Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Cyber Resilience Act: Hersteller in der Pflicht

EU setzt neue IT-Sicherheitsmaßstäbe

Cyber Resilience Act: Hersteller in der Pflicht

21. November 2024, 7:20 Uhr | Diana Künstler
© MH - Fotolia

Am 20. November wurde der Cyber Resilience Act offiziell im Amtsblatt der EU veröffentlicht, womit der Countdown für die Umsetzung der IT-Sicherheitsvorschriften begonnen hat. Der CRA legt horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen in der EU fest.

Am 20. November 2024 wurde der Cyber Resilience Act (CRA)1 der EU, auch bekannt als Verordnung 2024/2847, im Amtsblatt veröffentlicht. Mit der neuen Regelung gelten erstmals verbindliche Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen, die auf den EU-Markt gebracht werden. Ziel ist es, weit verbreitete Sicherheitslücken und unzureichende Update-Mechanismen zu beseitigen, um die Resilienz digitaler Infrastrukturen zu stärken.

Anbieter zum Thema

WatchGuard Technologies
Zyxel Networks A/S
Securepoint GmbH
G DATA CyberDefense AG
Matchmaker+
zu Matchmaker+
Die nächsten CRA-Umsetzungsschritte

Nachdem der endgültige Text im Amtsblatt der EU veröffentlicht wurde, tritt er 20 Tage später in Kraft. Die Umsetzung des CRA wird in verschiedenen Etappen von Ende 2024 bis 2027 erfolgen1+2:

  • Juni 2026: Die Konformitätsbewertungsstellen (KBS) sind ermächtigt, die Konformität von Produkten mit den Anforderungen des CRA zu bewerten.
  • September 2026: Die Hersteller von vernetzten Produkten unterliegen der Meldepflicht für Schwachstellen und Vorfälle.
  • Dezember 2027: Alle CRA-Anforderungen gelten, einschließlich der Einhaltung der grundlegenden Cybersicherheitsanforderungen vor dem Inverkehrbringen eines Produkts, der Behandlung von Schwachstellen während des gesamten Lebenszyklus des Produkts und der Transparenz gegenüber den Nutzern.

Neue Anforderungen an die Industrie

Norbert Pohlmann, eco - Verband der Internetwirtschaft
Prof. Dr. Norbert Pohlmann, Vorstand für IT-Sicherheit im eco Verband: „Hersteller werden stärker in die Pflicht genommen, Cybersicherheitsanforderungen nicht nur bei der Entwicklung, sondern über den gesamten Lebenszyklus ihrer Produkte hinweg zu erfüllen. Dieser Ansatz ist ein entscheidender Schritt, um die Resilienz und das Vertrauen in digitale Produkte nachhaltig zu stärken.“
© eco - Verband der Internetwirtschaft

Der CRA verpflichtet Hersteller, Cybersicherheitsaspekte nicht nur in der Entwicklungsphase zu berücksichtigen, sondern über den gesamten Lebenszyklus eines Produkts hinweg sicherzustellen. Dabei werden Verantwortlichkeiten klar geregelt: Hersteller tragen die Hauptverantwortung für Sicherheitsupdates und die Behebung von Schwachstellen. Dies soll das Vertrauen in digitale Produkte langfristig stärken.

„Mit dem CRA geht die EU einen wichtigen Schritt für die Verbesserung der Cybersicherheit in einer zunehmend vernetzen digitalen Welt“, erklärt Prof. Dr. Norbert Pohlmann, Vorstand für IT-Sicherheit beim eco Verband. Der CRA habe das Potenzial, Europa als Vorreiter in der Cybersicherheit zu etablieren und globale Standards zu setzen, insbesondere im Bereich des Internets der Dinge (IoT).

Ein zentrales Thema bei der Verabschiedung des CRA war die Einbindung von Open-Source-Technologien. Laut Pohlmann stellt der gefundene Kompromiss einen Fortschritt dar, da er sowohl Sicherheitsanforderungen als auch Innovationsfreiheit berücksichtigt. Er betont jedoch, dass die Umsetzung weiterhin kritisch begleitet werden müsse, um Open-Source-Projekte vor übermäßigen bürokratischen Hürden zu bewahren.

Herausforderungen für kleinere Unternehmen

Eine besondere Herausforderung sieht Pohlmann in der differenzierten Risikokategorisierung, die der CRA vorsieht. Produkte werden in vier Risikoklassen eingeteilt, mit unterschiedlichen Anforderungen an die Sicherheitsmaßnahmen. Während diese Systematik für mehr Klarheit sorgt, könnten kleinere Unternehmen durch die Komplexität der Vorgaben belastet werden. „Es wird entscheidend sein, die Handhabbarkeit der Regelungen sicherzustellen und unnötige Bürokratie zu vermeiden“, mahnt der Experte.

