Newsroom
Newsletter abonnieren

Wie der EU Cyber Resilience Act die Sicherheitsregeln verändert

9 Minuten zum Lesen
Tags:
Geschrieben von:
Andre Bastert
Andre Bastert
Video surveillance camera with a cybersecurity overlay

Die EU hat neue Regeln verabschiedet, die darauf abzielen, das Sicherheitsniveau für alle vernetzten Geräte zu erhöhen – mit Auswirkungen auf Hersteller, Importeure und Händler.

Der Cyber Resilience Act (CRA) ist eine neue EU‑Verordnung, die darauf abzielt, die Cybersicherheit aller Produkte mit digitalen Netzwerkelementen zu verbessern, die in der EU verkauft werden.

Er legt erstmals EU‑weit einheitliche Cybersicherheitsanforderungen für vernetzte Geräte und Software fest. Er harmonisiert bestehende Vorschriften und ergänzt andere, wie etwa NIS2, das die Cybersicherheit in kritischen Sektoren der EU stärken soll.

Das Hauptziel ist es, Verbraucher und Unternehmen vor Produkten mit unzureichender Cybersicherheit zu schützen. Beim Kauf vernetzter Geräte soll es eine größere Sicherheit geben, dass diese einem Standard entsprechen, der vor Bedrohungen schützt.

EU Cyber Resilience Act

Das wichtigste – aber nicht einzige – Ziel des CRA ist sicherzustellen, dass jedes Produkt mit digitalen Elementen den Prinzipien von Secure by Design folgt.

Dies gilt ab dem Zeitpunkt des Kaufs und über den gesamten Lebenszyklus hinweg. EU‑Regulierungsbehörden wollen sicherstellen, dass jedes verkaufte vernetzte Gerät die Kunden nicht einem erhöhten Cyberrisiko aussetzt.

Ein weiteres Ziel ist die Verbesserung der Transparenz in Bezug auf Sicherheit und vernetzte Geräte. Hersteller müssen bestimmte Informationen bereitstellen, darunter:

  • Wie lange Sicherheitsupdates bereitgestellt werden
  • Wie das Produkt sicher eingerichtet und betrieben wird
  • Wie Sicherheitslücken identifiziert, behandelt und gemeldet werden – sowohl an Nutzer als auch an Behörden

Der Cyber Resilience Act hat einen breiten Anwendungsbereich. Während Hersteller oder Verkäufer vernetzter Geräte offensichtlich betroffen sind, müssen auch viele weitere Teile der Lieferkette aufmerksam werden.

Definition „Produkte mit digitalen Elementen“

Der CRA definiert ein Produkt mit digitalen Elementen als „ein Software‑ oder Hardwareprodukt und dessen Remote‑Datenverarbeitungslösungen, einschließlich separat in Verkehr gebrachter Software‑ oder Hardwarekomponenten“.

Physical access control system with a cybersecurity overlay

Auch Remote‑Datenverarbeitung ist definiert – ihr Fehlen würde verhindern, dass das Produkt eine seiner Funktionen erfüllt.

Beispiel: Eine Netzwerkkamera fällt unter den CRA. Die gesamte Hardware und Software muss die Anforderungen erfüllen – ebenso Betriebssysteme, Drittanbieter‑Bibliotheken und alle weiteren Bestandteile.

Rollen von Herstellern, Importeuren und Händlern

Die breite Auslegung führt zu geteilter Verantwortung. Hersteller müssen sicherstellen, dass jedes relevante Teil ihres Produkts die Cybersicherheitsstandards erfüllt.

Im Gegenzug müssen Importeure und Händler dies von Herstellern einfordern. Das gesamte Ökosystem ist auf Zusammenarbeit angewiesen, um die CRA‑Anforderungen zu erfüllen.

A women holding a visualization of the cyber resilience act

Wichtige Ausnahmen des Cyber Resilience Act  

Einige Ausnahmen gelten, darunter nicht‑kommerzielle Open‑Source‑Software und Medizinprodukte. Allerdings gelten hier andere Cybersicherheitsvorschriften. Hersteller müssen Sorgfalt walten lassen, wenn sie freie Open‑Source‑Software integrieren.

Die Videosicherheitsbranche muss Produkte bereitstellen, die Cybersicherheitsstandards erfüllen. Sie liefert nicht nur vernetzte Hardware, die bei unzureichender Sicherheit ein Risiko darstellt, sondern verarbeitet auch sensible Daten.

Durchführung einer Cybersicherheits‑Risikobewertung 

Für jedes Produkt ist eine Risikobewertung erforderlich. Die Ergebnisse müssen über den gesamten Lebenszyklus berücksichtigt werden – von Planung und Design bis zur Wartung.

