Lexikon · Recht & Normen
Cyber Resilience Act (CRA)
Verordnung (EU) 2024/2847
Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die verbindliche Cybersicherheitsanforderungen an Produkte mit digitalen Elementen stellt, von der sicheren Entwicklung über das Schwachstellenmanagement bis zur CE-Kennzeichnung.
Ausführliche Erklärung
Der CRA (Verordnung (EU) 2024/2847) reguliert nicht Organisationen, sondern Produkte. Betroffen sind Hersteller, Importeure und Händler von Hardware und Software mit digitalen Elementen, die in der EU auf den Markt kommen. Ziel ist ein durchgängig hohes Sicherheitsniveau über den gesamten Produktlebenszyklus.
Der CRA ist am 10. Dezember 2024 in Kraft getreten und gilt gestaffelt: Die Meldepflicht für aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle greift ab dem 11. September 2026, die übrigen Pflichten ab dem 11. Dezember 2027. Verstöße gegen die grundlegenden Anforderungen können mit bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes geahndet werden.
Anders als NIS2, das Betreiber und Einrichtungen adressiert, setzt der CRA am Produkt an. Ein IT-Hersteller kann daher zugleich als NIS2-Einrichtung und als CRA-pflichtiger Hersteller in beide Regelwerke fallen.
Verwandte Begriffe
Produkte mit digitalen Elementen
Produkte mit digitalen Elementen sind Software- und Hardwareprodukte, deren bestimmungsgemäße Verwendung eine direkte oder indirekte Daten- oder Netzwerkverbindung einschließt. Sie bilden den Anwendungsbereich des Cyber Resilience Act.
Konformitätsbewertung / CE-Kennzeichnung
Die Konformitätsbewertung ist das Verfahren, mit dem ein Hersteller nachweist, dass ein Produkt die gesetzlichen Anforderungen erfüllt. Als sichtbares Ergebnis wird die CE-Kennzeichnung angebracht, unter dem CRA auch für die IT-Sicherheit.
SBOM (Software Bill of Materials)
Eine SBOM (Software Bill of Materials) ist ein strukturiertes Verzeichnis aller Software-Bestandteile eines Produkts, einschließlich Fremd- und Open-Source-Komponenten. Sie ist Grundlage, um Schwachstellen schnell zuzuordnen.
Koordinierte Schwachstellen-Offenlegung (CVD)
Die koordinierte Schwachstellen-Offenlegung (CVD) ist ein geregelter Prozess, über den Sicherheitsforscher gefundene Schwachstellen vertraulich an den Hersteller melden, damit dieser sie vor einer Veröffentlichung beheben kann.
NIS2
NIS2 ist die EU-Richtlinie zur Cybersicherheit, die für Unternehmen in 18 kritischen Sektoren verbindliche Risikomanagement- und Meldepflichten einführt und in Deutschland über das BSIG umgesetzt wird.
Meldepflicht
Eine Meldepflicht verpflichtet Organisationen, bestimmte Sicherheitsvorfälle oder Datenpannen innerhalb festgelegter Fristen an Behörden und gegebenenfalls Betroffene zu melden.
Cyber Resilience Act (CRA) in der Praxis umsetzen
CompliantDesk bringt ISO 27001, NIS2, DSGVO und weitere Frameworks in einer Plattform zusammen, mit gemeinsamem Kern-Modell statt doppelter Dokumentation.
