Mehr und mehr Produkte sind mit anderen Geräten, dem Internet oder der Cloud verbunden. Das geht mit neuen Sicherheitsrisiken einher, weshalb die EU mit dem Cyber Resilience Act (CRA) verbindliche Mindeststandards für Cybersecurity definiert. Doch was bedeutet das für die Hersteller: Welche Aufgaben kommen auf sie zu, welche Fristen müssen sie beachten, welche Chancen bieten sich?
Welche Produkte und Unternehmen sind betroffen?
Der Cyber Resilience Act gilt für Produkte mit digitalen Elementen, die eine Verbindung zu anderen Geräten oder einem Netzwerk herstellen und in der EU verkauft werden sollen. Dies umfasst sowohl Hardware- als auch Software-Produkte. Ausnahmen gibt es lediglich für Medizinprodukte, Fahrzeuge, Produkte in der Luftfahrt und solche, die für Verteidigungszwecke oder die nationale Sicherheit entwickelt wurden. Für sie existieren bereits andere, deutlich strengere Sicherheitsvorgaben.
Umsetzen müssen die Sicherheitsanforderungen aus dem CRA vor allem die Hersteller. Darüber hinaus stehen Importeure und Händler in der Pflicht, keine Produkte in die EU einzuführen und hier zu verkaufen, die den Vorgaben nicht entsprechen. Vermarkten Händler ein Produkt unter eigenem Namen oder eigener Marke oder nehmen wesentliche Veränderungen an Produkten vor, gelten sie als Hersteller mit allen daraus resultierenden Pflichten.
Wie viel Zeit bleibt für die Umsetzung?
Bereits zum 11. September 2026 müssen Hersteller den strengen Meldepflichten des CRA nachkommen. Ab dem 11. Dezember 2027 sind dann auch die Cybersecurity-Anforderungen zu erfüllen. Beide Termine lassen den Herstellern von vernetzten Produkten nicht allzu viel Zeit, da die Ausarbeitung und Umsetzung einer robusten Cybersecurity-Strategie – von der sicheren Produktentwicklung bis hin zur Produktpflege mit regelmäßigen Sicherheitsupdates – mit vielen technischen und organisatorischen Veränderungen verbunden ist.
Wie sehen die neuen Meldepflichten aus?
Hersteller müssen aktiv ausgenutzte Schwachstellen in ihren Produkten und schwerwiegende Sicherheitsvorfälle, die sich auf die Produktsicherheit auswirken, binnen 24 Stunden bei den zuständigen Behörden melden. Innerhalb von 72 Stunden müssen sie detaillierte Informationen liefern, unter anderem über die Art der Schwachstellen, wie sie ausgenutzt werden und welche Korrektur- oder Abhilfemaßnahmen die Nutzer des Produkts ergreifen können. Bei Schwachstellen ist spätestens 14 Tage, nachdem ein Patch oder ein anderer Fix bereitsteht, ein Abschlussbericht vorgeschrieben – bei Sicherheitsvorfällen spätestens einen Monat nach der initialen Meldung.
Neben den Behörden sollen Hersteller auch die Nutzer darüber informieren, welche Möglichkeiten sie haben, die Auswirkungen einer Schwachstelle oder eines Sicherheitsvorfalls zu minimieren – etwa das Installieren eines Sicherheitsupdates oder das Anpassen von Einstellungen in der Konfiguration des Produkts. Informieren Hersteller die Nutzer nicht, können die Behörden das übernehmen, so sie es für verhältnismäßig und erforderlich halten.
Wie sehen die neuen Cybersecurity-Anforderungen aus?
Im Anhang I nennt der der CRA umfangreiche Anforderungen, die Produkte erfüllen müssen, die ab dem 11. Dezember 2027 in der EU verkauft werden. Sie dürfen beispielsweise keine bekannten Schwachstellen haben und sollen, insbesondere was externe Schnittstellen anbelangt, eine möglichst geringe Angriffsfläche bieten. Sie müssen mit sicherer Standardkonfiguration ausgeliefert werden und fähig sein, Sicherheitsaktualisierungen zu erhalten, um Schwachstellen zu schließen. Und sie benötigen Kontrollmechanismen, die unbefugte Zugriffe sowie den Missbrauch und die Manipulation von Daten verhindern.
