Der Cyber Resilience Act (CRA) wird schrittweise eingeführt und beginnt bereits zum 11. September 2026 mit den einzuhaltenden Meldepflichten.
Der CRA stellt Anforderungen an die Produktentwicklung und auch an den Unterstützungszeitraum und gilt für Produkte mit digitalen Elementen wie z.B. Smartphones, Laptops, vernetzte Fertigungssysteme. Aber auch reine Softwareprodukte sind davon betroffen.
Wir unterstützen Sie gerne dabei die Anforderungen des CRAs zu verstehen und die Prozesse entsprechend anzupassen.
Im Gegensatz zur NIS-2-Richtlinie, muss der CRA nicht erst in geltendes nationales Recht umgesetzt werden, sondern er tritt direkt in Kraft. Dies geschieht jedoch schrittweise:
11.12.2024 - der CRA tritt in Kraft
11.06.2026 - Konformitätsbewertungsstellen können die Erfüllung der Anforderungen an den CRA bewerten
11.09.2026 - Meldepflicht für Schwachstellen und Sicherheitsvorfälle
11.12.2027 - Alle CRA-Anforderungen sind bei neuen Produkten einzuhalten
Ziel des CRA ist es, die Cybersicherheit innerhalb der EU zu erhöhen. Dabei müssen Hersteller von Produkten mit digitalen Elementen für die Sicherheit ihrer Produkte im Betrieb sorgen - und das für mind. 5 Jahre.
Software unterliegt damit zukünftig auch der CE-Kennzeichnung.
Hersteller müssen Schwachstellenmeldungen annehmen, zeitnah bearbeiten und Aktualisierungen für ihre Produkte bereitstellen. Bei aktiv ausgenutzten Schwachstellen und schwerwiegenden Sicherheitsvorfällen gelten Meldepflichten mit zeitlichen Fristen.
Verstöße gegen den CRA können mit finanziellen Sanktionen geahndet.
Daher ist es wichtig, dass Hersteller ihre Entwicklungsmethode und Prozesse anpassen, um nicht gegen den CRA zu verstoßen. Der CRA gilt für alle Produkte mit digitalen Elementen, die in der EU verkauft werden. Er gilt für preisgünstige Verbraucherprodukte als auch für B2B-Software oer komplexe Industriesysteme.
Dabei ist möglicherweise auch die Cloud-Komponente eines Produkts betroffen sofern das Produkt eine seiner Funktionen ohne die Cloud-Komponenten nicht erfüllen könnte.
Das BSI spielt bei der Umsetzung des CRA in Deutschland eine entscheidende Rolle und hat dafür eine Informationsseite bereitgestellt.
Ihr Ansprechpartner bei 4IoT
Jörg Hohwieler
Senior Consultant IT Infrastructure / Linux Engineer
+49 172 568 4459
joerg.hohwieler@4iot.de