Cyber Resilience Act: Handlungsleitfaden und Wichtige Termine

Cyber Resilience Act BSI veröffentlicht Leitfaden zum CRA

19.11.2024 Quelle: Pressemitteilung 3 min Lesedauer

Anbieter zum Thema

BSI Bundesamt f. Sicherheit in der Informationstechnik

Wann, wo, wie, warum? Zum Cyber Resilience Act sind noch viele Fragen offen. Das BSI hat eine Timeline, eine Checkliste sowie technische Richtlinien zum CRA veröffentlicht und gibt weitere Antworten auf drängende Fragen.

Das BSI geht noch einmal genauer darauf ein, was Unternehmen, KMU und Startups bei der Umsetzung des Cyber Resilience Act beachten müssen.(Bild: ipuwadol - stock.adobe.com) — Das BSI geht noch einmal genauer darauf ein, was Unternehmen, KMU und Startups bei der Umsetzung des Cyber Resilience Act beachten müssen.
(Bild: ipuwadol - stock.adobe.com)

Mit dem Cyber Resilience Act (CRA) ist die erste europäiosche Verordnung verabschiedet worden, die ein Mindestmaß an Cybersicherheit für vernetzte Produkte vorgibt. Betroffen sind alle Produkte, die auf dem EU-Markt erhältlich sind. Das Ziel der EU ist es, die Cybersicherheit innerhalb der eigenen Grenzen zu erhöhen. Bis November 2027 müssen die Vorgaben bei allen Produkten umgesetzt sein. Um mehr Klarheit darüber zu schaffen, welche Produkte unter den CRA fallen und wie kleine und mittelständische Unternehmen (KMU) sowie Startups bei der Umsetzung unterstüzt werden, hat das BSI einen Leitfaden erstellt.

Der Cyber Resilience Act betrifft alle vernetzten Geräte, die in der EU verkauft werden. Wer sich nicht an die Anforderungen hält, muss mit Sanktionen rechnen. (Bild: Dall-E / KI-generiert)

Timeline des Cyber Resilience Act

Oktober 2024: Verabschiedung des CRA

Am 21. November 2024 wurde der Gesetzestext im Europäischen Amtsblatt veröffentlicht.

Zwanzig Tage müssen nach der Veröffentlichung im Amtsblatt der EU verstreichen. Damit tritt der CRA am 11. Dezember 2024 in Kraft.

Mai 2026: Bewertungsstellen werden autorisiert, die Konformität von Produkten mit den Anforderungen des CRA zu bewerten.

August 2026: Meldepflicht für Schwachstellen und Sicherheitsvorfälle ist aktiv. Für den effektiven Informationsaustausch zu Schwachstellen sowie schwerwiegenden Sicherheitsvorfällen wird dafür eine neue zentrale Meldeplattform etabliert.

November 2027: Alle CRA-Anforderungen müssen bei neuen Produkten eingehalten sein.

Fällt mein Produkt unter den CRA?

Um die Frage zu klären, ob ein Produkt die Vorgaben des CRA erfüllen muss, hat das BSI eine Checkliste erstellt. Beantworten Sie alle Fragen mit "Ja", müssen Sie den CRA für Ihr Produkt umsetzen.

Ihr Produkt

1. verwendet digitale Elemente oder ist ein Softwareprodukt?

2. wird ab Ende 2027 neu auf den EU-Markt gebracht?

3. ist nicht explizit bei den fünf Ausnahmesektoren genannt (Medizinprodukte, Fahrzeuge, In-vitro-Diagnostika, zivile Luftfahrt sowie Produkte im Kontext der nationalen Sicherheit)?

4. ist keine kostenfreie Open-Source-Software ohne Gewinnerzielungsabsicht?

Generell müssen alle Produkte, die in der EU verkauft werden und „digitale Elemente“ enthalten, den Anforderungen des CRA entsprechen. Das umfasst neben Verbraucherprodukten auch B2B-Software sowie komplexe High-End-Industriesysteme. „Produkte mit digitalen Elementen“ werden im CRA als solche definiert, die mit einem Gerät oder einem Netzwerk verbunden werden können, und umfassen sowohl Hardwareprodukte mit vernetzten Funktionen (Smartphones, Laptops, Smarthomeprodukte, Smartwatches, vernetztes Spielzeug, aber auch Mikroprozessoren, Firewalls und intelligente Zähler) sowie reine Softwareprodukte (Buchhaltungssoftware, Computerspiele, mobile Apps). Nicht-kommerzielle Open-Source-Softwareprodukte sind vom CRA ausgenommen und müssen daher die Anforderungen des CRA nicht erfüllen.

Sind die Vorgaben für alle Produkte gleich?

Unabhängig von ihrem Preis und ihrer Zielgruppe muss der CRA für alle oben genannten Produkte angewendet werden. Auch die Pflichten des Meldens von Schwachstellen sowie die eindeutige Angabe des Support-Endes sind für alle Produkte einheitlich. Allerdings wird im CRA beim Verfahren zur Bewertung, ob Produkte den CRA-Vorgaben entsprechen, unterschieden. Schließlich gibt es Standard-Produkte, die unter den CRA fallen, wie mobile Endgeräte und Smart-Home-Geräte. Besonderen Schutz benötigen Produkte, die als „wichtig“ oder „kritisch“ eingestuft werden. Dazu gehören Passwortmanager, Firewalls, Smartcards sowie medizinische Geräte. Solche Produkte müssen strengeren Konformitätsbewertungen unterzogen werden, die auf europäischer Ebene anerkannt sind, um die Anforderungen des CRA zu erfüllen.

Wie werden kleine Unternehmen unterstützt?

Da kleine Unternehmen und Startups oft nicht ausreichend finanzielle Mittel haben, um solch umfangreiche Vorgaben zeitnah erfüllen zu können, ist dem BSI zufolge ist eine Unterstützung für KMU und Startups direkt im CRA vorgesehen. Unter anderem wird es Leitlinien für die Umsetzung geben, was den Compliance-Aufwand reduzieren soll, und es werden Helpdesks für die Unterstützung bei den Meldepfichten zur Verfügung stehen. Auch die technische Dokumentation soll sich für KMU und Startups vereinfachen und es werden Regulatory Sandboxes für die Überprüfung von Produkten mit digitalen Elementen eingerichtet.

Wie unterstützt das BSI?

Um die Anforderungen des CRA greifbarer zu machen, stellt das BSI eine technische Richtlinie bereit, in der die Anforderungen an Hersteller und Produkte hinsichtlich der Cyberresilienz beschrieben werden. Im ersten Teil der Richtlinie „General Requirements“ werden Anforderungen an Hersteller und Produkte in Anlehnung an die Anforderungen aus Artikeln und Anhängen des CRA zusammengestellt. Im zweiten Teil „Software Bill of Materials (SBOM)“ erhalten Unternehmen formelle und fachliche Vorgaben für SBOMs. Der dritte Teil „Vulnerability Reports and Notifcations“ beschreibt den Umgang mit eingehenden Schwachstellenmeldungen. Die Technische Richtlinie TR-03183 des BSI finden Sie hier.

Das Fraunhofer-Institut für Entwurfstechnik Mechatronik gibt drei Maßnahmen an die Hand, die Unternehmen als Vorbereitung auf den Cyber Resilience Act jetzt schon umsetzen sollten. (Bild: Dall-E / KI-generiert)

(ID:50227250)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Stand: 08.12.2025

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.