Zurück zum Blog
SoftwareCRASicherheit

Cyber Resilience Act: Neue Sicherheitsanforderungen für Softwarehersteller

·8 Min. Lesezeit

Was ist der Cyber Resilience Act?

Der **Cyber Resilience Act (CRA)** ist eine EU-Verordnung, die verbindliche Cybersicherheitsanforderungen für **alle Produkte mit digitalen Elementen** einführt. Das betrifft Hardware und Software gleichermaßen – von IoT-Geräten über Desktop-Anwendungen bis hin zu SaaS-Plattformen.

Zeitplan

2024:: Inkrafttreten der Verordnung
2026:: Meldepflichten für Sicherheitsvorfälle greifen
2027:: Vollständige Anwendung aller Anforderungen
**Wichtig:** Die Übergangsfristen laufen bereits. Unternehmen, die Software entwickeln oder vertreiben, müssen **jetzt** mit der Vorbereitung beginnen.

Wen betrifft der CRA?

Direkt betroffen

Softwarehersteller:: Jedes Unternehmen, das Software auf dem EU-Markt bereitstellt
Hardware-Hersteller:: Geräte mit eingebetteter Software (IoT, Industriesteuerungen)
Importeure und Distributoren:: Wer Produkte in die EU einführt oder vertreibt

Auch Open-Source betroffen?

**Ja, mit Einschränkungen.** Open-Source-Projekte, die kommerziell genutzt oder als Teil eines kommerziellen Produkts vertrieben werden, fallen unter den CRA. Rein ehrenamtliche Open-Source-Projekte sind ausgenommen, aber die Abgrenzung ist in der Praxis nicht immer eindeutig.

Die wichtigsten Anforderungen

1. Security by Design

Sicherheit muss **von Anfang an** in den Entwicklungsprozess integriert werden. Nachträgliches Patchen reicht nicht mehr.

2. Schwachstellen-Management

Aktive Überwachung auf Schwachstellen über den gesamten Produktlebenszyklus
Sicherheitsupdates müssen kostenlos: bereitgestellt werden
Mindestens **5 Jahre** Unterstützung nach Markteinführung

3. Software Bill of Materials (SBOM)

Jedes Produkt muss eine maschinenlesbare **Auflistung aller verwendeten Softwarekomponenten** enthalten. Dazu gehören Open-Source-Bibliotheken und deren Lizenzen.

4. Meldepflichten

Aktiv ausgenutzte Schwachstellen müssen innerhalb von **24 Stunden** an die ENISA (EU-Agentur für Cybersicherheit) gemeldet werden.

5. CE-Kennzeichnung

Softwareprodukte benötigen künftig eine **CE-Kennzeichnung**, die die Konformität mit dem CRA bestätigt.

Praktische Schritte zur Vorbereitung

| Schritt | Maßnahme | Priorität |

|---|---|---|

| 1 | Produktinventar erstellen: Welche Software vertreiben wir? | Hoch |

| 2 | SBOM-Prozess einführen | Hoch |

| 3 | Secure Development Lifecycle (SDL) implementieren | Hoch |

| 4 | Vulnerability-Management-Prozess aufsetzen | Mittel |

| 5 | Meldeprozesse für Sicherheitsvorfälle definieren | Mittel |

| 6 | Dokumentation für CE-Konformität vorbereiten | Mittel |

Strafen bei Nichteinhaltung

Die Sanktionen sind empfindlich:

Bis zu **15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes**
Möglicher **Rückruf** von Produkten vom EU-Markt
Vertriebsverbot: bis zur Herstellung der Konformität

Fazit

Der Cyber Resilience Act ist keine optionale Empfehlung, sondern wird **EU-Recht**. Softwarehersteller, die frühzeitig in Sicherheitsprozesse investieren, verschaffen sich einen Wettbewerbsvorteil. Wer wartet, riskiert hohe Strafen und den Verlust des EU-Marktzugangs.

Interesse geweckt?

Lassen Sie uns über Ihr Projekt sprechen.

Kontakt aufnehmen
WhatsApp Chat