All das fällt unter Security by Design und Security by Default und bedeutet nichts anderes, als dass Hersteller bereits bei der Produktentwicklung auf Cybersecurity achten und ihre Produkte auch nach der Markteinführung pflegen müssen. Damit einher geht ein Risikomanagement, das Risiken über die gesamte Lebensdauer eines Produkts hinweg identifiziert, bewertet und minimiert. Als Richtwert für die Lebensdauer nennt der CRA einen Zeitraum von zehn Jahren – wobei Hersteller die Erwartungen der Nutzer berücksichtigen und ein Produkt gegebenenfalls auch länger unterstützen und mit Updates versorgen sollen.
Erfährt ein Hersteller von Schwachstellen in seinem Produkt, muss er sich unverzüglich darum kümmern. Geschieht das mit einem Patch oder Sicherheitsupdate, so müssen diese kostenlos zur Verfügung gestellt werden.
Hersteller müssen eine Kontaktadresse angeben, über die Nutzer und Dritte ihnen Schwachstellen melden und Informationen zu bekannten Schwachstellen abfragen können. Allerdings reicht es nicht, dass Hersteller allein auf Hinweise zu Schwachstellen warten. Sie sind verpflichtet, ihre Produkte regelmäßig zu testen, um Schwachstellen selbst aufzuspüren. Zudem dürfen sie nicht nur selbst entwickelte Software im Blick haben, sondern müssen auch Frameworks, Bibliotheken und Tools von externen Anbietern, die sie eingebunden haben, überwachen. Dafür sollen sie eine Software-Stückliste (Software Bill of Materials, SBOM) pflegen.
Welche Strafen drohen bei Verstößen?
Verstoßen Hersteller gegen den CRA, etwa indem sie grundlegende Sicherheitsanforderungen missachten oder Meldefristen verpassen, drohen empfindliche Geldbußen von bis zu 15 Millionen Euro oder bis zu 2,5 Prozent des weltweiten Jahresumsatzes. In schwerwiegenden Fällen kann auch ein Verkaufsverbot verhängt werden.
Wer prüft Produkte auf CRA-Konformität?
Produkte, die wie Smartphones, Notebooks, einfache IoT-Geräte oder digitale Spiele keine großen Sicherheitsrisiken bergen, dürfen Hersteller selbst überprüfen. Die Tests müssen sie ebenso wie technische Details ihrer Produkte, Informationen zu Sicherheitsrisiken und Sicherheitsmaßnahmen sowie Verfahren zum Umgang mit Schwachstellen, sorgfältig dokumentieren.
Bei wichtigen Produkten, die sicherheitsrelevante Aufgaben übernehmen, andere Geräte beeinträchtigen oder Menschen gefährden können, ist ein strenges Konformitätsbewertungsverfahren vorgeschrieben. Handelt es sich um Produkte der Klasse I, etwa Betriebssysteme, Passwort-Manager, Router, mit dem Internet verbundenes Spielzeug und Wearables oder Smart-Home-Geräte wie Kameras und Alarmanlagen, kann die Prüfung durch den Hersteller oder eine notifizierte Prüfstelle vorgenommen werden. Bei Produkten der Klasse II, etwa Hypervisoren und Container Runtimes, Firewalls und anderen Sicherheitssystemen sowie manipulationssicheren Controllern und Prozessoren, ist ein externe Prüfung vorgeschrieben.
Darüber hinaus kennt der CRA auch kritische Produkte wie Chipkarten und Smart-Meter-Gateways, die nach einem europäischen Zertifizierungssystem zertifiziert werden müssen.
Wo liegen die Herausforderungen bei der CRA-Umsetzung?