Die Risikobewertung muss dokumentiert und aktualisiert werden und sich auf die CRA‑Anforderungen beziehen. Hersteller müssen alle relevanten Cybersicherheitsaspekte dokumentieren und bekannte Schwachstellen erfassen. 

Sicheres Produktdesign und sichere Entwicklung

Vernetzte Geräte müssen von Anfang an mit integrierter Cybersicherheit entwickelt werden – Security by Design und Security by Default. Produkte sollen „out of the box“ sicher sein, ohne komplexe Konfiguration.

A network speaker with a cybersecurity overlay visualizing the cyber resilience act

Echte Secure‑by‑Design‑Sicherheit basiert auf einer Hardware Root of Trust (HRoT) und dem Betriebssystem des Geräts.

Hardwaregestützte Sicherheitsfunktionen wie Secure Boot oder sichere Schlüsselspeicherung bilden die Grundlage. Das Betriebssystem baut darauf auf und stellt Sicherheitsfunktionen bereit.

Diese grundlegenden Schutzmechanismen stammen oft von vertrauenswürdigen Komponenten‑ und Halbleiterpartnern.

Meldung aktiv ausgenutzter Schwachstellen und Vorfälle

Es gelten strenge Meldefristen: Eine frühe Warnung muss innerhalb von 24 Stunden erfolgen, eine vollständige Meldung innerhalb von 72 Stunden. 

Der Abschlussbericht ist 14 Tage nach einer Korrekturmaßnahme bei ausgenutzten Schwachstellen einzureichen, und bei schwerwiegenden Vorfällen beträgt die Frist einen Monat. Die Meldeplattform wird bis zum 11. September 2026 verfügbar sein, wenn die Meldepflichten in Kraft treten.

Bereitstellung von Sicherheitsupdates über den gesamten Lebenszyklus 

Sicherheitsupdates müssen während der gesamten Lebensdauer des Produkts verfügbar sein und standardmäßig integriert sein. Genauso wie das Betriebssystem eines Laptops oder Smartphones relativ einfach aktualisiert werden kann, muss dies auch für die digitalen Komponenten jedes vernetzten Geräts gelten.

Die Verordnung schreibt eine Mindestunterstützungsdauer von mindestens fünf Jahren für Sicherheitsupdates vor (mit einigen Ausnahmen).

Dies umfasst die durchschnittliche Lebensdauer, die Erwartungen der Nutzer, Komponenten von Drittanbietern sowie gesetzliche Anforderungen, die über das Gesetz zur Cyber-Resilienz hinausgehen.

Klare technische Dokumentation und Benutzeranleitungen

Die meisten Hersteller stellen in irgendeiner Form technische Unterlagen zur Verfügung. Nun ist dies jedoch gesetzlich vorgeschrieben und Teil des Nachweises, dass die Vorschriften eingehalten wurden. Die technischen Unterlagen müssen Angaben zur Bewertung der Cybersicherheitsrisiken, zur Supportdauer, zu Prüfberichten als Nachweis der Konformität und vieles mehr enthalten.

Computer screen with a cybersecurity overlay visualizing the need for technical documentation

Die meisten Hersteller stellen in irgendeiner Form technische Dokumentation zur Verfügung. Nun ist dies jedoch gesetzlich vorgeschrieben und Teil des Nachweises, dass die Vorschriften eingehalten wurden. Die technische Dokumentation muss Einzelheiten zur Cybersicherheits-Risikobewertung, zum Supportzeitraum, zu Prüfberichten zum Nachweis der Konformität und mehr enthalten.

Axis ist gut auf die grundlegenden Anforderungen des CRA vorbereitet – und hat das Ziel, diese sogar zu übertreffen. Es ist wichtig, eng mit Partnern wie NXP Semiconductors zusammenzuarbeiten, die FIPS‑ und Common‑Criteria‑zertifizierte EdgeLock®‑Secure‑Elemente bereitstellen, um sicherzustellen, dass Händler und Endkunden wissen, dass die Produkte konform sind.

  • Das Axis Security Development Model (SDM) verankert Sicherheit im gesamten Software‑Lebenszyklus – von der anfänglichen Bedrohungsmodellierung und Penetrationstests vor der Veröffentlichung bis hin zu kontinuierlichem Schwachstellenmanagement und einem Bug‑Bounty‑Programm nach der Veröffentlichung. Dies gewährleistet einen proaktiven und fortlaufenden Ansatz für Softwaresicherheit.
  • Die Zusammenarbeit mit NXP unterstützt die Integration hardwarebasierter Sicherheitsfunktionen. Dazu gehört die Nutzung vertrauenswürdiger und zertifizierter EdgeLock‑Secure‑Elemente, die helfen, eine Hardware Root of Trust in Axis‑Geräten zu etablieren und Sicherheitsaspekte bereits in den frühesten Designphasen zu berücksichtigen.
  • Axis ist eine CNA, also eine CVE Numbering Authority, mit der Fähigkeit, CVE‑IDs für Schwachstellen zu vergeben. Dies erfolgt über die CVE‑Website, die eigene Website und per E‑Mail an Abonnenten, sodass alle Nutzer so schnell wie möglich über Risiken informiert werden.
  • Die Axis‑Gerätemanagementsoftware stellt Benachrichtigungen über Sicherheitsupdates bereit und ermöglicht automatische oder manuelle Aktualisierungen des AXIS OS – bei Bedarf auf hunderten Geräten. Enddaten des Softwaresupports sind leicht zugänglich.
  • SBOMs sind für die meisten auf AXIS OS basierenden Produkte, Netzwerkvideorekorder sowie für die meisten Axis‑Video‑ und Gerätemanagement‑Softwareprodukte verfügbar.

