InternetIT-Recht

Cyber Resilience Act für vernetzte Produkte: Was Hersteller und Betreiber jetzt rechtlich beachten müssen

Redaktion
Cyber Resilience Act für vernetzte Produkte: Was Hersteller und Betreiber jetzt rechtlich beachten müssen
Cyber Resilience Act für vernetzte Produkte: Was Hersteller und Betreiber jetzt rechtlich beachten müssen

Der Cyber Resilience Act (CRA) verpflichtet Hersteller, Importeure und Händler erstmals EU-weit dazu, Cybersicherheit als verpflichtende Produkteigenschaft nachzuweisen – von der Smart-Home-Kamera bis zur industriellen Steuerung. Die Verordnung (EU) 2024/2847 wurde am 23. Oktober 2024 verabschiedet; ihre zentralen Pflichten gelten ab dem 11. Dezember 2027. Wer vernetzte Produkte auf dem europäischen Markt bereitstellt, muss Cybersicherheit künftig im Rahmen der CE-Kennzeichnung dokumentieren und über den gesamten Produktlebenszyklus sicherstellen.

Inhaltsverzeichnis
Was der Cyber Resilience Act regeltWer betroffen ist – und wer haftetIndustrielle Konnektivität: Besondere Situation im Maschinenbau und Remote ServiceFristen und ÜbergangsregelungenPraktische Schritte zur VorbereitungFazit: Cybersicherheit wird zur Produkteigenschaft

Was der Cyber Resilience Act regelt

Der CRA verlangt von Herstellern, sogenannte „Produkte mit digitalen Elementen“ über ihren gesamten Lebenszyklus hinweg sicher zu gestalten. Dazu zählen Hardware- und Softwareprodukte, deren bestimmungsgemäße oder vernünftigerweise vorhersehbare Nutzung eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netzwerk umfasst.

Das Spektrum reicht von Routern, Betriebssystemen und Antivirenprogrammen bis hin zu speicherprogrammierbaren Steuerungen (SPS), HMIs und industriellen Edge-Geräten. Ausgenommen sind Bereiche mit eigenen sektorspezifischen Regelungen, etwa Medizinprodukte, Kraftfahrzeuge und bestimmte Luftfahrtprodukte.

Im Kern fordert die Verordnung drei Dinge: eine sichere Produktentwicklung nach dem Prinzip „Security by Design and by Default“, einen dokumentierten Umgang mit Schwachstellen über den gesamten Supportzeitraum sowie verbindliche Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle.

Eine Frühwarnung muss innerhalb von 24 Stunden nach Kenntnis erfolgen, anschließend eine Schwachstellen- oder Vorfallmeldung innerhalb von 72 Stunden. Diese Vorgaben sind insbesondere für Anbieter relevant, die den Cyber Resilience Act für vernetzte Produkte im Umfeld industrieller Konnektivität und Fernwartung berücksichtigen müssen und Maschinenhersteller sowie Betreiber in gemeinsamen, mandantenfähigen Ökosystemen vernetzen.

Siehe auch:  Einarbeitung leicht gemacht: Leitfaden für Unternehmen

Wer betroffen ist – und wer haftet

Der CRA richtet sich in erster Linie an Hersteller, nimmt aber auch Importeure und Händler in die Verantwortung. Vor dem Inverkehrbringen eines Produkts müssen Hersteller eine Konformitätsbewertung durchführen, technische Unterlagen erstellen und die EU-Konformitätserklärung ausstellen.

Für „wichtige“ und „kritische“ Produktklassen – etwa Software zur Identitätsverwaltung, Passwortmanager, Firewalls oder bestimmte Komponenten der industriellen Automatisierung – gelten verschärfte Bewertungsverfahren, teilweise unter Einbindung notifizierter Stellen oder europäischer Cybersicherheitszertifizierungen.

Importeure dürfen nur konforme Produkte auf dem EU-Markt bereitstellen und müssen ihnen bekannte Schwachstellen an den Hersteller und gegebenenfalls an die Marktüberwachungsbehörden melden. Händler unterliegen Sorgfaltspflichten bei der Auswahl ihrer Lieferanten. Die möglichen Sanktionen sind erheblich: Bei Verstößen gegen die wesentlichen Cybersicherheitsanforderungen drohen Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.

Industrielle Konnektivität: Besondere Situation im Maschinenbau und Remote Service

Besonders komplex ist die Situation bei vernetzten Maschinen. Werkzeugmaschinen, Verpackungslinien oder Roboterzellen sind heute selten isolierte Produkte. Sie kommunizieren mit Steuerungen, Cloud-Plattformen und Fernwartungslösungen. Der CRA betrifft deshalb nicht nur die Steuerung selbst, sondern auch die Software- und Kommunikationskomponenten, die den Fernzugriff ermöglichen. Parallel dazu gilt ab dem 20. Januar 2027 die neue EU-Maschinenverordnung (EU) 2023/1230, die ebenfalls Cybersicherheitsanforderungen an sicherheitsbezogene Teile von Steuerungssystemen stellt. Zusätzlich greift für Betreiber kritischer und wichtiger Einrichtungen die NIS2-Richtlinie.

