Die zunehmende Digitalisierung und Vernetzung von Produkten erfordert verstärkte Sicherheitsmaßnahmen, um Cyberangriffen vorzubeugen. Der Cyber Resilience Act (CRA) der Europäischen Union setzt hier an und etabliert verbindliche Cybersicherheitsstandards für Produkte mit digitalen Elementen. Ziel ist es, das Risiko von Cybervorfällen zu minimieren und das Vertrauen in digitale Technologien zu stärken.
Mit dem Cyber Resilience Act (CRA) schafft die Europäische Union ein umfassendes und verbindliches Regelwerk zur Stärkung der Cybersicherheit von Produkten mit digitalen Elementen. Ziel der Verordnung ist es, einheitliche Cybersicherheitsstandards für den europäischen Binnenmarkt zu etablieren und dadurch das Risiko von Cyberangriffen signifikant zu reduzieren. Gleichzeitig soll das Vertrauen von Verbrauchern und Unternehmen in digitale Technologien gestärkt werden.
Der CRA verpflichtet Hersteller, Importeure und Händler dazu, während des gesamten Produktlebenszyklus – von der Konzeption und Entwicklung über die Herstellung und das Inverkehrbringen bis hin zur kontinuierlichen Wartung und Aktualisierung – Cybersicherheitsanforderungen zu erfüllen. Dadurch soll gewährleistet werden, dass Produkte nicht nur sicher sind, wenn sie auf den Markt gebracht werden, sondern über ihre gesamte Lebensdauer hinweg aktuellen Sicherheitsanforderungen entsprechen.
Die Verordnung erfasst grundsätzlich alle Produkte mit digitalen Elementen, die im Gebiet der Europäischen Union hergestellt, importiert oder vertrieben werden. Produkte mit digitalen Elementen sind sowohl Software- als auch Hardwareprodukte und deren Datenfernverarbeitungslösungen, sowie Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden. Dazu zählen insbesondere Produkte, die zur Verarbeitung, Speicherung oder Übertragung von Daten fähig sind – beispielsweise Smart-Home-Geräte, vernetzte Haushaltsgeräte, mobile Endgeräte sowie andere internetfähige Produkte. Auch Softwareprodukte wie Firmware, Betriebssysteme und Anwendungen fallen in den Anwendungsbereich.
Ausgenommen vom Anwendungsbereich sind hingegen Produkte, die unter bereits bestehende, sektorspezifische EU-Vorschriften mit gleichwertigen Cybersicherheitsanforderungen fallen – etwa Medizinprodukte gemäß der Medizinprodukteverordnung oder bestimmte Ersatzteile, die exakt nach den Spezifikationen der zu ersetzenden Teile gefertigt werden müssen und daher keine zusätzlichen Cybersicherheitsrisiken mit sich bringen.
Der CRA ist bereits am 10. Dezember 2024 in Kraft getreten. Die Umsetzung der Verordnung erfolgt in mehreren Stufen. Bereits ab dem 11. Juni 2026 sollen Konformitätsbewertungsstellen die Erfüllung der Anforderungen des CRA an Produkte mit digitalen Elementen bewerten. Ab dem 11. September 2026 bestehen Meldepflichten für Sachstellen und Sicherheitsvorfälle. Ab dem 11. Dezember 2027 endet die Übergangsfrist vollständig, sodass die neuen Cybersicherheitsanforderungen an Produkte mit digitalen Elementen ab diesem Zeitpunkt verbindlich gelten. Dies gilt für ab dem 11. Dezember 2027 neu auf den Markt gebrachte Produkte sowie für bereits zuvor in Verkehr gebrachte Produkte, an denen wesentliche Änderungen vorgenommen wurden.
Der CRA verpflichtet nicht nur Hersteller, sondern sämtliche Akteure entlang der Wertschöpfungskette eines Produkts – darunter Importeure, Händler und Bevollmächtigte – zur Einhaltung der Cybersicherheitsanforderungen. Auch Unternehmen, die digitale Produkte verwalten, bereitstellen oder wesentlich verändern, werden von den Pflichten der Verordnung erfasst. Das gilt ausdrücklich auch für Entwickler oder Betreiber quelloffener Software, sofern diese ihre Produkte unter marktüblichen Bedingungen anbieten (Art. 3 Nr. 12 CRA).
