{"id":3539,"date":"2025-08-05T10:31:02","date_gmt":"2025-08-05T08:31:02","guid":{"rendered":"https:\/\/www.art-events.de\/weblog\/?p=3539"},"modified":"2025-08-05T18:55:21","modified_gmt":"2025-08-05T16:55:21","slug":"cyber-resilience-act-cra-2027","status":"publish","type":"post","link":"https:\/\/www.art-events.de\/weblog\/cyber-resilience-act-cra-2027\/","title":{"rendered":"Cyber Resilience Act (CRA) 2027"},"content":{"rendered":"

Was wir bisher wissen:<\/em><\/p>\n

Was ist CRA?<\/strong><\/h3>\n

Der Cyber Reslience Act<\/strong> ist eine EU Richtlinie, die in Teilen bereits 2024 gilt. Ab 2026 kommen Meldepflichten ins Spiel und ab dem 10. Dezember 2027 soll sie vollst\u00e4ndig umgesetzt sein. Das hei\u00dft, es d\u00fcrfen nur noch CRA konforme Produkte mit CE Kennzeichnung in den Umlauf gebracht = auf dem EU Markt vertrieben werden. Grundidee ist, die Sicherheit von digitalen Produkten zu erh\u00f6hen und digitale Produkte unempfindlicher gegen Cyber Gefahren zu gestalten.<\/p>\n

Warum CRA?<\/strong><\/h3>\n

CRA soll Produkte sicher machen was Cybersicherheit \/ Cyber Security angeht. In einem stetig unsicheren Weltbild, Stichwort: Kriege, Auseinandersetzungen, Hackerangriffe …, stellt eine IT Infrastruktur eine M\u00f6glichkeit da, ein Land, Industrien und B\u00fcrger nachhaltig zu schaden, wenn man die IT angreift. Sei es tagelanger Ausfall eines Netzwerkes (wie z.B. der S-Bahn Hannover im Juli 2025) oder m\u00f6gliche Angriffe auf IT von Krankenh\u00e4user, Kraftwerden oder auch „nur“ die IT eines Mittelst\u00e4ndlers, der vielleicht wochenlang keine Produkte produzieren oder ausliefern kann. In jedem Fall haben Cyberangriffe das Potenzial nachhaltigen Schaden anzurichten.<\/p>\n

Mit CRA sollen Produkte in Netzwerken sicher werden. L\u00fccken von au\u00dfen und innen sollen erkannt und geschlossen werden. Als erste Instanz sind daher Produzenten und Inverkehrbringer zur Einhaltung von CRA betroffen.<\/p>\n

Welche Produkte sind von CRA betroffen?<\/strong><\/h3>\n

CRA gilt f\u00fcr alle Produkte mit digitalen Elementen (PDE), die im Rechtsgebiet der EU in Verkehr gebracht oder verkauft werden. Konkret bedeutet das Hard- und Softwareprodukte die direkt oder indirekt mit Ger\u00e4ten und Netzwerken verbunden sind. Beispiel: Router und Drucker sind von CRA betroffen, Fernbedienungen und Toaster nicht. Ebenfalls nicht betroffen sind Produkte, die bereits von IT Sicherheitsregeln betroffen sind, z.B. Medizinprodukte, KFZ Technik und Produkte der Luft- u. Seefahrt, Milit\u00e4rtechnik.<\/p>\n

Was beinhaltet CRA?<\/strong><\/h3>\n

Hersteller und Inverkehrbringer m\u00fcssen ab 2027:<\/p>\n

Sicherheitsanforderungen und CE Kennzeichen<\/strong><\/h4>\n

Produkte m\u00fcssen die \u201eessentiellen Cybersicherheitsanforderungen\u201c<\/strong> einhalten, hierzu z\u00e4hlen z.B. Standardeinstellungen, keine bekannten Schwachstellen beim Inverkehrbringen, geringstm\u00f6gliche Angriffsfl\u00e4che, Schutz der Vertraulichkeit \/ Integrit\u00e4t \/ Verf\u00fcgbarkeit von Daten). Ger\u00e4te m\u00fcssen mittels CE Kennzeichen markiert sein.<\/p>\n

