Cyber Resilience Act (CRA): Unsere Position & Vorbereitung

Cyber Resilience Act (CRA):

Unsere Position & Vorbereitung

Wir unterstützen die Ziele des europäischen Cyber Resilience Act (CRA): die Stärkung der Cybersicherheit digitaler Produkte und den Schutz der Nutzer über den gesamten Lebenszyklus hinweg. Wir bereiten uns aktiv auf die Gesetzgebung vor, indem wir Sicherheit von Anfang an in das Design integrieren, die Softwarelieferkette stärken und unsere Prozesse an internationale Standards anpassen.

Was der CRA beinhaltet

Der CRA stellt verbindliche Cybersicherheitsanforderungen an alle Produkte mit digitalen Elementen – sowohl Hardware als auch Software –, die auf dem EU-Markt in Verkehr gebracht werden. Das Gesetz gilt für den gesamten Lebenszyklus des Produkts: vom Entwurf bis zum Ende der Nutzung.
Wichtige Bestandteile sind:

  • Verbindliche Sicherheitsanforderungen für Hersteller
  • Schnelle und transparente Schwachstellenbehandlung
  • Erhöhte Verantwortung in der digitalen Lieferkette
  • CE-Kennzeichnung und Konformitätsbewertungen für risikoreiche Produkte

Unsere Position

Wir unterstützen den Grundsatz, dass Cybersicherheit eine Standardprodukteigenschaft sein muss. Digitale Sicherheit ist essenziell für Vertrauen – und wir unternehmen bereits Schritte zur Einhaltung.

Unsere Vorbereitung

  1. Security by Design
    – Sicherheit wird von Beginn der Produktentwicklung an integriert
    – Risikobasierter Entwurf und Threat Modeling sind Standard
  2. Sichere Entwicklungsprozesse
    – Wir folgen dem Secure Development Framework gemäß IEC 62443-4-1
    – Sicherheitsmaßnahmen werden getestet und dokumentiert
  3. Schwachstellenmanagement
    – Wir verfügen über Prozesse zur Identifizierung, Meldung und Behebung von Schwachstellen
    – Wir wenden Responsible Disclosure und Incident Management an
  4. Software Supply Chain
    – Wir bewerten Drittanbieter und führen eine Software Bill of Materials (SBOM)
    – Updates und Patches werden zeitnah eingespielt
  5. Compliance-Vorbereitung
    – Wir erfassen die CRA-Verpflichtungen pro Produktlinie
    – Risikoreiche Produkte werden auf die Konformitätsbewertung vorbereitet
    – Wir schulen interne Teams und prüfen rechtliche Auswirkungen

Ausblick

Der Cyber Resilience Act stellt höhere Anforderungen an digitale Produkte – und das zu Recht. Wir sind vorbereitet. Unser Fokus liegt auf sicherem Design, aktivem Management und verantwortungsvoller Wartung. Denn Cybersicherheit endet nicht mit der Auslieferung.
Der CRA fördert bessere Produkte, mehr Vertrauen und ein sichereres digitales Europa. Dazu tragen wir bei.

Der Cyber Resilience Act (CRA) ist ein Gesetzgebungsvorschlag der Europäischen Union, der am 15. September 2022 von der Europäischen Kommission vorgestellt wurde. Er zielt darauf ab, die digitale Sicherheit von Produkten mit Software und vernetzten Geräten (wie Internet-of-Things-Geräten) zu erhöhen. Der Vorschlag resultiert aus der wachsenden Besorgnis über Cyberbedrohungen und dem Mangel an Konsistenz bei der Sicherheit digitaler Produkte innerhalb der EU.

Das Gesetz gilt für alle physischen und digitalen Produkte mit einer Softwarekomponente, die mit dem Internet verbunden werden können. Dies umfasst unter anderem:

  • Internet-of-Things-Geräte (wie smarte Thermostate, Kameras und Haushaltsgeräte).
  • Software wie Anwendungen und Betriebssysteme.
  • Hardware mit integrierter Software, wie medizinische Geräte oder Industriemaschinen.

Für Unternehmen bedeutet der Cyber Resilience Act, dass sie ihre Entwicklungs- und Produktionsprozesse überarbeiten müssen, um den neuen Vorschriften zu entsprechen. Dies kann erhebliche Investitionen und operative Änderungen erfordern, bietet aber auch Chancen, die Zuverlässigkeit ihrer Produkte zu erhöhen und Wettbewerbsvorteile zu erzielen.

Für weitere Informationen zum Cyber Resilience Act klicken Sie hier.