Eine zentrale Neuerung liegt in der rechtlichen Erweiterung der sogenannten Herstellereigenschaft. Nach Art. 22 CRA gilt jede natürliche oder juristische Person als Hersteller, die ein Produkt mit digitalen Elementen wesentlich verändert und erneut in Verkehr bringt – und zwar unabhängig davon, ob sie zuvor als Händler oder Importeur gehandelt hat. Die Verordnung folgt damit der Systematik des europäischen Produktsicherheitsrechts, wonach das Inverkehrbringen eines Produkts maßgebliches Kriterium ist.
Für rein softwarebasierte Produkte wird der Begriff des Inverkehrbringens nicht an eine physische Übergabe gekoppelt. Maßgeblich ist in diesen Fällen der Moment, in dem die Software zum Download bereitgestellt, der Zugangscode übermittelt oder die Freischaltung für Nutzer technisch ermöglicht wird.
In erster Linie richten sich die Cybersicherheitsvorgaben des CRA an Hersteller. Die zentrale Botschaft lautet: Wer digitale Produkte auf den Markt bringt, muss dafür sorgen, dass sie sicher sind – und zwar nicht nur, wenn er sie selbst hergestellt bzw. programmiert hat. Das gilt auch für Software-Komponenten, die von Dritten stammen. Nach Art. 13 Abs. 5 CRA müssen Hersteller mit „gebotener Sorgfalt“ sicherstellen, dass diese Teile die Sicherheit des Produkts nicht gefährden. Open-Source-Software (OSS) fällt ebenfalls in den Anwendungsbereich des CRA. Dies gilt auch, wenn OSS kostenlos im Netz verfügbar ist und nicht von Unternehmen, sondern von Einzelpersonen angeboten wird.
Hersteller von Produkten müssen zahlreiche Vorgaben erfüllen, um die Sicherheit ihrer Produkte während des gesamten Lebenszyklus zu gewährleisten.
Die Cybersicherheit eines Produkts muss während des gesamten sog. „Life Cycle“ eines Produkts, d.h. von der Entwicklung bis zum Ende der Nutzungsdauer gewährleistet werden. Dies bedeutet für Software insbesondere die Schaffung einer sicheren Architektur, die Verwendung sicherer Standardkonfigurationen sowie die regelmäßige Bereitstellung von Sicherheitsaktualisierungen. Falls noch nicht implementiert, sind entsprechende Prozesse zur kontinuierlichen Sicherstellung der Produktintegrität einzurichten.
Hersteller werden verpflichtet, Schwachstellen und schwerwiegende Sicherheitsvorfälle aller Produkte zu melden. Die Meldung muss an das zuständige Computer Security Incident Response Team (CSIRT) sowie an die Europäische Agentur für Cybersicherheit (ENISA) erfolgen. Dabei sind festgelegte Fristen einzuhalten: Ereignisse (sog. Incidents) müssen innerhalb von 24 Stunden nach Bekanntwerden gemeldet werden, anschließend werden weitere relevante Informationen bereitgestellt.
Bevor ein Produkt auf den Markt kommt, muss geprüft werden, ob es den Anforderungen des Cyber Resilience Act entspricht. Diese sog. Konformitätsbewertung ist verpflichtend und hängt davon ab, wie das Produkt im Rahmen des CRA eingestuft wird. Je nachdem, wie sicherheitskritisch es ist, gelten unterschiedlich strenge Vorgaben. Wird das Produkt erfolgreich bewertet, erhält es das CE-Kennzeichen – ein offizieller Nachweis dafür, dass es die nötigen Standards erfüllt.
Schwachstellen im Produkt müssen in einem Zeitraum von mindestens fünf Jahren nach Entdeckung behoben werden. Diese Behebung erfolgt in Form von Sicherheitsupdates und muss in der Regel kostenfrei sein. Dieser Zeitraum entspricht mindestens der voraussichtlichen Nutzungsdauer des Produkts.
Der Hersteller ist verpflichtet, die Einhaltung der Sicherheitsanforderungen für das Produkt zu dokumentieren. Diese Dokumentation muss während des gesamten Lebenszyklus des Produkts gepflegt und auf dem neuesten Stand gehalten werden. Sie muss den Mindestanforderungen des CRA entsprechen und jederzeit nachvollziehbar sein.