Wegbereiter für globale Standards

Mit der Einführung des CRA setzt die EU erstmals ein europaweites Mindestmaß an Cybersicherheit durch. Laut Pohlmann sei dies nicht nur ein Gewinn für die Sicherheit von Endgeräten, sondern auch ein wichtiger Beitrag zur Stabilität der digitalen Infrastruktur. Der eco Verband sieht den CRA als „wichtigen Meilenstein“ und will sich aktiv dafür einsetzen, dass die Regelung praxistauglich umgesetzt wird, um die Balance zwischen Sicherheit und wirtschaftlicher Machbarkeit zu wahren.

1 https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Cyber_Resilience_Act/cyber_resilience_act_node.html
2 https://www.linkedin.com/posts/stefan-hessel-itsec_cyberresilienceact-cybersicherheit-cra-activity-7264907863771254784-Xswa?utm_source=share&utm_medium=member_desktop

Lesen Sie mehr zum Thema

eco - Verband der Internetwirtschaft e.V. Gesetzgebung/Recht Cybersecurity/Cybersicherheit

Das könnte Sie auch interessieren

Trend Micro kommentiert BSI-Bericht 

Kann eine NIS2-Ausweitung helfen?

Interview mit Cohesity

NIS2-Umsetzung verzögert: Kein Grund, sich zurückzulehnen

Webinar-Thementag DORA

Ein Act zur richtigen Zeit!?

Irrtum mit Folgen

Diese Fehleinschätzungen kursieren rund um NIS2

Webinar-Thementag am 28. August

Bereit für DORA?

EU-Regelungen für den Finanzsektor

Vorbereitung auf den Digital Operational Resilience Act

Erfahrungen aus der DSGVO nutzen

Was der Datengrundschutz für DORA und NIS-2 lehrt

„Cyber Resilience Act“ der EU

Mögliches Aus für Open-Source-Technologie in Europa

Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu eco - Verband der deutschen Internetwirtschaft e.V

Education

KI im Unterricht

Umfrage des Eco-Verbands

Deutsche zögern bei digitalen Gesundheitsangeboten

ANGA, Bitkom, BREKO, BUGLAS, Eco, VATM

Branchenverbände fordern Erleichterung beim Gigabitausbau

Security-Tipps für Mobile Payment

So bezahlen Sie sicher mit Smartphone und Smartwatch

Generationenwechsel beim Eco-Verband

Harald A. Summa übergibt Leitung an neues Führungsduo

Weitere Artikel zu eco - Verband der Internetwirtschaft e.V.

Umfrage des Eco-Verbands

Rechenzentren brauchen systemrelevante Bedeutung

Bitkom, Eco und GDA

Politische Rahmenbedingungen für RZ-Standort Deutschland

Eco-Studie zu digitalen Identitäten

Digitale Behördendienste für viele zu kompliziert und zu unsicher

IoT-Security

Monitoring zur Absicherung von IoT-Geräten

IoT-Security im Unternehmen

Smart und sicher vernetzt

Weitere Artikel zu Gesetzgebung/Recht

Advertorial

Vom Aktenstapel zur digitalen Effizienz

Verstöße gegen EU-Digitalrecht

EU verhängt 700 Millionen Euro Strafe gegen Apple und Meta

Aufbewahrungsfristen

Diese Unterlagen dürfen 2025 entsorgt werden

Jeder Siebte gibt KI den Vorzug

Online-Tool statt Rechtsanwalt?

Nachhaltigkeit und Security

Strategien für eine nachhaltige und sichere Lieferkette

Weitere Artikel zu Cybersecurity/Cybersicherheit

Open statt ausgeliefert

Wie das ZenDiS Alternativen zur IT-Abhängigkeit etablieren will

Marco van Kalleveen kommt

Infinigate-CEO Klaus Schlichtherle geht

Spezialist für Penetrationstests

Kalweit ITS nimmt den Mittelstand ins Visier

Cybercrime-Lagebild 2024

Professionalisierte Angriffe treffen Wirtschaft und Verwaltung

Führungskraft für „möglichen Börsengang“

Rania Succar wird CEO von Kaseya

Matchmaker+
Securepoint GmbH

Securepoint GmbH
Rittal GmbH & Co. KG

Rittal GmbH & Co. KG
Softing IT Networks GmbH

Softing IT Networks GmbH
elektrofachkraft.de

elektrofachkraft.de
WatchGuard Technologies

WatchGuard Technologies
G DATA CyberDefense AG

G DATA CyberDefense AG