5 Dinge, die jedes Pro­duk­tun­ter­neh­men wissen muss, bevor das EU-Gesetz zur Cyber-Resilienz in Kraft tritt

Viele Jahre lang konnten Hersteller vernetzte Produkte verkaufen, ohne nennenswerten rechtlichen Verpflichtungen hinsichtlich ihrer Sicherheit nachkommen zu müssen. Cybersicherheit wurde als optional betrachtet, als eine Funktion, die später hinzugefügt werden sollte, oder einfach ignoriert. Gleichzeitig hat die Zahl der Cyberangriffe auf vernetzte Systeme rapide zugenommen.

Die EU hat das Gesetz zur Cyber-Resilienz (Cyber Resilience Act) erlassen, um diese Situation zu ändern. Für Hersteller von Industrieausrüstung bringt es grundlegende Veränderungen hinsichtlich der Art und Weise mit sich, wie Produkte in der EU entwickelt, dokumentiert, unterstützt und verkauft werden.

Der CRA, offiziell Verordnung (EU) 2024/2847, trat am 10. Dezember 2024 mit einer dreijährigen Übergangsfrist in Kraft. Ab dem 11. September 2026 müssen Hersteller jedoch innerhalb von 24 Stunden ausgenutzte Schwachstellen melden, einschließlich solcher, die bereits auf dem Markt befindliche Produkte betreffen. Nach Ablauf der endgültigen Frist ist die vollständige Einhaltung der Vorschriften erforderlich.

Die CRA gilt für alle Produkte mit digitalen Elementen, die in der EU in Verkehr gebracht werden und direkt oder indirekt mit einem Gerät oder Netzwerk verbunden werden können. Sie gilt für Hardware wie Antriebe, SPSen, Roboter und Sensoren, für eigenständige Software wie SCADA-Software und Konfigurationstools sowie für Fernzugriffslösungen wie Cloud-Dienste.

Die Verordnung gilt nicht nur für Hersteller, sondern auch für Bevollmächtigte von Herstellern aus Nicht-EU-Ländern, Importeure und Händler. Sie alle müssen sicherstellen, dass die Produkte den Anforderungen der CRA entsprechen. Ohne nachgewiesene CRA-Konformität ist die CE-Kennzeichnung nicht zulässig, und das Produkt darf nicht auf dem EU-Markt in Verkehr gebracht werden.

Das CRA basiert auf drei Grundprinzipien: Sicherheit durch Design und standardmäßige Sicherheit über den gesamten Produktlebenszyklus hinweg. In der Entwurfsphase müssen Hersteller Sicherheitsrisiken bewerten und das Produkt so gestalten, dass diese Risiken gemindert werden.

Wenn ein Produkt das Werk verlässt, muss es in einem sicheren Zustand konfiguriert sein, ohne dass der Kunde zusätzliche Maßnahmen ergreifen muss. Hersteller müssen mindestens fünf Jahre nach dem Verkauf Updates bereitstellen oder länger, sofern das Produkt weiterhin genutzt wird.

Während typische Konsumgüter ohnehin schon nach wenigen Jahren ersetzt werden, haben viele Industrieprodukte Lebenszyklen, die sich über Jahrzehnte erstrecken. Dies zwingt die Hersteller dazu, sich zu einer langfristigen Sicherheitsunterstützung zu verpflichten, selbst für ältere Geräte. Dies stellt eine erhebliche Veränderung gegenüber der derzeitigen Praxis dar.

Komplexe eingebettete Software und Abhängigkeiten in der Lieferkette erschweren die Situation zusätzlich. Produkte mit hohem Risiko, wie sie beispielsweise in kritischen Infrastrukturen zum Einsatz kommen, erfordern unter Umständen Audits durch unabhängige Dritte.

Alle Produkte müssen etwa ein Dutzend Sicherheitsanforderungen erfüllen, und die Einhaltung dieser Anforderungen muss durch entsprechende Unterlagen nachgewiesen werden. Hersteller müssen Risikobewertungen zur Cybersicherheit durchführen. Sie müssen technische Unterlagen zum Design und zur Sicherheitsarchitektur bereitstellen und diese mindestens 10 Jahre lang aufbewahren.

Es ist entscheidend, den Fokus auf SBOMs (Software Bill of Materials) für jedes Produkt zu legen, da diese für die behördliche Überprüfung benötigt werden und ihre nachträgliche Erstellung Zeit kostet. Sie müssen in einem maschinenlesbaren, gängigen Format vorliegen. Sie sind zudem entscheidend für den Betrieb von Echtzeit-Schwachstellenmeldesystemen, die öffentliche Schwachstellendatenbanken mit den SBOMs abgleichen können.

Benötigen Sie Unterstützung bei der Bewertung Ihrer CRA-Dokumentation, Ihrer SBOM-Bereitschaft oder der Anforderungen an die Cybersicherheits-Compliance? Sprechen Sie mit unseren Cybersicherheitsspezialisten.

Die Nichteinhaltung der Vorschriften kann zu Geldstrafen, einem Ausschluss vom Markt und Reputationsschäden führen.

Erfüllt ein Unternehmen die wesentlichen Anforderungen an die Cybersicherheit nicht, kann die Geldstrafe 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist. Die Geldstrafe für die nicht rechtzeitige Meldung ausgenutzter Sicherheitslücken kann 10 Millionen Euro betragen. Die EU kann zudem den Verkauf von Produkten verbieten, Rückrufe anordnen und Verstöße öffentlich bekanntgeben.

Agentische KI kann die Einhaltung von Vorschriften beschleunigen, indem sie die Erstellung von SBOMs und Dokumentation automatisiert, die Bedrohungsmodellierung unterstützt und Penetrationstests fördert.

Technologie allein reicht jedoch nicht aus. Der schnellste und beste Weg nach vorn ist die Zusammenarbeit mit einem Unternehmen, das sich mit der CRA und dem Industrietechnikwesen auskennt. Jetzt ist es an der Zeit zu handeln.

Bereiten Sie sich auf das EU-Gesetz zur Cyber-Resilienz vor? Etteplan unterstützt Produkthersteller dabei, Compliance-Lücken zu identifizieren, Cybersicherheitsprozesse zu stärken und die Vorbereitungen zu beschleunigen.