CRA Cyber Resilience Act Regulatory Controls

Der Cyber Resilience Act (EU 2024/2847) definiert in Anhang I zwei Saeulen regulatorischer Kontrollen: Teil

1 legt grundlegende Cybersicherheitsanforderungen fest, darunter Security by Design, Zugriffskontrollen, Datenverschluesselung und die Behebung bekannter Schwachstellen vor Markteintritt. Teil

2 regelt das Schwachstellenmanagement, einschliesslich Identifikation, Dokumentation und Bereitstellung von Sicherheitsupdates. Hersteller muessen diese Kontrollen ueber den gesamten Produktlebenszyklus aufrechterhalten und eine Cybersicherheits-Risikobewertung durchfuehren.

Anhang I Teil

1 verlangt: ein angemessenes Cybersicherheitsniveau basierend auf Risikobewertung, Schutz vor unautorisierten Zugriffen, Vertraulichkeit und Integritaet von Daten durch Verschluesselung, minimale Angriffsflaeche (Security by Default), Verfuegbarkeit wesentlicher Funktionen auch bei Cyberangriffen sowie die Faehigkeit zu Sicherheitsupdates. Teil

2 fordert ein aktives Schwachstellenmanagement mit dokumentierten Prozessen, koordinierter Offenlegung und Software-Stuecklisten (SBOM). Alle Kontrollen muessen mindestens

5 Jahre nach Inverkehrbringen aufrechterhalten werden.

Die CRA-Umsetzung erfolgt gestaffelt: Ab dem 11. September

2026 gelten Meldepflichten. Hersteller muessen aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfaelle innerhalb von

24 Stunden an die ENISA melden. Ab dem 11. Dezember

2027 gelten saemtliche Anforderungen des CRA vollstaendig. Dann duerfen ausschliesslich konforme Produkte auf den EU-Markt gebracht werden. Unternehmen sollten jetzt mit der Gap-Analyse und Implementierung der regulatorischen Kontrollen beginnen, um beide Fristen einzuhalten.

Die Konformitaetsbewertung haengt von der Produktkategorie ab: Standardprodukte koennen per Selbstbewertung (Modul A) bewertet werden. Wichtige Produkte der Klasse I (z.B. Passwort-Manager, Netzmanagementsysteme) erfordern harmonisierte Normen oder Drittstellenbewertung. Klasse II (z.B. Firewalls, Hypervisoren) und kritische Produkte (z.B. Hardwaresicherheitsmodule, Chipkarten) muessen immer durch benannte Stellen bewertet werden (Module B+C oder H). Nach erfolgreicher Bewertung wird die EU-Konformitaetserklaerung ausgestellt und das CE-Kennzeichen angebracht.

Bei Verstoessen gegen die wesentlichen Cybersicherheitsanforderungen aus Anhang I drohen Bussgelder bis zu

15 Millionen EUR oder 2,

5 Prozent des weltweiten Jahresumsatzes. Verstoesse gegen andere CRA-Pflichten koennen mit bis zu

10 Millionen EUR oder

2 Prozent bestraft werden. Falsche oder unvollstaendige Angaben gegenueber Behoerden werden mit bis zu

5 Millionen EUR oder

1 Prozent geahndet. Marktaufsichtsbehoerden koennen zudem Produktrueckrufe anordnen oder das Inverkehrbringen untersagen.

Der CRA reguliert die Produktsicherheit: Hersteller muessen Cybersicherheitskontrollen in Produkte mit digitalen Elementen einbauen. NIS 2 reguliert die Betreibersicherheit: Unternehmen in kritischen Sektoren muessen ihre eigene IT-Infrastruktur absichern. DORA reguliert die Finanzsektorsicherheit: Banken, Versicherungen und Finanzdienstleister muessen digitale operationale Resilienz nachweisen. In der Praxis ergaenzen sich die Verordnungen. Ein IoT-Hersteller muss CRA-konforme Produkte liefern, waehrend sein Kunde als NIS2-Betreiber diese sicher einsetzen muss.

ADVISORI begleitet die vollstaendige CRA-Implementierung: Zunaechst analysieren wir Ihre aktuelle Kontrolllandschaft und fuehren eine Gap-Analyse gegen Anhang I durch. Darauf aufbauend designen wir ein massgeschneidertes Kontroll-Framework mit Security by Design, Schwachstellenmanagement und Dokumentation. Die Implementierung erfolgt schrittweise mit kontinuierlicher Ueberwachung. Wir bereiten Sie auf die Konformitaetsbewertung vor, unterstuetzen bei der SBOM-Erstellung und etablieren Prozesse fuer die 24-Stunden-Meldepflicht an die ENISA ab September 2026.