Ähnlich wie der Hersteller darf der Importeur sein Produkt erst einführen, wenn die Anforderungen des CRA nach Art. 19 Abs. 1 CRA erfüllt sind. Der Importeur muss sicherstellen und nachweisen können, dass die Pflichten des Herstellers bereits erfüllt worden sind. Zudem ist er verpflichtet, seine Kontaktdaten auf dem Produkt (wenn dies nicht möglich ist, auf der Verpackung oder der beigefügten Dokumentation) anzugeben. Bei Sicherheitsmängeln müssen sowohl der Hersteller als auch die zuständigen Behörden informiert werden. Auch der Nutzer ist bei Bekanntwerden von Sicherheitsmängeln zu informieren.
Der Händler hat auf den ersten Blick weniger Pflichten als der Hersteller und Importeur. Er muss lediglich überprüfen, ob CE-Nummer, Konformitätserklärung, Enddatum des Unterstützungszeitraums und die Kontaktdaten des Herstellers und Importeurs vorliegen. Stellt der Händler fest, dass das Produkt CRA-konform ist, darf er dieses auf den Markt bringen. Ist dies nicht der Fall, muss auch der Händler Maßnahmen ergreifen, um vorhandene Sicherheitslücken zu bekämpfen. Er ist beispielsweise verpflichtet, das Produkt vom Markt zu nehmen und die zuständigen Behörden zu informieren.
Wer als Hersteller, Importeur oder Händler gegen die neuen Cybersicherheitsvorgaben nach dem CRA verstößt, muss grundsätzlich mit Konsequenzen rechnen. Nach Art. 64 Abs. 3 können Geldbußen von bis zu EUR 10 Mio. oder von bis zu 2 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres eines Unternehmens verhängt werden, je nachdem, welcher Betrag höher ist. Bei Verstößen gegen die Herstellerpflichten drohen Sanktionen bis zu EUR 15 Mio. oder 2,5 % des gesamten weltweiten Jahresumsatzes. Dazu können weitere einschränkende Maßnahmen kommen. Ausnahmen gibt es nach Art. 64 Abs. 10 für Kleinst- und Kleinunternehmen und Verwalter quelloffener Software. Das im Einzelfall verhängte Bußgeld wird sich zwar immer an dem konkreten Verstoß, dessen Ausmaß und auch an dem Grad des Verschuldens des betroffenen Akteurs orientieren, d.h. es muss verhältnismäßig sein. Dennoch sollten Unternehmen diese Möglichkeit von Sanktionen nicht auf die leichte Schulter nehmen. Wie im Datenschutzrecht gilt auch im Rahmen des CRA: Eine gute Dokumentation der getroffenen Cybersicherheitsmaßnahmen hilft im Falle eines Verstoßes dabei nachzuweisen, dass ein Unternehmen seinen Pflichten nachgekommen ist.
Unternehmen, die Produkte mit digitalen Elementen herstellen, importieren oder vertreiben, sollten diese bereits jetzt auf mögliche Cyberrisiken überprüfen und gegebenenfalls geeignete Sicherheitsmaßnahmen ergreifen. Zudem sollten sie sich auf ihre Dokumentations- und Nachweispflichten vorbereiten. Gezielte Schulungen und Sensibilisierungen der Mitarbeiter sind ebenso unerlässlich. Verträge mit Zulieferern sollten darauf geprüft werden, ob auch die Zulieferer von Komponenten entsprechende IT-Sicherheitsanforderungen erfüllen. Zudem empfiehlt es sich, einen Incident-Response-Plan zu entwickeln, der unter anderem die Einhaltung der Meldepflichten sicherstellt und Verantwortlichkeiten im Unternehmen klar definiert.
Last but not least sollten die neuen Anforderungen des CRA an Produkte mit digitalen Elementen bereits beim Produktdesign in der Entwicklung berücksichtigt werden, damit Hersteller im Dezember 2027 nicht von den neuen Cybersicherheitsanforderungen an ihre Produkte überrascht werden. Hier gilt es, rechtliche und technische Expertise zu kombinieren, um Lösungen zu finden, die nicht nur die Vorgaben des CRA erfüllen, sondern auch praktikabel und wirtschaftlich sind.
