Der Cyber Resilience Act und der Stand der Technik

Die EU will mit dem Cyber Resilience Act Produkte mit digitalen Elementen widerstandsfähiger gegen Angriffe machen, doch die Anforderungen bleiben bisher vage.

Artikel verschenken

07.05.2025, 08:00 Uhr

Lesezeit: 13 Min.

iX Magazin

Von

Sebastian Fritsch
Sophia Pötsch

Der Cyber Resilience Act und der Stand der Technik
- Die essenziellen Anforderungen des CRA
Standards weisen die Richtung
CRA-Anforderungen
Zusammenfassung: CRA mit OWASP SAMM umsetzen

Die EU will beim Kampf gegen Cyberbedrohungen auch Hersteller und Anbieter von Produkten in die Pflicht nehmen. Um einen einheitlichen Mindeststandard dafür zu definieren, hat die EU-Kommission im Jahr 2022 begonnen, den Cyber Resilience Act (CRA) auf den Weg zu bringen. Im Dezember 2024 trat er in Kraft. Der CRA bezieht sich auf alle Produkte mit digitalen Elementen und deckt damit nicht nur privat genutzte Devices wie Smartwatches oder Babymonitore ab, sondern auch professionell genutzte Geräte wie speicherprogrammierbare Steuerungen (SPS) oder Sensoren im industriellen Einsatz. Auch Softwareprodukte sind von der Regelung betroffen.

Mit der Veröffentlichung im Amtsblatt der Europäischen Union am 20. November 2024 begann eine dreijährige Übergangsfrist, nach der das Gesetz vollumfänglich in Kraft tritt. Alle Produkte mit digitalen Elementen, die ab Dezember 2027 verkauft werden, müssen nach den Anforderungen des CRA entwickelt worden sein und gewartet werden. Eine Sonderregelung gilt für die Anforderungen an das Melden von Schwachstellen, das bereits ab Juni 2026 erfolgen muss.

Die Umsetzung des Cyber Resilience Act (CRA) benötigt Zeit, für Anbieter betroffener Produkte tickt die Uhr. Doch die Anforderungen der neuen Regulierung sind bislang noch wenig präzise.
Unternehmen, die ihre Produkte CRA-konform machen müssen, sollten frühzeitig damit anfangen und sich an bereits existierenden Standards orientieren.
Wer OWASP SAMM umsetzt, erfüllt schon einen Großteil der Vorgaben.

Die Konformität eines Produkts mit den CRA-Anforderungen wird ab 2027 durch das bereits bekannte CE-Kennzeichen zum Ausdruck gebracht. So soll es Anwendern, Händlern und Importeuren erleichtert werden, konforme Produkte zu erkennen und einen verlässlichen Anhaltspunkt für ein Grundniveau an Cybersicherheit zu bieten. Weitere Informationen zu den juristischen Details des CRA haben wir in einem gesonderten Artikel behandelt.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Elektroauto lädt an bidrektionaler Wallbox

Kaufberatung: Wallboxen mit Gleich- und Wechselstrom für bidirektionales Laden

Bidirektionales Laden nimmt auch in Deutschland langsam an Fahrt auf. Wir zeigen, welche passenden Wallboxen verfügbar und angekündigt sind.

Noise-Cancelling-Kopfhörer für 21 Euro: Das taugt der Ugreen HiTune Max5c

Der HiTune Max5c verspricht für schmales Geld aktive Geräuschunterdrückung, lange Laufzeiten, LDAC und Multipoint-Verbindung. Doch wie gut klingt der Kopfhörer?

Was 100 Kilometer mit dem Elektroauto Ende 2025 wirklich kosten

Versicherung, Wartung und mehr: Die Fahrtkosten setzen sich aus vielen Faktoren zusammen. Der Vergleich von zwölf Modellen zeigt, womit Sie rechnen sollten.

Dwarf Mini: Leichtes Smart-Teleskop für Astrofotografie unterwegs im Test

Das Dwarf Mini unterschreitet erstmals die 1-kg-Marke bei Smart-Teleskopen. Der Test zeigt, ob es bei der Bildqualität mit größeren Geräten mithalten kann.

Open-Source-Inventarsoftware: Mit HomeBox Ordnung ins heimische Chaos bringen

Über die Jahre sammelt sich insbesondere bei Tech-Enthusiasten einiges an Material an. Die Open-Source-Inventarsoftware Homebox schafft Ordnung und Übersicht.