Risikobewertung und Lifecycle Prozess<\/strong><\/h4>\n

F\u00fcr die zu erwartende Lebensdauer (min. 5 Jahre) m\u00fcssen Risiken in einer Risikobewertung erfasst und dokumentiert werden. Hersteller m\u00fcssen Produktsicherheits-Teas (PSIRT Product Security Incident Response Teams) etablieren, die Produkte und auch verwendete Vorprodukte permanent auf Sicherheitsl\u00fccken pr\u00fcfen und dokumentieren.<\/p>\n

Schwachstellen Management und Sicherheitsupdates<\/strong><\/h4>\n

Entdeckte Sicherheitsl\u00fccken m\u00fcssen innerhalb der Lebensdauer des Produktes zeitnah behoben und kostenfrei f\u00fcr den Kunden bereit gestellt werden. In der Regel gelten Fristen von min. 5 Jahre nach Markteinf\u00fchrung. Prozesse f\u00fcr die koordinierte Offenlegung (CVD) und Updates m\u00fcssen geschaffen und dokumentiert werden.<\/p>\n

Meldepflichten<\/strong><\/h4>\n

Sollten Schwachstellen oder Sicherheitsvorf\u00e4lle bekannt werden, ist der Hersteller \/ Inverkehrbringer verpflichtet innerhalb von 24 Stunden eine Erstmeldung an eine Meldestelle abzusetzen. Nationale Meldestellen werden noch benannt. Detaillierte Informationen k\u00f6nnen innerhalb von 72 Stunden nachgereicht werden, u.U. kann ein Follow-Up nach 24 Tagen erfolgen. Die Meldepflicht tritt bereits am 11. September 2026 in Kraft.<\/p>\n

Markt\u00fcberwachung Sanktionen<\/strong><\/h3>\n

Es werden nationale Markt\u00fcberwachungsbeh\u00f6rden benannt, die Produkte pr\u00fcfen, Produktr\u00fcckrufe, Verkaufsverbote und gffs. auch Bu\u00dfgelder (bis zu 15 Mio oder 2.5% des weltweiten Jahresumsatzes) verh\u00e4ngen k\u00f6nnen.<\/p>\n

Bestandsprodukte vor 2027<\/strong><\/h3>\n

Etwas unklar ist das Verhalten bei Bestandsprodukten, die bereits vor 2027 auf dem Markt eingef\u00fchrt sind. Es gibt Interpretationen, die besagen, der Verkauf\u00a0 dieser Bestandsprodukte w\u00e4re einzustellen, wenn sie nicht CRA erf\u00fcllen. Andere Interpretationen lassen den Schluss zu, dass Produkte, die bereits vor 2027 auf dem Markt waren und danach nicht wesentlich ver\u00e4ndert wurden, nicht vom CRA betroffen sind. Erst wenn sie erheblich ge\u00e4ndert werden w\u00fcrden sie CRA unterliegen. Hier wird man sicherlich noch sehen m\u00fcssen. welche Auffassung in der Praxis Bestand hat.<\/p>\n

Abgrenzung CRA vs. IEC 62443<\/strong><\/h3>\n

Spricht man \u00fcber Cyber Sicherheit in der Industrie kommt schnell die Frage: und was ist mit der IEC 62443? Hier der Versuch einer Einstufung:<\/p>\n

IEC 62443 ist eine internationale Normenreihe f\u00fcr industrielle Automatisierung und Anlagen zum Schutz vor Cyberangriffen. Die Implementierung ist freiwillig, wird aber stark anerkannt. Die Zertifizierung ist f\u00fcr Hersteller von Automatisierungsanlagen und -Komponenten empfohlen, kann aber im Einzelfall vom Auftraggeber gefordert werden. Sie wendet sich prim\u00e4r an den Entwickler eines Produktes und soll sicherstellen, dass das Produkt aktuelle Sicherheitsma\u00dfnahmen einh\u00e4lt.<\/p>\n