Sowohl der knappe Zeitrahmen als auch die technischen und organisatorischen Veränderungen, die mit dem CRA einhergehen, können für Hersteller eine Herausforderung sein. Schließlich müssen Risiken identifiziert, Sicherheitsstrategien entwickelt, Prozesse angepasst und neue Lösungen eingeführt werden – das alles braucht Zeit, Know-how, Personal und Budgets.
Zudem ist der CRA nicht die einzige Cybersecurity-Regulierung, die Hersteller umsetzen müssen. In Abhängigkeit von der Branche und der Art der Produkte können unter anderem auch NIS 2 und die EU-Maschinenverordnung relevant sein. Daher ist es sinnvoll, dass Thema Cybersecurity koordiniert anzugehen und die Anforderungen der verschiedenen Regularien effizient in wenigen Projekten voranzutreiben. Auf diese Weise lassen sich doppelte Arbeiten, Verzögerungen und unnötig hohen Kosten vermeiden.
Davon abgesehen ist die CRA-Umsetzung eine gute Gelegenheit, eine interne Cybersecurity-Kultur zu entwickeln und die Resilienz gegen Cyber-Gefahren zu erhöhen. Beides trägt dazu bei, das Kundenvertrauen zu stärken und sich langfristige Wettbewerbsvorteile zu sichern.
Um festzustellen, ob sie aktiv werden müssen, und abschätzen zu können, wie groß der konkrete Handlungsbedarf ist, sollten Unternehmen die folgenden Leitfragen beantworten:
Wie groß ist der Handlungsbedarf?
- Welche Maßnahmen haben wird bereits implementiert, um die Vorgaben des CRA sicherzustellen?
- Wie stellen wir sicher, dass alle unsere Produkte den Mindestanforderungen an die Cybersicherheit entsprechen?
- Haben wir eine vollständige Übersicht über alle Schwachstellen und Sicherheitsvorfälle in unseren Produkten und wie gehen wir damit um?
- Wie gewährleisten wir die Sicherheit unsere Produkte während ihres gesamten Lebenszyklus?
- Haben wir sich bereits mit den spezifischen Anforderungen des CRA vertraut gemacht und deren Auswirkungen auf unsere bestehenden Sicherheitsstrategien bewertet?
- Wie gehen wir derzeit mit der Meldung von Schwachstellen und Sicherheitsvorfällen um?
Wie kann NTT DATA helfen?
NTT DATA unterstützt Hersteller von vernetzten Produkten bei allen Aspekten der CRA-Umsetzung. Das fängt bei Gap-Analysen an, mit denen Compliance-Lücken in Hinblick auf den CRA ermittelt werden. Darauf aufbauend lassen sich dann konkrete Maßnahmen erarbeiten und umsetzen, die Risiken proaktiv minimieren und alle Anforderungen der Verordnung abdecken.
NTT DATA übernimmt die Einführung und Integration wirkungsvoller Sicherheitslösungen in bestehende Umgebungen und Systeme, hilft bei der Anpassung und Optimierung von Sicherheitsprozessen und stärkt mit Schulungen das Sicherheitsbewusstsein in Entwicklungs- und anderen Abteilungen. Und schließlich kann NTT DATA auch den zuverlässigen Betrieb von Sicherheitslösungen übernehmen und mit SOC-Services (Security Operations Center) bei der frühzeitigen Identifizierung und Abwehr von Bedrohungen helfen.
Mit seiner tiefgehenden Branchenkenntnis und umfangreifer Erfahrung in Cybersecurity- und Compliance-Projekten kann NTT DATA individuell beraten und maßgeschneiderte Lösungen liefern. Hersteller erhalten alles aus einer Hand, sodass keine zusätzlichen Dienstleister beauftragt und koordiniert werden müssen.
Bei Fragen zum Cyber Resilience Act, der konkreten Umsetzung in Ihrem Unternehmen oder den Services von NTT DATA kontaktieren Sie uns gerne.