepflichten
Sollten Schwachstellen oder Sicherheitsvorfälle bekannt werden, ist der Hersteller / Inverkehrbringer verpflichtet innerhalb von 24 Stunden eine Erstmeldung an eine Meldestelle abzusetzen. Nationale Meldestellen werden noch benannt. Detaillierte Informationen können innerhalb von 72 Stunden nachgereicht werden, u.U. kann ein Follow-Up nach 24 Tagen erfolgen. Die Meldepflicht tritt bereits am 11. September 2026 in Kraft.
Marktüberwachung Sanktionen
Es werden nationale Marktüberwachungsbehörden benannt, die Produkte prüfen, Produktrückrufe, Verkaufsverbote und gffs. auch Bußgelder (bis zu 15 Mio oder 2.5% des weltweiten Jahresumsatzes) verhängen können.
Bestandsprodukte vor 2027
Etwas unklar ist das Verhalten bei Bestandsprodukten, die bereits vor 2027 auf dem Markt eingeführt sind. Es gibt Interpretationen, die besagen, der Verkauf dieser Bestandsprodukte wäre einzustellen, wenn sie nicht CRA erfüllen. Andere Interpretationen lassen den Schluss zu, dass Produkte, die bereits vor 2027 auf dem Markt waren und danach nicht wesentlich verändert wurden, nicht vom CRA betroffen sind. Erst wenn sie erheblich geändert werden würden sie CRA unterliegen. Hier wird man sicherlich noch sehen müssen. welche Auffassung in der Praxis Bestand hat.
Abgrenzung CRA vs. IEC 62443
Spricht man über Cyber Sicherheit in der Industrie kommt schnell die Frage: und was ist mit der IEC 62443? Hier der Versuch einer Einstufung:
IEC 62443 ist eine internationale Normenreihe für industrielle Automatisierung und Anlagen zum Schutz vor Cyberangriffen. Die Implementierung ist freiwillig, wird aber stark anerkannt. Die Zertifizierung ist für Hersteller von Automatisierungsanlagen und -Komponenten empfohlen, kann aber im Einzelfall vom Auftraggeber gefordert werden. Sie wendet sich primär an den Entwickler eines Produktes und soll sicherstellen, dass das Produkt aktuelle Sicherheitsmaßnahmen einhält.
CRA ist eine EU Verordnung für digitalen Produkte für Cybersicherheit und gilt branchenübergreifend. Die Einhaltung (Konformität) ist verpflichtend für Hersteller und sie gilt allgemein für alle digitalen Produkte. Die Einhaltung und Kennzeichnung (CE Kennzeichen) ist Pflicht, um Produkte in der EU verkaufen zu dürfen. Sie umfasst dabei nicht nur das Produkt, sondern auch den Einsatz und weitere Herstelleraufgaben wie Verbesserungen / Updates und Schwachstellenbehebung innerhalb der Lebensdauer eines Produktes.
Quellen:
https://www.european-cyber-resilience-act.com/
https://www.phoenixcontact.com/de-de/industrien/industrial-security/cyber-resilience-act-cra
Ansprechpartner: (c) AE SYSTEME Testcenter, Hans-J. Walter.
Hans-J. Walter ist Senior Chief Programmer für Anwendungen in Windows DOT.NET / C# und Java / Android Apps und Autor journalistischer Fachbeiträge über interessante Technik, Trends und Innovationen. Kontakt: hjw@terminal-systems.de
Für diese und alle nachfolgenden Seiten gilt der obligatorische Hinweis: Alle Angaben ohne Gewähr. Bilder und Codes zeigen Beispiele. Beschreibungen beziehen sich auf aktuell bei uns vorliegenden Zustand und stellen keine Bewertung der verwendeten Techniken da. Fehler und Änderungen vorbehalten!
Anzeige: Lagerverwaltung – auch für kleine Lager und Logistikaufgaben!
