Mit dem Cyber Resilience Act (CRA) hat die Europäische Union erstmals einen einheitlichen Rechtsrahmen für die Sicherheit digitaler Produkte geschaffen. Hersteller sind künftig verpflichtet, bereits in der Planungs- und Entwicklungsphase verbindliche Sicherheitsvorgaben zu berücksichtigen. Der Beitrag erläutert die Entstehung, den rechtlichen Aufbau und die praktischen Auswirkungen dieses umfassenden Regelwerks.
Die wachsende Digitalisierung hat die Abhängigkeit von vernetzten Systemen massiv erhöht. Bislang fehlte jedoch ein einheitliches Rechtsinstrument, wodurch fragmentierte Vorgaben und Sicherheitslücken bestehen blieben. Angriffe wie die WannaCry-Ransomware 2017 verdeutlichten diese Schwächen. Vor diesem Hintergrund legte die EU-Kommission 2021 den Entwurf für den CRA vor, der im Oktober 2024 verabschiedet wurde und ab Dezember 2027 vollumfänglich gilt. Sein Kernanliegen: „Security by Design“ soll zu einer verbindlichen Verpflichtung werden.
Der CRA umfasst nahezu alle Produkte mit digitalen Elementen, die innerhalb der EU vertrieben werden. Erfasst sind klassische Hardware-Komponenten wie Router, Prozessoren und Server ebenso wie Software – von Betriebssystemen über Office-Anwendungen bis hin zu Apps. Maßgeblich ist dabei die digitale Vernetzungsfähigkeit.
Nicht erfasst sind Produktgruppen mit bestehenden Spezialregelungen, etwa Medizinprodukte, In-vitro-Diagnostika, Fahrzeuge sowie Luftfahrt- und Schifffahrtstechnik. Auch Produkte mit rein militärischer Zweckbestimmung fallen nicht unter die Verordnung.
Eine Neuerung ist die Einstufung von Produkten nach Risikopotenzial. Anhang III unterscheidet zwischen „wichtigen“ und „kritischen“ Produkten. Während erstere unter bestimmten Bedingungen einer internen Konformitätsbewertung unterliegen, müssen kritische Produkte verpflichtend von unabhängigen Prüfstellen kontrolliert werden. Diese risikobasierte Differenzierung führt zu einem gestuften Sicherheitsstandard.
Hersteller müssen Sicherheitsmaßnahmen über den gesamten Lebenszyklus hinweg berücksichtigen. Vorgeschrieben sind etwa sichere Grundeinstellungen, Passwortvorgaben, die Vermeidung bekannter Schwachstellen, Schutz vor Datenabflüssen sowie Vorkehrungen gegen gängige Angriffsmethoden wie Buffer Overflows. Auch scheinbar einfache Software-Komponenten dürfen nicht vernachlässigt werden, da sie häufig als Einfallstor für groß angelegte Attacken dienen.
Zentral ist die Pflicht zur systematischen Risikoanalyse. Hersteller haben Cyberrisiken für jedes Produkt zu identifizieren, mögliche Missbrauchsszenarien einzubeziehen und entsprechende Schutzmaßnahmen schriftlich festzuhalten. Diese technische Dokumentation ist Grundlage für die Marktaufsicht und muss mindestens zehn Jahre lang archiviert werden.
Ein wesentlicher Fortschritt ist die Verantwortung auch für zugekaufte Hard- und Software. Hersteller müssen nachweisen, dass sie bei der Integration externer Komponenten Sorgfalt walten lassen. Besonders relevant ist dies bei Open-Source-Bibliotheken, die bislang oft unkritisch übernommen wurden. Der CRA verlangt künftig eine „Software Bill of Materials“ (SBOM), die sämtliche Bestandteile und Abhängigkeiten transparent macht.
Hersteller sind verpflichtet, ihre Produkte über einen festgelegten Zeitraum mit Sicherheitsupdates zu versorgen. Die Supportdauer muss angemessen sein und an Faktoren wie Produktlebensdauer und Marktstandards ausgerichtet werden. Während dieses Zeitraums gefundene Schwachstellen sind ohne Verzögerung zu beheben. Updates müssen für bis zu zehn Jahre verfügbar sein, sofern das Produkt entsprechend lange genutzt wird. Zudem ist ein eindeutiger Hinweis zu geben, wenn ein Produkt das Ende seiner Unterstützung erreicht.
Der CRA sieht eine strikte Meldepflicht vor. Hersteller müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle binnen 24 Stunden melden; innerhalb von 72 Stunden ist ein detaillierter Bericht nachzureichen. Dadurch sollen Behörden wie die EU-Agentur ENISA schnell reagieren und koordinierte Gegenmaßnahmen einleiten können.
Die Verantwortlichkeiten enden nicht mit dem Verkauf. Marktüberwachungsbehörden sind befugt, Produkte auch nachträglich zu überprüfen. Bei erheblichen Sicherheitsmängeln können Rückrufe angeordnet werden. Für den Fall einer Insolvenz oder Geschäftsaufgabe schreibt der CRA zudem vor, dass Hersteller Behörden und Nutzer über den Wegfall von Support informieren müssen.
Wie im klassischen Produktsicherheitsrecht erfolgt der Nachweis der Erfüllung durch eine Konformitätsbewertung und die CE-Kennzeichnung. Damit signalisiert das CE-Zeichen künftig nicht nur physische Sicherheit, sondern auch digitale Schutzstandards. Ergänzend können bestehende Zertifizierungsschemata genutzt werden, um die Einhaltung zu dokumentieren.
Bei Verstößen drohen empfindliche Strafen: Bußgelder von bis zu 15 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes sind möglich. Hinzu kommen Verbandsklagen und zivilrechtliche Haftungsansprüche. Damit wird Cybersicherheit von einer freiwilligen Leistung zu einer verbindlichen Pflicht mit erheblichen rechtlichen Konsequenzen.