Cyber Resilience Act (CRA):
Cybersicherheit für vernetzte Produkte
Cyber Resilience Act (CRA):
Mit dem Cyber Resilience Act (CRA) treten ab Dezember 2027 EU-weit verbindliche Cybersicherheitsanforderungen für „Produkte mit digitalen Elementen“ in Kraft. Die neuen Vorgaben sollen Cybersicherheit während des gesamten Produktlebenszyklus gewährleisten und sicherstellen, dass die Verbreitung sicherer Technologien gefördert, Verbraucherinnen und Verbraucher geschützt und das Vertrauen in digitale Produkte gestärkt werden. INSYS icom unterstützt Unternehmen bei der frühzeitigen und nachhaltigen Umsetzung der regulatorischen Vorgaben.
Seitennavigation:
Definition CRA
Zielgruppe
Anforderungen
Whitepaper
Unser Angebot
Sicherheit & Compliance
FAQ
Die Europäische Union schafft mit dem Cyber Resilience Act (CRA) erstmals eine horizontal anwendbare Sicherheitsverordnung für digitale Produkte. Ziel ist es, ein einheitliches Mindestniveau an Cybersicherheit im gesamten Binnenmarkt zu etablieren. Betroffen sind nahezu alle vernetzten Produkte, von industriellen Routern bis hin zu IoT-Komponenten. Hersteller sind künftig verpflichtet, umfassende Anforderungen an die sichere Produktentwicklung, das Schwachstellenmanagement und die Bereitstellung von Sicherheitsupdates zu erfüllen. Auch Importeure und Händler werden in die regulatorische Verantwortung einbezogen.
Was ist der Cyber Resilience Act?
Der Cyber Resilience Act (CRA) erweitert die bisherige CE-Kennzeichnung, die bislang vor allem auf funktionale Sicherheit (Safety) ausgerichtet war, um verbindliche Anforderungen an die Cybersicherheit (Security). Künftig wird nicht nur bewertet, ob ein Produkt mechanische oder elektrische Risiken birgt, sondern auch, ob es ausreichend gegen Cyberangriffe geschützt ist.
Die Verordnung betrifft alle vernetzten Produkte mit digitalen Elementen. Dazu zählen sowohl Hardware mit Netzwerkfunktionen, wie etwa Industrie Router, als auch reine Softwareprodukte. Ziel des CRA ist es, die Cybersicherheit von Hard- und Softwarelösungen zu erhöhen, mehr Transparenz über implementierte Sicherheitsmechanismen zu schaffen und die Hersteller stärker in die Verantwortung für ein kontinuierliches Schwachstellenmanagement zu nehmen.
Wer ist davon betroffen?
Die Anforderungen des Cyber Resilience Act betreffen eine breite Gruppe von Akteuren entlang des Lebenszyklus digitaler Produkte. Insbesondere folgende Zielgruppen müssen sich auf die neuen Cybersicherheitsvorgaben einstellen:
Relevante Branchen: kritische Infrastrukturen, industrielle Kommunikationstechnik, Fernwirktechnik, Versorgungswirtschaft, öffentliche Einrichtungen sowie der Maschinen- und Anlagenbau
CRA-Vorgaben sicher erfüllen mit INSYS icom
Cybersichere Lösungen und ein CRA-konformes Produktportfolio für Ihre Anforderungen.
Jetzt Angebot anfordern
Was bedeutet der CRA konkret?
Der Cyber Resilience Act verpflichtet Hersteller dazu, ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte mit digitalen Elementen sicherzustellen. Die Umsetzung der Anforderungen muss nachvollziehbar dokumentiert und nachgewiesen werden. Konkret bedeutet das:
Security by Design
Vernetzte Produkte müssen von Beginn an cybersicher konzipiert sein, z. B. durch eine verschlüsselte Firmware.
Security by Default
Sichere Standardeinstellungen wie automatische Sicherheitsupdates oder der Verzicht auf Standardpasswörter sind verpflichtend.
