Cyber Resilience Act

Ab dem 11. Dezember 2027 dürfen in der Europäischen Union nur noch Produkte in den Verkehr gebracht werden, die den Anforderungen des Cyber Resilience Acts (CRA) entsprechen. Der CRA enthält Vorgaben an die Cybersicherheit von Produkten mit digitalen Elementen.

Welche neuen Anforderungen bringt der Cyber Resilience Act mit sich? Welche Produkte fallen unter den CRA? Was ist für Unternehmen zu tun? Wir haben die wichtigsten Fakten für Sie zusammengefasst.

Was ist der Cyber Resilience Act?

Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, welche Anforderungen an Produkte mit digitalen Elementen hinsichtlich Industrial Security definiert. Für betroffene Produkte muss eine grundlegende Betrachtung und Anpassung vorgenommen werden. Dies ist zwingend erforderlich, da ab Dezember 2027 nur noch CRA-konforme Produkte in den Verkehr gebracht werden dürfen!

Wann tritt der Cyber Resilience Act in Kraft?

Der CRA wurde am 20. November 2024 im Amtsblatt der EU veröffentlicht. Er trat am 10. Dezember 2024 in Kraft und ist ab dem 11. Dezember 2027 in der EU verbindlich anzuwenden. Die Meldepflichten von ausgenutzten Schwachstellen für Hersteller gelten allerdings gemäß CRA bereits ab dem 11. September 2026.

Was genau wird im CRA gefordert?

Das Ziel des CRA ist es, Verbraucher und Unternehmen besser vor Cyberangriffen zu schützen. Der CRA umfasst dafür eine Vielzahl an Vorgaben für Hersteller, Importeure und Händler von Produkten mit digitalen Elementen, die in der Lage sind, mit anderen Produkten zu kommunizieren. Dies schließt Hard- und Softwareprodukte mit ein. Dies erstreckt sich über den gesamten Produkt-Lebenszyklus, also über die Konzeption, Entwicklung, Herstellung, Lieferung und Wartung des Produkts sowie die gesamte Betriebsdauer beim Kunden.

Ist der Cyber Resilience Act eine Verordnung oder Richtlinie?

Der Cyber Resilience Act ist eine EU-Verordnung und gilt damit in sämtlichen Mitgliedsländern der Europäischen Union, ohne in ein nationales Gesetz überführt zu werden.

Welche Produkte fallen unter den CRA?

Der CRA betrifft Komponenten, speziell Produkte mit digitalen Elementen, für welche eine Konformitätsprüfung erforderlich sein wird.

Der Cyber Resilience Act (CRA) gilt für sämtliche Produkte, die digitale Komponenten enthalten – etwa Software oder Hochrisiko-KI-Systeme – und mit Netzwerken oder anderen Geräten verbunden sind. Dadurch ist der Geltungsbereich des CRA sehr umfassend und schließt unter anderem folgende Produktgruppen ein:

• Industrielle Hard- und Software wie IoT-Geräte, speicherprogrammierbare Steuerungen (PLCs) und Sensoren
• Softwarelösungen wie Desktop-, Web- und mobile Anwendungen sowie Betriebssysteme
• Intelligente Geräte für den privaten Gebrauch, sowohl Hard- als auch Software

Diese Produkte werden je nach Risikopotenzial in unterschiedliche Kategorien eingestuft. Besonders Systeme, die in kritischen Infrastrukturen, der Industrieproduktion oder im Energie- und Industriesektor eingesetzt werden, fallen in höhere Risikoklassen. Für diese Produkte ändern sich die Anforderungen an das Konformitätsbewertungsverfahren, da sie erhebliche Auswirkungen auf die öffentliche Sicherheit und die wirtschaftliche Stabilität haben können.

Was ist zu tun? Was sind die Anforderungen an Unternehmen?

Ein Hersteller von Produkten mit digitalen Elementen muss die Security Anforderungen aus dem CRA einhalten. Als Aufgaben leiten sich daraus die Erstellung einer Risikoanalyse ab und die Definition sowie Umsetzung von Maßnahmen zur Reduzierung etwaiger Risiken. Ebenso ist die Erstellung und Pflege einer Dokumentation über die Risikobewertung (und auch der durchgeführten Maßnahmen zur Reduzierung von Security-Risiken), die mindestens 10 Jahre vorgehalten werden muss, Pflicht. Die fortlaufende Überwachung auf mögliche Security-Schwachstellen, die kostenlose Bereitstellung von Security-Updates über die typische Nutzungsdauer eines Produktes (mind. 5 Jahre) sowie die Meldung von erkannten Security-Schwachstellen innerhalb von 24 Stunden an die ENISA und ggf. nationale Stellen sind ebenfalls verpflichtend.

