Der Cyber Resilience Act

Der CRA erhebt Cybersicherheit von einer nachträglichen Überlegung zu einem grundlegenden Gestaltungsprinzip. Statt sich ausschließlich auf reaktive Maßnahmen (wie das Schließen einer Schwachstelle nach deren Ausnutzung) zu konzentrieren, fordert das Gesetz eine proaktive, sichere Produktentwicklung („Secure by Design“). Unternehmen müssen Cybersicherheit somit schon in der Planungsphase ihrer Produkte verankern, anstatt sie später wie ein zusätzliches Zubehör hinzuzufügen.

Für viele Organisationen könnte dies ungewohnt sein, da sie es gewohnt sind, zuerst Software zu entwickeln und sich erst später mit Cyberrisiken zu beschäftigen. Gemäß dem CRA wird sichere Produktentwicklung jedoch zu einer fortlaufenden Verpflichtung, die vom ersten Brainstorming bis hin zur finalen Produktveröffentlichung und darüber hinaus reicht.

Von vernetzten medizinischen Geräten über Heimsicherheitssysteme bis hin zu Smartphone-Apps – digitale Produkte sind in nahezu jedem Lebensbereich präsent. Eine einzelne, ungepatchte Schwachstelle kann zu massiven Datenlecks führen und Privatsphäre sowie finanzielle Stabilität der Bürger gefährden. Durch klare Vorgaben zur Cybersicherheit stärkt der CRA das Verbrauchervertrauen und stellt sicher, dass Produkte auf dem EU-Markt strenge Sicherheitsstandards erfüllen.

Ein zentrales Ziel des CRA ist es, einheitliche Standards und Anforderungen innerhalb der EU zu schaffen, damit Unternehmen nicht mit widersprüchlichen oder fragmentierten Vorschriften konfrontiert werden. So können sich Unternehmen auf Innovationen konzentrieren und wissen genau, was „Secure by Design“ nach EU-Recht bedeutet.

Obwohl es zunächst kontraintuitiv erscheinen mag, können verpflichtende Sicherheitsstandards Innovation fördern. Der CRA verlangt kontinuierliche Schwachstellenanalysen, koordinierte Offenlegungsverfahren und robuste Patch-Strategien, wodurch Unternehmen zur Einführung innovativer Sicherheitspraktiken angeregt werden. Dadurch könnten neue Werkzeuge, Dienstleistungen und ganze Ökosysteme entstehen.

Der CRA betrachtet nicht nur das Produkt zum Verkaufsstart. Er regelt auch, wie Unternehmen die Sicherheit ihrer Produkte langfristig gewährleisten müssen. Hersteller müssen regelmäßig Schwachstellen-Scans durchführen, schnell auf entdeckte Sicherheitslücken reagieren und ein offenes Schwachstellenmanagement pflegen. Diese Haltung gleicht einer „Produktpflege“ – wer in der EU etwas auf den Markt bringt, trägt Verantwortung für dessen Sicherheit während der gesamten Betriebsdauer.

Unternehmen müssen gemäß CRA über ein koordiniertes Verfahren zur Offenlegung von Schwachstellen verfügen und klare Meldekanäle bereitstellen. Werden schwerwiegende Sicherheitslücken aktiv ausgenutzt, müssen Behörden rasch informiert werden. Verzögerungen oder Versäumnisse können empfindliche Strafen oder sogar den Rückzug des Produkts vom Markt nach sich ziehen.

Ein zentrales Element des CRA ist die erhöhte Transparenz in der Software-Lieferkette. Dazu dient die Software Bill of Materials (SBOM), ein formelles Verzeichnis aller Softwarekomponenten – proprietär und Open Source –, die ein Produkt enthält. Ähnlich wie eine Zutatenliste auf Lebensmittelverpackungen verschafft eine SBOM Klarheit über jede Bibliothek, jedes Tool und jeden Code-Bestandteil in der Software.

Leichtere Schwachstellenidentifikation: Bei Bekanntwerden einer Schwachstelle in einer weit verbreiteten Open-Source-Komponente hilft die SBOM, schnell zu reagieren.

Regulatorische Pflicht: Die Pflege einer SBOM ist gemäß CRA verpflichtend. Sie muss maschinenlesbar sein (z. B. SPDX oder CycloneDX), regelmäßig aktualisiert und auf Anfrage Behörden oder Kunden bereitgestellt werden.

Auch wenn die Erstellung einer SBOM zusätzlichen Aufwand bedeutet, entwickelt sie sich rasch zu einer Best Practice für softwarebasierte Unternehmen. Neben der CRA-Konformität reduziert sie das Chaos, das bei neuen Schwachstellen (wie der bekannten Log4j-Lücke) entsteht.

Jedes Unternehmen, das Produkte mit digitalen Komponenten auf dem EU-Markt anbietet – ob Hardware, Apps oder IoT-Lösungen – fällt unter den CRA. Dies gilt auch für Unternehmen außerhalb der EU, die ihre Produkte in der EU verkaufen wollen. Obwohl der CRA breit angelegt ist, gibt es Ausnahmen für Produkte, die bereits durch andere Vorschriften reguliert sind (z. B. bestimmte medizinische Geräte, Fahrzeuge oder nationale Sicherheit betreffende Produkte). Bei Unsicherheiten empfiehlt sich eine detaillierte Prüfung.

Beginnen Sie mit einer Sicherheitsanalyse

Identifizieren Sie Lücken in Produktdesign, Entwicklung und Wartungsprozessen hinsichtlich Schwachstellenmanagement und Dokumentation.

Setzen Sie Secure-by-Design-Prinzipien um

Integrieren Sie Cybersicherheit frühzeitig mithilfe etablierter Frameworks (ISO/IEC 27001, NIST) von der Planung bis zur Umsetzung.

Formalisieren Sie Ihre Schwachstellenkommunikation

Schaffen Sie klare Kommunikationswege für externe Sicherheitsforscher und stellen Sie schnelle interne Reaktionen sicher.

Pflegen und aktualisieren Sie Ihre SBOM

Automatisieren Sie Erstellung und Pflege der SBOM, besonders wenn Open-Source-Komponenten stark genutzt werden.

Dokumentieren Sie sorgfältig

Gründliche Dokumentation von Risikoanalysen bis hin zu Testberichten ist essenziell zur Einhaltung der Vorschriften.

Der Cyber Resilience Act ist keine bloße regulatorische Formalität, sondern ein großer Schritt hin zu einer digitalen Zukunft, in der Sicherheit tief in die Produktinnovation integriert ist. Unternehmen, die proaktiv handeln, stärken ihr Verbrauchervertrauen, erhöhen ihre Wettbewerbsfähigkeit und sind auf nachhaltiges Wachstum im digitalen Zeitalter bestens vorbereitet.