Konformitätserklärung
Hersteller müssen belegen, dass ihr Produkt alle Anforderungen des CRA erfüllt; etwa durch harmonisierte Normen oder gleichwertige interne Verfahren mit entsprechender Auditfähigkeit.
Schwachstellenmanagement
Erkannte Schwachstellen müssen über den gesamten Produktlebenszyklus gemeldet, dokumentiert und behoben werden.
Software Bill of Materials (SBOM)
Bereits in der Entwicklungsphase muss eine SBOM („Zutatenliste“ aller Softwarekomponenten) erstellt werden. Die Veröffentlichung ist nicht erforderlich.
Security Updates
Während des gesamten Supportzeitraums müssen Sicherheitsupdates bereitgestellt werden.
Was ist zu tun bis wann?
Die Verordnung trat im Dezember 2024 in Kraft und muss bis 11. Dezember 2027 umgesetzt werden. Neu in Verkehr gebrachte Produkte müssen zu diesem Zeitpunkt alle Anforderungen erfüllen.
Aufgrund der Komplexität der Vorgaben ist frühzeitiges Handeln erforderlich. Unternehmen in kritischen Infrastrukturen und industriellen Anwendungen sollten bereits jetzt ihre Produktstrategie, Sicherheitsarchitektur und Wartungsprozesse auf die Anforderungen des Cyber Resilience Act ausrichten, um spätere Umrüstkosten, Lieferverzögerungen und regulatorische Risiken zu vermeiden.
Zeitplan Cyber Resilience Act
11. Dezember 2024
CRA tritt in Kraft
11. Juni 2026
KBS* können Erfüllung der CRA-Anforderungen bewerten
11. September 2026
Meldepflicht für Schwachstellen und Vorfälle
11. Dezember 2027
Geltungsbeginn der CRA-Anforderungen
* KBS = Konformitätsbewertungsstellen
Welche Strafen gibt es?
Die Nichteinhaltung der Anforderungen des Cyber Resilience Act kann schwerwiegende Konsequenzen haben:
Kostenfreies Whitepaper:
„VPN-basierte Fernwartung sicher einführen:
Wie INSYS icom Maschinenhersteller
beim Cyber Resilience Act unterstützt“
» VPN-basierte Fernwartung sicher einführen: Wie INSYS icom Maschinenhersteller beim Cyber Resilience Act unterstützt «
Inhaltsverzeichnis
- Sichere Fernwartung
- Cyber Resilience Act
- Sichere Konnektivität
- Regulierungen & Umsetzung
- CRA für Maschinen
- Maßnahmen & Investitionen
- Lösungen für CRA-Compliance
- Netzwerksicherheit
- Fernzugriff (iCS)
- Geräteverwaltung (iRM)
- Cyber Resilience Act
Whitepaper jetzt anfordern!
INSYS icom Lösungskompetenz
Sichere Gerätearchitektur
CRA-konforme Router-Architekturen mit sicherer Firmware.
Sicherheitsupdates
Automatisierte Sicherheitsupdates mit revisionssicherer Protokollierung über das icom Router Management.
Protokollierung
Zentrale Dokumentation aller Konfigurationsänderungen und Zugriffe.
VPN-Service
VPN-Dienst mit starker Authentifizierung und verschlüsselter Datenübertragung.
Secure Development
Anwendung sicherheitsrelevanter IEC 62443-4-1 Prozesse in Software-Entwicklung und Wartung.
CVE-Monitoring
Unterstützung im Schwachstellenmanagement durch systematisches CVE-Monitoring.
Die Lösungen von INSYS icom bieten eine technisch abgesicherte Produktarchitektur sowie automatisierte Prozesse für Aktualisierung, Protokollierung und Nachweisführung. Das schafft klare Vorteile in Bezug auf Auditfähigkeit, Betriebssicherheit und regulatorische Konformität im europäischen Binnenmarkt.
Sicherheit & Compliance
Hier finden Sie relevante Nachweise und Dokumente zur CRA-Konformität, zertifizierten Entwicklungsprozessen und IT-Sicherheitsmaßnahmen von INSYS icom.
