Cyber Resilience Act

Der Cyber Resilience Act – CRA – ist eine EU-Verordnung, welche Harmonisierungsvorschriften für Produkte mit digitalen Elementen definiert. Hersteller, Importeure & Distributoren sind somit gefordert, Cyber Security von vorneherein in ihren Produkten zu berücksichtigen und umzusetzen. Ziel & Motivation der EU ist es, bekannte Probleme in digitalen Produkten auszumerzen und die Cyberresilienz im EU-Binnenmarkt generell zu stärken.

Die Zahl an entdeckten Produktschwachstellen (z.B. bereits im Design), nimmt ebenso von Jahr zu Jahr zu, wie die erkannter Cyberangriffe. Der CRA soll daher sicherstellen, dass Sicherheitslücken bereits vor der Inverkehrbringung von Produkten erkannt und beseitigt werden und somit die Cybersicherheit in Europa erhöhen.

Was Hersteller jetzt wissen müssen

Der Cyber Resilience Act (CRA) wurde seitens des Europäischen Rates im Oktober 2024 verabschiedet. Hiermit definieren sich zwei Stichtage, welche für Hersteller, Importeure und Händler von Produkten mit digitalen Elementen von Relevanz sind: Ein Produkt mit digitalen Elementen darf ab 11.12.2027 nur dann mit dem CE-Kennzeichen versehen und im EU-Binnenmarkt vertrieben werden, wenn es den Anforderungen des CRA entspricht.

Bei Verstößen drohen empfindliche Bußgelder: bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes des Unternehmens – je nachdem, welcher Betrag höher ist. Weiters kann die Marktaufsichtsbehörde auch Produkte vom Markt nehmen oder Nachbesserungen fordern.

Ab 11. September 2026

gilt eine Meldepflicht: Unternehmen müssen schwerwiegende Sicherheitsvorfälle sowie aktiv ausgenutzte Schwachstellen, die die Cybersicherheit eines Produkts betreffen, an nationale (CSIRT) und europäische Behörden (ENISA) melden.

Ab 11. Dezember 2027

müssen alle technischen und organisatorischen Anforderungen des CRA erfüllt sein. Dazu zählen u. a. risikobasierte Sicherheitsmaßnahmen und die Bereitstellung von Sicherheitsupdates über den gesamten, zu definierenden Unterstützungszeitraum hinweg.

White Paper: Alles was sie über den CRA wissen müssen

Wir – Limes Security und Ginzinger Electronics – haben unsere Expertise gebündelt, um Ihnen einen verständlichen Überblick über die Anforderungen des CRA zu geben – inklusive konkreter Handlungsempfehlungen für die Umsetzung in der Praxis.

Jetzt kostenlos downloaden

Wie wir Sie bei der Umsetzung des CRA unterstützen

Der Cyber Resilience Act (CRA) verlangt weitreichende Sicherheitsmaßnahmen – im Produkt, in den Entwicklungsprozessen und in der Organisation. Dahingehend harmonisierte Normen sind aktuell in der Ausarbeitung. Diese werden konkrete Anforderungen definieren. Für viele Unternehmen stellt sich aktuell allerdings noch die Frage: Was ist genug, um CRA-konform zu sein?

Bereitstellung von Leitlinien und Interpretationen zu normativen und regulatorischen Anforderungen

Erstellung von Dokumenten und Bereitstellung etablierter Vorlagen dafür!

Regelmäßige Check-Ins, bei denen Limes Security als externer Sparring-Partner für die Besprechung von Plänen, Implementierungen und offene Fragen zur Verfügung steht. Damit wird sichergestellt, dass Ihr Projekt stetig vorankommt.

Unterstützung bei der Erstellung von konkreten Security-Konzepten für Produkte.

Prüfung intern erstellter Dokumente und anschließend ggf. Optimierungsvorschläge.

Gemeinsames Durchführen von Sicherheitsprozessen
für Learning on the Job, z.B.:

Durchführung eines Workshops zur Bedrohungsmodellierung
Durchführung von Sicherheitstests für Ihr Produkt

Wie sicher ist Ihre OT-Umgebung wirklich?

Unser OT Cyber Health Check gibt Ihnen eine strukturierte Ersteinschätzung Ihrer aktuellen Sicherheitslage und zeigt mögliche Risiken auf.

Zum OT Cyber Health Check

Limes Academy