Selbst Produkte, die bereits CRA-konform sind und nicht verändert werden, müssen dennoch nach nachvollziehbaren Regeln geprüft und bewertet werden. Für das Ergebnis der Prüfung wird eine Dokumentation erstellt, die zehn Jahre lang vorgehalten werden muss. Außerdem muss ein Software Bill of Materials erstellt werden und es muss nachgewiesen werden, dass sicher gemäß Industrial Security entwickelt und getestet wurde.

Was bedeutet die EU-Konformitätserklärung im Zusammenhang mit dem CRA?

Die EU-Konformitätserklärung wird weiterhin vom Hersteller ausgestellt und besagt, dass die Erfüllung der grundlegenden Cybersicherheitsanforderungen nachgewiesen worden ist. Für Hersteller bedeutet das: Die Erfüllung der Anforderungen bezüglich Risikobewertung, Schwachstellenmanagement und Dokumentation wird durch eine Konformitätsbewertung überprüft. Sind alle Anforderungen erfüllt wird eine Konformitätserklärung ausgestellt. 

Gibt es weiterhin eine EU-Konformitätserklärung für alle Unionsrechtvorschriften?

Unterliegt ein Produkt mit digitalen Elementen mehreren Rechtsvorschriften der Europäischen Union, in denen jeweils eine EU-Konformitätserklärung vorgeschrieben ist, so wird eine einzige EU-Konformitätserklärung für sämtliche Unionsrechtsvorschriften ausgestellt. In dieser Erklärung sind die betreffenden Rechtsakte der Union samt ihren Fundstellen im Amtsblatt anzugeben.

Wie lang muss die EU-Konformitätserklärung verfügbar sein?

Der Hersteller stellt für jedes Produktmodell eine schriftliche Konformitätserklärung aus und hält sie zehn Jahre lang nach dem Inverkehrbringen des Produkts mit digitalen Elementen oder während des Unterstützungszeitraums, je nachdem, welcher Zeitraum länger ist, für die nationalen Behörden bereit. Aus der Konformitätserklärung muss hervorgehen, für welches Produktmodell sie ausgestellt wurde. Ein Exemplar der Konformitätserklärung wird den einschlägigen Behörden auf Verlangen zur Verfügung gestellt.

Was ist der Unterschied zwischen Cyber Resilience Act und NIS 2 ?

• Der CRA enthält grundlegende Cybersicherheitsanforderungen an die Konzeption, Entwicklung und Herstellung von Produkten mit digitalen Elementen sowie Pflichten der Wirtschaftsakteure in Bezug auf diese Produkte hinsichtlich der Cybersicherheit.
• Die NIS-2-Richtlinie wendet sich an Unternehmen und verlangt von diesen organisatorische und technische Maßnahmen zur Reduzierung von Industrial Security Risiken im Unternehmen.
• Stärkung der Cybersicherheit in der EU: Die beiden Regelwerke – der CRA und die NIS-2-Richtlinie – ergänzen sich, indem sie unterschiedliche Ebenen der Cybersicherheit adressieren: Der CRA konzentriert sich auf die Produktsicherheit, während NIS 2 auf die Sicherheit von Infrastrukturen und essenziellen Diensten abzielt. Gemeinsam leisten sie einen wichtigen Beitrag zur ganzheitlichen Verbesserung der Cybersicherheit innerhalb der Europäischen Union.

Pilz hat bereits seit einigen Jahren seinen Entwicklungsprozess entsprechend der Norm IEC 62443-4-1 aufgestellt. Diese Norm definiert als „Grundnorm für Industrial Security“ eine sichere Entwicklung von Produkten, den „Security Development Lifecycle Prozess“. TÜV Süd hat die Konformität unserer Entwicklungsprozesse in einem Audit bestätigt. Pilz entwickelt nicht nur safe, sondern auch secure!

Das ist wichtig für unsere Kunden, denn mit der Verordnung (EU) 2024/2847 – Cyber Resilience Act (CRA) muss neben der neuen Maschinenverordnung (Verordnung (EU) 2023/1230) eine weitere Verordnung mit Blick auf Security im Jahre 2027 verpflichtend angewendet werden.

Das bedeutet konkret: Bestehende Produkte werden bei Bedarf nachgerüstet, neue Produkte unter Beachtung der CRA-Konformität entwickelt und die Konformität (CE-Kennzeichnung) entsprechend den gültigen Vorgaben angepasst. Produkte, die nicht mehr den Vorgaben entsprechen, werden entweder abgekündigt oder als Ersatzteile weiterhin zur Verfügung stehen. Sie dürfen in letzterem Fall jedoch nicht mehr in Neuanlagen eingesetzt werden.