Cyber Resilience Act – Häufig gestellte Fragen
Welche Produkte sind vom Cyber Resilience Act betroffen?
Der CRA betrifft nahezu alle digitalen Produkte mit direkter oder indirekter Netzwerkverbindung. Dazu zählen unter anderem vernetzte Industriekomponenten, Softwareprodukte, IoT-Geräte und Kommunikationshardware. Entscheidend ist, dass das Produkt digitale Elemente enthält und in irgendeiner Form mit anderen Systemen oder Netzwerken kommunizieren kann.
Wie unterstützt INSYS icom bei der Umsetzung des Cyber Resilience Act?
INSYS icom bietet sichere Gerätearchitekturen, ein automatisiertes Update-Management sowie eine revisionssichere Dokumentation technischer Sicherheitsfunktionen. Damit erhalten Unternehmen eine solide Grundlage für die Erfüllung der CRA-Anforderungen im laufenden Betrieb.
Welche Pflichten haben Betreiber kritischer Infrastrukturen im Rahmen des CRA?
Obwohl sich der CRA vorrangig an Hersteller richtet, sind Betreiber kritischer Infrastrukturen verpflichtet, ausschließlich konforme Geräte einzusetzen. Zudem müssen sie sicherstellen, dass verfügbare Sicherheitsupdates und Patches zeitnah eingespielt werden, um die Betriebssicherheit und gesetzliche Vorgaben zu erfüllen.
Gilt der CRA auch für Softwarelösungen ohne physisches Produkt?
Ja, auch eigenständige Software, die direkt oder mittelbar netzwerkfähig ist, fällt unter die Verordnung.
Welche Rolle spielt das Schwachstellenmanagement im Cyber Resilience Act?
Der CRA verpflichtet Hersteller, Schwachstellen kontinuierlich zu identifizieren, zu bewerten und zu beheben. Zudem müssen sicherheitsrelevante Schwachstellen an zentrale EU-Plattformen gemeldet werden. Das Schwachstellenmanagement wird damit zu einem zentralen Bestandteil des Sicherheitsprozesses über den gesamten Produktlebenszyklus hinweg.
Welche Bedeutung hat der Cyber Resilience Act wenn man IT-Sicherheit im engen Zusammenhang mit OT-Sicherheit betrachtet?
Die wegweisende EU-Verordnung zielt darauf ab, Cybersicherheit für ein breites Spektrum vernetzter Geräte zu verbessern und Schwachstellen in der zunehmend digitalisierten und vernetzten Industrielandschaft zu beseitigen. In diesem Zuge verlangt der Cyber Resilience Act von Herstellern, z. B. Anforderungen an Cybersicherheit bereits in der Entwicklungsphase im Blick zu haben und während des gesamten Produktlebenszyklus zu erfüllen. Den Nachweis hierfür erbringt INSYS icom u.a. mit der Zertifizierung nach der internationalen Norm IEC 62443-4-1.
Welche weiteren Maßnahmen und vor allem auch Chancen im Zusammenhang mit der Cybersicherheitsnorm stehen, haben wir Ihnen in unserem Whitepaper „VPN-basierte Fernwartung sicher einführen: Wie INSYS icom Maschinenhersteller beim Cyber Resilience Act unterstützt“ zusammengefasst.
Auch diese Cybersecurity-Vorgaben erfüllt INSYS icom
NIS 2
Die NIS-2-Richtlinie (Network and Information Security) definiert verbindliche Anforderungen an die Cybersicherheit kritischer Infrastrukturen.
Radio Equipment Directive (RED)
Die erweiterte RED-Richtlinie schreibt Cybersicherheitsanforderungen für internetfähige Funkanlagen wie Router oder IoT-Geräte verbindlich vor.
Erfahren Sie mehr über unsere sicheren Produkte
VPN-Service
Zentrale Verwaltung für Updates, Konfigurationen und Dokumentation
Noch Fragen? Wir beraten Sie gerne!