Für die digitalisierte, industrielle Praxis bedeutet das: Hersteller müssen nachweisen, dass ihre Maschinen gegen unbefugte Zugriffe geschützt sind, Sicherheitsupdates während des Supportzeitraums bereitgestellt werden und eine Software Bill of Materials (SBOM) vorhanden ist, die die enthaltenen Komponenten dokumentiert. Betreiber sollten ihrerseits sicherstellen, dass eingesetzte Fernwartungs- und Asset-Management-Lösungen diese Anforderungen unterstützen. Plattformen, die solche Vorgaben technisch abbilden – etwa durch Multi-Tenancy-Architekturen, die Herstellern und Betreibern eine getrennte Verwaltung von Prozessen und Daten ermöglichen, granular gesteuerte Rechtekonzepte, hersteller- und typenunabhängige Maschinenanbindung sowie Funktionen nach etablierten Sicherheitsstandards wie IEC 62443 – können Compliance-Risiken reduzieren und die digitale Zusammenarbeit im Sinne von Industrie 5.0 unterstützen.

Siehe auch:  Curaçao, Malta und Zypern – wie sicher sind diese Lizenzen im Glücksspiel?

Pflichten im Überblick

  • Security by Design: Produkte müssen bereits während der Entwicklung Risiken bewerten und Sicherheitsmaßnahmen integrieren.
  • Schwachstellenmanagement: Dokumentierte Prozesse zur Identifikation, Behebung und Offenlegung von Sicherheitslücken.
  • Supportzeitraum: Sicherheitsupdates über die erwartete Nutzungsdauer hinweg; der Supportzeitraum muss angemessen sein und beträgt grundsätzlich mindestens fünf Jahre, sofern die erwartete Nutzungsdauer nicht kürzer ist.
  • Meldepflichten: 24-Stunden-Frühwarnung, 72-Stunden-Folgemeldung und abschließender Bericht zu einem späteren Zeitpunkt.
  • Transparenz: Bereitstellung einer SBOM in einem gängigen maschinenlesbaren Format sowie verständliche Informationen für Nutzer.
  • CE-Kennzeichnung: Cybersicherheit wird Voraussetzung für die CE-Kennzeichnung.

Fristen und Übergangsregelungen

Die entscheidenden Termine ergeben sich direkt aus der Verordnung: Ab dem 11. September 2026 gelten die Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle. Ab dem 11. Dezember 2027 müssen Produkte mit digitalen Elementen, die neu auf den EU-Markt gebracht werden, sämtliche Anforderungen erfüllen. Bestandsprodukte, die bereits zuvor in Verkehr gebracht wurden, fallen grundsätzlich nicht unter die neuen Vorgaben – es sei denn, sie werden durch wesentliche Änderungen erheblich verändert. Hersteller sollten die verbleibende Zeit nutzen, um Produktportfolios zu klassifizieren, Lieferketten zu prüfen und interne Prozesse für Schwachstellenmanagement und Meldungen aufzubauen.

Praktische Schritte zur Vorbereitung

Für Unternehmen, die vernetzte Produkte herstellen oder einsetzen, empfiehlt sich ein strukturiertes Vorgehen. Der erste Schritt sollte eine vollständige Bestandsaufnahme aller Produkte mit digitalen Elementen sein. Anschließend folgt die Einordnung in die jeweiligen Produktklassen (Standard, wichtig, kritisch). Bestehende Entwicklungs- und Wartungsprozesse sollten danach an den Anforderungen des Anhangs I der Verordnung ausgerichtet werden. Typische Schwachstellen sind fehlende SBOMs, Lücken im Schwachstellenmanagement oder unklare Zuständigkeiten für Sicherheitsupdates.

Siehe auch:  Warum ständiges Lernen entscheidend ist

Vertraglich sollten Hersteller Verantwortlichkeiten gegenüber Lieferanten und Betreibern klar definieren – insbesondere bei Open-Source-Komponenten oder Software von Drittanbietern. Betreiber wiederum sollten im Beschaffungsprozess gezielt nach CRA-Konformität, Supportzeiträumen und Updateprozessen fragen und diese Anforderungen in Service Level Agreements verankern. Wer Fernwartungslösungen einsetzt, sollte deren Sicherheitsarchitektur, Auditierbarkeit und Ausrichtung an Standards wie IEC 62443 überprüfen.

Fazit: Cybersicherheit wird zur Produkteigenschaft

Der Cyber Resilience Act verändert die rechtlichen Rahmenbedingungen für vernetzte Produkte grundlegend. Cybersicherheit ist künftig keine optionale Qualitätsfunktion mehr, sondern eine regulatorische Voraussetzung für den Marktzugang. Für Hersteller bedeutet das eine Neuausrichtung von Sicherheits-, Entwicklungs- und Serviceprozessen. Betreiber sollten ihre Lieferanten und die eingesetzten Plattformen kritisch prüfen. Wer frühzeitig mit der Umsetzung beginnt, reduziert nicht nur das Risiko hoher Bußgelder, sondern positioniert sich gegenüber Kunden, Versicherern und Behörden als verlässlicher Partner für sichere digitale Produkte.

Redaktion
Letzte Artikel von Redaktion (Alle anzeigen)

Verwandte Posts:

Datenschutzfolgeabschätzung: Grundlagen und DurchführungDatenschutzfolgeabschätzung: Grundlagen und Durchführung wohnen ideen umsetzenIdeen für stilvolles Wohnen im Alltag digitale Rabatte clever nutzenClever sparen mit aktuellen Gutscheinen Einarbeitung neuer Mitarbeiter im UnternehmenEinarbeitung leicht gemacht: Leitfaden für Unternehmen
TAGGED: , , , , , , ,
Share this Article
Lost your password?