Der Cyber Resilience Act tritt am 11. Dezember 2027 vollständig in Kraft. Ab diesem Zeitpunkt müssen alle Hardware- und Softwareprodukte auf dem EU-Markt die Anforderungen vollständig erfüllen und mit der CE-Kennzeichnung versehen sein. Für Produkte, die sich bereits in der Entwicklung befinden, ist eine frühzeitige Vorbereitung von entscheidender Bedeutung.

Cybersecurity cover photo visualizing the eu cyber resilience act

Es gibt jedoch wichtige Termine, die beachtet werden sollten. Am 11. Juni 2026 tritt der Rahmen für die Notifizierung von Konformitätsbewertungsstellen in Kraft. Dies ist wichtig für Produkte, die als „wichtig“ oder „kritisch“ eingestuft werden und eine Bewertung durch Dritte erfordern.  

Von größerer Tragweite ist der 11. September 2026, ab dem Meldepflichten gelten. Hersteller müssen ab diesem Tag aktiv genutzte Schwachstellen melden.  

Der CRA gilt für alle Produkte, die nach Inkrafttreten des Gesetzes in Verkehr gebracht werden, auch wenn sie vor dessen Inkrafttreten entworfen und entwickelt wurden. 

Die Sanktionen bei Nichteinhaltung sind streng und sollen Unternehmen jeder Größe zur Einhaltung der Vorschriften anhalten. Die höchstmögliche Geldbuße beträgt bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist. 

Network camera with a cybersecurity overlay visualizing compliance towards the cra

Dies gilt für Verstöße gegen die wesentlichen Anforderungen an die Cybersicherheit. Geringere, aber dennoch erhebliche Geldbußen werden bei Verstößen wie Mängeln beim Umgang mit Sicherheitslücken oder der Übermittlung unvollständiger oder falscher Informationen auf eine Anfrage hin verhängt.

Selbst für Hersteller, die große Anstrengungen unternehmen, um sicherzustellen, dass ihre Produkte sicher sind und sicher bleiben, führt der CRA strenge Regeln dafür ein, wie sie dies gegenüber Regulierungsbehörden, ihren Kunden und ihren Vertriebspartnern dokumentieren und nachweisen müssen.

Die neuen Regeln verstärken die Notwendigkeit von Security by Design, das in jede Entscheidung beim Erstellen eines Produkts einfließt. Das bedeutet, dass die langfristige Sicherheitsbereitschaft von Designentscheidungen abhängt, die Jahre vor der Bereitstellung getroffen wurden – sie kann nicht nachträglich hinzugefügt oder eingepatcht werden.

Es gibt auch die Frage von Zugang und Vertrauen. Da die Einhaltung der Vorschriften von verschiedenen Teilen der Lieferkette abhängt, besteht ein klarer Bedarf für Unternehmen, die Anforderungen zu erfüllen, um sich gegenseitig zu schützen. Außerdem werden Kunden Anbietern und Herstellern mit einer sauberen Bilanz eher vertrauen.

Dies unterstreicht die Bedeutung einer engen Zusammenarbeit entlang der gesamten Wertschöpfungskette – von Komponentenlieferanten bis zu Geräteherstellern –, um die langfristige Cybersicherheitsbereitschaft zu unterstützen.

Andre Bastert

Andre Bastert ist Global Product Manager bei Axis Communications. Er ist verantwortlich für die AXIS OS-Softwareplattform, die Axis Netzwerkgeräte unterstützt. Andres Fokus liegt auf den Bereichen Cybersicherheit, IT-Infrastruktur/Sicherheitsintegration und Software-Lebenszykly-Management unserer Produkte. Andre begann seine Karriere bei Axis 2014 im technischen Servicebereich. Bevor er seine aktuelle Position antrat, arbeitete er als Produktspezialist für PTZ-Kameras und AXIS OS. Wenn Andre nicht arbeitet, verbringt er Zeit mit seiner Familie und mit Heimwerkerprojekten.

Mehr Beiträge lesen von Andre
Andre Bastert