Regulierung

Cyber Resilience Act

Abkürzung: CRA

EU-Verordnung die Hersteller von Produkten mit digitalen Elementen zur Einhaltung von Cybersicherheitsanforderungen über den gesamten Produktlebenszyklus verpflichtet.

🧒

Einfach erklärt

Für jeden verständlich — ohne Vorkenntnisse

“Bisher konnten Hersteller unsichere Smart-Home-Geräte, Router und Software verkaufen ohne Konsequenzen. Der Cyber Resilience Act sagt: Schluss damit. Wenn du ein vernetztes Produkt in der EU verkaufst, muss es sicher sein — und du musst Sicherheitsupdates liefern, solange das Produkt genutzt wird.”

Ausführliche Erklärung

Der CRA (in Kraft seit 2024, Anwendung ab 2027) regelt erstmals verbindlich die Sicherheit von Hardware und Software in der EU: IoT-Geräte, Industriesoftware, Router, Kameras, Betriebssysteme. Hersteller müssen: Security-by-Design umsetzen, Schwachstellen über den Support-Zeitraum beheben, Sicherheitsupdates bereitstellen, SBOM führen und aktiv ausgenutzte Schwachstellen innerhalb 24h an ENISA melden. CE-Kennzeichnung nur noch mit Nachweis der Cybersicherheits-Anforderungen.

>Wie funktioniert das?

Risikoklassifizierung: Produkte werden in Klassen eingeteilt (Standard, Wichtig Klasse I/II, Kritisch)

Sicherheitsanforderungen: Security-by-Design, keine Standardpasswörter, verschlüsselte Kommunikation, Schwachstellenmanagement

SBOM: Software-Stückliste für alle Komponenten führen

Meldepflicht: Aktiv ausgenutzte Schwachstellen binnen 24h an ENISA melden

Konformitätsbewertung und CE-Kennzeichnung.

?Häufig gestellte Fragen

Antwort

Alle Hersteller, Importeure und Händler von Produkten mit digitalen Elementen die in der EU vermarktet werden — von Smart-TVs und Routern bis zu Industriesoftware und Cloud-Diensten.

Antwort

Software Bill of Materials — eine vollständige Inventarliste aller Softwarekomponenten und Abhängigkeiten. Mit SBOM können Schwachstellen in bestimmten Bibliotheken schnell in betroffenen Produkten gefunden werden.

Antwort

Für Nicht-Einhaltung der grundlegenden Anforderungen bis zu 15 Mio. EUR oder 2,5% des weltweiten Jahresumsatzes — je nachdem was höher ist.

Antwort

Weil IoT-Geräte bisher oft ohne Sicherheitsstandards verkauft wurden, jahrelang keine Updates erhielten und zu riesigen Botnetzen wurden. Der CRA macht Hersteller erstmals rechtlich verantwortlich.

Antwort

Durch Einführung von SBOM-Prozessen, Etablierung eines Vulnerability-Disclosure-Prozesses, Security-by-Design in der Entwicklung, Überprüfung von Drittkomponenten und Planung langfristiger Update-Zyklen.

Alle Begriffe im Glossar

APT Brute-Force-Angriff Botnet CVE Credential Stuffing DDoS EDR Firewall Honeypot IDS KI-Angriff (Adversarial AI)Lateral Movement LLM-Sicherheit Malware MFA Netzwerksegmentierung OSINT Passkeys Patch Management Phishing Prompt Injection Ransomware SIEM Social Engineering SQL-Injection Threat Intelligence TTP WAF XDR Zero-Day Zero Trust XSS CSRF MitM Supply-Chain-Angriff Spear-Phishing Vishing Smishing Watering-Hole-Angriff Drive-by-Download Insider-Bedrohung Typosquatting Clickjacking DNS-Spoofing Session-Hijacking BEC Cryptojacking SIM-Swapping SOC Pentest Threat Hunting Red Team Blue Team DevSecOps Security Awareness Training Vulnerability Management SAST DAST 3-2-1 Backup-Strategie Cyber-Versicherung NIS2 DSGVO ISO/IEC 27001 BSI IT-Grundschutz NIST CSF KRITIS — Kritische Infrastrukturen PCI-DSS CRA TISAX — Automotive Informationssicherheit BCM Meldepflicht bei Datenpannen Adversarial Machine Learning Model Poisoning Deepfake KI-Halluzination LLM-Jailbreak Federated Learning Shadow AI Trojaner Computerwurm Spyware Rootkit Keylogger Fileless Malware Backdoor Infostealer Wiperware Adware OAuth 2.0 SAML SSO PAM IAM RBAC Passwort-Manager Biometrische Authentifizierung Hardware-Sicherheitsschlüssel VPN DMZ VLAN Port-Scanning BGP-Hijacking IPS NAC TLS SSH HTTPS — HyperText Transfer Protocol Secure SPF, DKIM & DMARC — E-Mail-Authentifizierung IPsec — Internet Protocol Security API-Sicherheit DNSSEC