Cyber Resilience Act Security Compliance Standards

CRAZY About Product Cybersecurity – Die wichtigsten Erkenntnisse für Hersteller im CRA-Zeitalter

6 Minuten zum Lesen
Lars Roith
CRAZY About Product Cybersecurity – Die wichtigsten Erkenntnisse für Hersteller im CRA-Zeitalter
Das erste große Stakeholder-Event der EU-Kommission zum CRA brachte Klarstellungen, praktische Tipps und viele offene Fragen. Hier sind die wichtigsten Erkenntnisse für Hersteller.

Das erste große Stakeholder-Event „CRAZY About Product Cybersecurity” der EU-Kommission war genau das, was viele erwartet hatten: randvoll mit Klarstellungen, Unsicherheiten, praktischen Tipps und einer Menge offener Fragen.

Für alle, die nicht live dabei waren oder sich nicht durch unzählige Slido-Fragen scrollen wollen, habe ich die wichtigsten Punkte zusammengefasst, die für die Erfüllung des Cyber Resilience Act (CRA) wirklich zählen.

1. „Security by Design” und „Security by Default” sind jetzt Gesetz – kein Marketing

Die Kommission hat sehr deutlich gemacht, dass mit dem CRA EU-weite, verpflichtende Cybersecurity-Anforderungen für alle Produkte mit digitalen Elementen Realität geworden sind. „Wir bringen Security-by-Design und Security-by-Default auf ein verpflichtendes Niveau. Es ist nicht mehr optional”, so die klare Botschaft.

Für Hersteller bedeutet das konkret, dass Sicherheitsanforderungen bereits ab der ersten Produktidee in Architektur und Design einfließen müssen. Es reicht nicht mehr, Sicherheit nachträglich anzuflanschen. Ebenso müssen Default-Konfigurationen von Haus aus sicher sein. Das bedeutet das Ende für Standard-Passwörter oder unnötig offene Ports bei Auslieferung. All dies, sowohl die technische Umsetzung als auch die zugrundeliegenden Entscheidungen, muss risikobasiert dokumentiert und nachweisbar sein.

2. Risikoanalyse: Kein vorgeschriebenes Framework, aber volle Verantwortung

Eine der meistgestellten Fragen drehte sich um die vorgeschriebene Methode für die CRA-Risikoanalyse. Die Antwort der Kommission ist simpel: Es gibt keine einzelne vorgeschriebene Methode. Hersteller haben die Freiheit, jedes Framework zu nutzen, solange es vollständig, produktbezogen und nachweisbar ist und die Anforderungen aus Artikel 13 abdeckt.

In der Praxis bedeutet das, dass etablierte Standards wie IEC 62443, ISO 27005, ISO 21434 oder ETSI EN 303 645 eine hervorragende Basis bilden. Wichtig ist jedoch zu verstehen, dass die Risikoanalyse keine einmalige Aufgabe ist. Sie muss während des gesamten Lebenszyklus des Produkts aktualisiert werden, und die Ergebnisse gehören zwingend in die Technische Dokumentation (Annex VII).

3. „No Known Exploitable Vulnerabilities” – was es wirklich bedeutet

Die Formulierung „keine bekannten ausnutzbaren Schwachstellen” sorgt für Verunsicherung. Rückfragen zeigen, dass Hersteller zurückhaltend agieren und den Wortlaut des CRA nicht selbst interpretieren. Das wird aber notwendig sein und die eigene Risikobewertung ist die Grundlage hierfür.

Für das Thema der “bekannten ausnutzbaren Schwachstellen” wurde klargestellt: Eine theoretische Schwachstelle, die sich nur unter extremen Laborbedingungen ausnutzen lässt, fällt nicht zwangsläufig darunter. Hersteller müssen jedoch in der Lage sein, nachzuweisen, wie sie die Ausnutzbarkeit beurteilen und wie sie Informationen über neue Bedrohungen überwachen, sei es durch Vulnerability-Feeds, CERTs oder die Analyse ihrer Software Bill of Materials (SBOM). Sollte nach dem Markteintritt eine Schwachstelle bekannt werden, muss diese im Rahmen der Supportperiode behoben werden. Das Produkt muss dafür aber nicht erneut den kompletten Marktzulassungsprozess durchlaufen.

4. Reporting-Pflichten: 2026 kommt schneller als man denkt

Viele Fragen der Teilnehmer drehten sich um die Meldepflichten: Wann, wo und was muss gemeldet werden? Die Kernaussage ist, dass ab September 2026 Hersteller verpflichtet sind, aktiv ausgenutzte Schwachstellen sowie schwere Sicherheitsvorfälle zu melden. Diese Meldung muss gleichzeitig an das nationale CSIRT und die ENISA erfolgen.

Auch wenn das standardisierte Meldeformat und die geplante „Single Reporting Platform” noch in Arbeit sind, sollten Hersteller nicht warten. Es ist ratsam, schon jetzt Prozesse für Incident Detection, Assessment und Reporting zu definieren und die Zuständigkeiten zwischen Engineering, Compliance und Legal zu klären. Zudem muss das Logging und Monitoring im Produkt technisch so ausgelegt sein, dass relevante Vorfälle überhaupt erst erkannt werden können.

