Cyber Resilience Act (CRA)

kommunikation@skwschwarz.de

Worum geht es?

Der Cyber Resilience Act (CRA) schafft erstmals ein einheitliches europäisches Regelwerk für die Cybersicherheit von Produkten mit digitalen Elementen. Ziel der Verordnung ist es, die Sicherheit von Software, Hardware und vernetzten Produkten über ihren gesamten Lebenszyklus hinweg zu verbessern und ein einheitliches Sicherheitsniveau im europäischen Binnenmarkt zu gewährleisten.

Hierzu verpflichtet der CRA Unternehmen insbesondere dazu, Cybersicherheitsanforderungen bereits bei Planung, Entwicklung und Bereitstellung ihrer Produkte zu berücksichtigen sowie Prozesse für den Umgang mit Sicherheitslücken und Cybervorfällen einzurichten. Die Einhaltung dieser Anforderungen wird durch Marktüberwachungsmaßnahmen kontrolliert und kann bei Verstößen mit erheblichen Sanktionen geahndet werden.

Der CRA ist am 10. Dezember 2024 in Kraft getreten. Die Regelungen gelten schrittweise ab dem 11. Juni 2026 und sind spätestens ab dem 11. Dezember 2027 vollständig anwendbar.

Ist mein Unternehmen betroffen?

Der CRA richtet sich an Unternehmen, die Produkte mit digitalen Elementen auf dem europäischen Markt bereitstellen. Darunter fallen insbesondere Softwareprodukte, Hardware mit digitalen Komponenten sowie bestimmte digitale Dienste, die für die Funktionsfähigkeit eines Produkts erforderlich sind.

Betroffen sind nicht nur Hersteller, sondern auch Importeure und Händler. Für alle Beteiligten gelten jeweils eigene Verantwortlichkeiten und Prüfpflichten entlang der Lieferkette. Größenbezogene Ausnahmen bestehen grundsätzlich nicht, sodass sowohl große Unternehmen als auch kleine und mittlere Unternehmen den Anforderungen des CRA unterliegen können.

Vom Anwendungsbereich des CRA ausgenommen sind jedoch bestimmte Produktkategorien, für die bereits sektorspezifische Regelungen gelten. Dazu zählen insbesondere Medizinprodukte sowie Fahrzeugsicherheitssysteme.

Kurz: Der CRA ist relevant, sobald Ihr Unternehmen Produkte mit digitalen Elementen entwickelt, herstellen lässt, importiert oder vertreibt.

Was muss mein Unternehmen tun?

Die konkreten Pflichten hängen von der jeweiligen Rolle in der Lieferkette und der Art des Produkts ab. Im Mittelpunkt stehen jedoch insbesondere folgende Anforderungen:

  • Berücksichtigung von Cybersicherheitsanforderungen über den gesamten Produktlebenszyklus hinweg – von der Planung und Entwicklung bis zur Bereitstellung und Wartung
  • Durchführung von Konformitätsbewertungen und Erstellung der erforderlichen technischen Dokumentation
  • Einführung eines strukturierten Schwachstellenmanagements einschließlich der Bereitstellung von Security Updates
    Erfüllung von Informations- und Meldepflichten gegenüber Nutzern und zuständigen Behörden
  • Nachweis der CRA-Konformität durch die erforderlichen Dokumentations- und Kennzeichnungsprozesse
  • Umsetzung von Prüf- und Kontrollpflichten für Importeure und Händler im Hinblick auf die Einhaltung der gesetzlichen Anforderungen durch Hersteller

Zusammenfassend gilt: Unternehmen sollten frühzeitig prüfen, welche Produkte und Prozesse vom CRA erfasst werden, welche Rolle sie innerhalb der Lieferkette einnehmen und welche organisatorischen, technischen und vertraglichen Maßnahmen zur Umsetzung der neuen Anforderungen erforderlich sind.

CRA-Compliance strukturiert umsetzen

Der Cyber Resilience Act stellt Hersteller, Importeure und Händler von Produkten mit digitalen Elementen vor umfassende neue Anforderungen. Unternehmen müssen frühzeitig prüfen, ob ihre Produkte in den Anwendungsbereich des CRA fallen, regulatorische Pflichten entlang der Lieferkette umsetzen und technische sowie organisatorische Maßnahmen rechtssicher begleiten.

Unsere modularen Beratungsangebote unterstützen Sie dabei, die Anforderungen des Cyber Resilience Act effizient, rechtssicher und praxisnah in Ihrem Unternehmen umzusetzen.

Unsere Module im Überblick

  • CRA In-Scope Assessment: Einordnung Ihrer Produkte in den Anwendungsbereich des Cyber Resilience Act, Identifikation Ihrer regulatorischen Rolle und Ableitung der konkreten Anforderungen für Ihr Produktportfolio.
  • Vertrags- und Lieferketten-Compliance: Rechtssichere Umsetzung der CRA-Anforderungen in Lieferanten-, Kunden- und Wartungsverträgen sowie Absicherung der Compliance entlang der gesamten Liefer- und Wertschöpfungskette.
  • Begleitung Ihres CRA-Projekts: Laufende rechtliche Unterstützung bei der Umsetzung von Security-by-Design-, Vulnerability-Management- und Dokumentationsanforderungen sowie bei regulatorischen Prüfungen und Behördenanfragen.

Sind Sie bereit, die Herausforderungen des Cyber Resilience Act (CRA) anzugehen?

Vereinbaren Sie jetzt ein Beratungsgespräch mit unseren Experten.