CRA ist eine EU Verordnung f\u00fcr digitalen Produkte f\u00fcr Cybersicherheit und gilt branchen\u00fcbergreifend. Die Einhaltung (Konformit\u00e4t) ist verpflichtend f\u00fcr Hersteller und sie gilt allgemein f\u00fcr alle digitalen Produkte. Die Einhaltung und Kennzeichnung (CE Kennzeichen) ist Pflicht, um Produkte in der EU verkaufen zu d\u00fcrfen. Sie umfasst dabei nicht nur das Produkt, sondern auch den Einsatz und weitere Herstelleraufgaben wie Verbesserungen \/ Updates und Schwachstellenbehebung innerhalb der Lebensdauer eines Produktes.<\/p>\n

 <\/p>\n

Quellen:<\/strong><\/h3>\n

https:\/\/www.european-cyber-resilience-act.com\/<\/a><\/p>\n

https:\/\/www.bsi.bund.de\/EN\/Themen\/Unternehmen-und-Organisationen\/Informationen-und-Empfehlungen\/Cyber_Resilience_Act\/cyber_resilience_act_node.html<\/a><\/p>\n

https:\/\/www.phoenixcontact.com\/de-de\/industrien\/industrial-security\/cyber-resilience-act-cra<\/a><\/p>\n

 <\/p>\n

\n

\"\"<\/a><\/p>\n

Ansprechpartner: (c) AE SYSTEME Testcenter, Hans-J. Walter.<\/p>\n

Hans-J. Walter ist Senior Chief Programmer f\u00fcr Anwendungen in Windows DOT.NET \/ C# und Java \/ Android Apps und Autor journalistischer Fachbeitr\u00e4ge \u00fcber interessante Technik, Trends und Innovationen. Kontakt: hjw@terminal-systems.de<\/p>\n

F\u00fcr diese und alle nachfolgenden Seiten gilt der obligatorische Hinweis: Alle Angaben ohne Gew\u00e4hr. Bilder und Codes zeigen Beispiele. Beschreibungen beziehen sich auf aktuell bei uns vorliegenden Zustand und stellen keine Bewertung der verwendeten Techniken da. Fehler und \u00c4nderungen vorbehalten!<\/p>\n

\n

Anzeige:\u00a0Lagerverwaltung \u2013 auch f\u00fcr kleine Lager und Logistikaufgaben!\u00a0<\/a><\/p>\n

<\/a><\/p>\n

 <\/p>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

Was wir bisher wissen: Was ist CRA? Der Cyber Reslience Act ist eine EU Richtlinie, die in Teilen bereits 2024 gilt. Ab 2026 kommen Meldepflichten ins Spiel und ab dem 10. Dezember 2027 soll sie vollst\u00e4ndig umgesetzt sein. Das hei\u00dft, es d\u00fcrfen nur noch CRA konforme Produkte mit CE Kennzeichnung in den Umlauf gebracht = […]<\/p>\n","protected":false},"author":6,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1,4],"tags":[],"class_list":["post-3539","post","type-post","status-publish","format-standard","hentry","category-allgemein","category-anwendungen","entry"],"_links":{"self":[{"href":"https:\/\/www.art-events.de\/weblog\/wp-json\/wp\/v2\/posts\/3539","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.art-events.de\/weblog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.art-events.de\/weblog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.art-events.de\/weblog\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/www.art-events.de\/weblog\/wp-json\/wp\/v2\/comments?post=3539"}],"version-history":[{"count":11,"href":"https:\/\/www.art-events.de\/weblog\/wp-json\/wp\/v2\/posts\/3539\/revisions"}],"predecessor-version":[{"id":3550,"href":"https:\/\/www.art-events.de\/weblog\/wp-json\/wp\/v2\/posts\/3539\/revisions\/3550"}],"wp:attachment":[{"href":"https:\/\/www.art-events.de\/weblog\/wp-json\/wp\/v2\/media?parent=3539"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.art-events.de\/weblog\/wp-json\/wp\/v2\/categories?post=3539"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.art-events.de\/weblog\/wp-json\/wp\/v2\/tags?post=3539"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}