5. Standardisierung: Horizontale Standards kommen zuerst

Das Thema Standards brannte vielen unter den Nägeln, insbesondere für Produkte der Kategorie „Default”. Der aktuelle Stand ist, dass die EU den Organisationen CEN, CENELEC und ETSI einen umfassenden Standardisierungsauftrag erteilt hat.

Die EU unterscheidet bei der Standardisierung klar zwischen horizontalen Standards, die produktagnostische Grundlagen, Methoden und technische Sicherheitsmaßnahmen definieren (z. B. ein allgemeines CRA-Lifecycle-Framework, generische Sicherheitskontrollen oder der horizontale Standard für Vulnerability Handling), und vertikalen Standards, die spezifische Produktkategorien adressieren (z. B. Router, Betriebssysteme, Antivirus-Software, Password Manager, Webbrowser oder Smart-Card-Hardware).

Zuerst werden im Jahr 2026 horizontale Standards erwartet. Die spezifischeren vertikalen Standards für Produktkategorien werden erst später folgen. Bis dahin sollten sich Hersteller an den bestehenden Normen orientieren, vor allem an der ETSI EN 303 645 und der IEC 62443, und den Fortschritt auf Plattformen wie stan4cra.eu verfolgen.

6. Komponenten, Lieferkette & Open Source: Der CRA wird ernst

Ein großer Themenblock betraf die Lieferkette: Wie geht man mit Komponenten aus Drittstaaten, Open Source Software (OSS) oder der Klassifizierung von Mikrocontrollern um? Die Essenz ist, dass auch Zulieferer CRA-Pflichten erfüllen müssen, sobald ihre Komponenten als Produkte mit digitalen Elementen in der EU auf den Markt kommen.

Hersteller stehen hier in der Pflicht, eine sorgfältige Prüfung (Due Diligence) nachzuweisen. Das erfordert geeignete Dokumente, SBOMs und klare Aussagen zu den Sicherheitseigenschaften der zugekauften Teile. Zwar ist reine Open-Source-Software nicht automatisch CRA-pflichtig, doch wer sie in ein kommerzielles Produkt integriert, übernimmt die volle Verantwortung für deren Sicherheit. Das macht ein striktes Management der Lieferkette und vertragliche Regelungen zu Security und Vulnerability Handling unabdingbar. Ohne eine saubere SBOM wird diese Sorgfaltspflicht kaum zu erfüllen sein.

7. Klassifizierung von Produkten: Default, Important, Critical

Unsicherheit herrschte auch bei der Frage, wer die Produkte eigentlich klassifiziert. Die Antwort ist eindeutig: Die Hersteller klassifizieren ihre Produkte selbst, die Marktüberwachung prüft dies lediglich stichprobenartig oder anlassbezogen.

Ein wichtiges Detail zur Beruhigung: Wenn ein Standardprodukt („Default”) eine Komponente der Klasse I enthält (z. B. einen bestimmten Mikrocontroller), wird dadurch nicht automatisch das gesamte Produkt zur Klasse I hochgestuft. Die Klassifizierung betrachtet das Produkt in seiner Gesamtheit und Funktion.

8. Substantial Modification: Ja, Updates können kritisch sein

Gerade Industrieunternehmen treibt die Sorge um, was bei häufigen Updates passiert. Die Frage „Was passiert, wenn wir ein Produkt täglich mit sicherheitsrelevanten Updates aktualisieren?” zeigt die Brisanz.

Die Kommission räumte ein, dass das Thema „wesentliche Änderung” (substantial modification) komplex ist und weitere Leitlinien folgen werden. Als Faustregel gilt jedoch: Kleine Bugfixes stellen keine substantielle Änderung dar. Große Feature-Upgrades hingegen bewegen sich in einer riskanten Zone und können unter Umständen eine neue Konformitätsbewertung erforderlich machen.

Fazit: Der CRA ist weniger Bürokratie – und mehr Struktur

Das Event hat eines deutlich gezeigt: Die EU will Hersteller nicht mit Bürokratie ausbremsen, sondern Verlässlichkeit im Markt schaffen. Zwar sind viele Detailfragen noch offen, aber die Stoßrichtung ist klar. Hersteller, die Themen wie Dokumentation, Risikoanalysen, SBOMs und Secure Development bereits heute auf solide Beine stellen, werden 2027 nicht in Stress geraten – sondern einen echten Wettbewerbsvorteil haben.

Wer sich das Event nochmals anschauen will, findet die Aufzeichnung auf Youtube. An der Stelle sei auch nochmals auf die CRA-Webseiten der Europäischen Kommission hingewiesen. Auf denen finden sich mehr und mehr Informationen, die CRA-Betroffenen helfen, die Anforderungen des CRA zu verstehen und zu meistern.

Sie möchten schneller loslegen? Unser CRA-Workshop hilft Ihnen beim Einstieg – kompakt, praxisnah und mit einem klaren Fahrplan. Gerne begleiten wir Sie auch bei der weiteren Umsetzung.

Autoren

Lars Roith

Lars Roith

Lars ist Solution Consultant und berät Unternehmen und Entwicklungsteams ganzheitlich bei der Umsetzung ihrer Softwareentwicklungsprojekte, von den Prozessen über die Anforderungen und Architekturen bis hin zu Umsetzung und Betrieb.