Cyber Resilience Act EUCC

CRA umsetzen: Cyber Security Anforderungen an den Produktlebenszyklus nach Anhang 1

6 Minuten zum Lesen
Lars Roith
CRA umsetzen: Cyber Security Anforderungen an den Produktlebenszyklus nach Anhang 1
Die erste Anforderung aus Anhang 1 des Cyber Resilience Act praxisnah erläutert: Bedeutung, Pflichten, Fallstricke und Tipps für Hersteller.

Unsere bisherigen Beiträge zum CRA bieten eine solide Grundlage, um die Anforderungen des CRA zu verstehen und erste Schritte zur Umsetzung zu planen. In diesem und den folgenden Artikeln gehen wir einen Schritt tiefer und schauen uns die einzelnen Anforderungen konkret an. Wir geben Hilfe bei der Interpretation und praktische Tipps zur Umsetzung.

Überblick – Was steckt in Anhang 1?

Anhang 1 der Verordnung 2024/2847, auch bekannt als Cyber Resilience Act, beschreibt die von Herstellern von Produkten mit digitalen Elementen zu erfüllenden Anforderungen. In 22 Anforderungen, verteilt auf 2 Teile und zusammengefasst auf nur anderthalb DIN-A4-Seiten, steht geschrieben, was Ihr Produkt künftig erfüllen muss. Teil 1 beschreibt die Cybersecurity-Anforderungen in Bezug auf die Eigenschaften der Produkte, während Teil 2 die Anforderungen zur Behandlung von Schwachstellen adressiert. Wir beginnen heute mit einem Blick auf Teil 1, Anforderung 1:

“Produkte mit digitalen Elementen werden so konzipiert, entwickelt und hergestellt, dass sie angesichts der Risiken ein angemessenes Cybersicherheitsniveau gewährleisten.”

Wir sezieren diesen simplen Satz Wort für Wort, um die Tragweite sowie Handlungsoptionen sichtbar zu machen.

„Produkte mit digitalen Elementen …“

Bereits im Beitrag CRA kompakt: Produkte mit digitalen Elementen – Wichtig, kritisch und der Rest? wurde grundlegend erläutert, welche Produkte überhaupt vom Cyber Resilience Act erfasst werden. An dieser Stelle knüpft die erste Anforderung aus Anhang 1 unmittelbar an. Es genügt nicht, ein Produkt pauschal als „sicher“ zu bezeichnen. Vielmehr ist zunächst eine klare Bestandsaufnahme erforderlich, welche digitalen Elemente tatsächlich im Produkt enthalten sind. Diese Identifizierung bildet die Grundlage, um für das Gesamtprodukt die Anforderungen an ein angemessenes Cybersicherheitsniveau umzusetzen. Gleichzeitig ist zu berücksichtigen, dass ein modernes Produkt in der Regel nicht vollständig eigenständig entwickelt wird, sondern auf zahlreiche Drittkomponenten, Module und Zulieferungen angewiesen ist.

Daraus folgt unweigerlich die Pflicht, nicht nur das eigene Entwicklungsergebnis zu betrachten, sondern ebenso die Herkunft, Qualität und Integrität der zugekauften Bestandteile zu kennen und zu kontrollieren. Eine besondere Herausforderung stellt hierbei die Verwendung von Open-Source-Komponenten dar. Der ursprüngliche Urheber einer Open-Source-Lösung kann rechtlich nicht verpflichtet werden, die Anforderungen des CRA zu erfüllen oder Sicherheitsgarantien abzugeben. Hersteller, die auf Open Source setzen, haben daher zwei Handlungsoptionen: Entweder wird ein Dritter gefunden, der für diese Komponente vertraglich die Herstellerpflichten übernimmt und entsprechende Sicherheitsgarantien liefert, oder der Hersteller selbst trägt sämtliche Verpflichtungen und muss sicherstellen, dass die Open-Source-Bestandteile den Anforderungen des CRA genügen.

Im Fall von zugelieferten oder offenen Komponenten darf sich der Hersteller jedenfalls nicht auf bloße Zusicherungen verlassen. Vielmehr ist es erforderlich, vertraglich sicherzustellen, dass der Lieferant definierte Sicherheitsstandards einhält und deren Umsetzung auch belegen kann. Ein bloßes Recht, Prüfungen durchführen zu dürfen, wird im Zweifel nicht ausreichen, um den Nachweis gegenüber Aufsichtsbehörden zu erbringen. Es wird daher unumgänglich sein, entsprechende vertragliche Verpflichtungen zu formulieren, regelmäßige Audits einzuplanen und sich die Erfüllung der vereinbarten Anforderungen durch geeignete Nachweise dokumentieren zu lassen. Auf diese Weise wird die Verantwortung für ein angemessenes Cybersicherheitsniveau nicht einfach ausgelagert, sondern systematisch über die gesamte Lieferkette hinweg abgesichert.

„… werden so konzipiert, entwickelt und hergestellt …“

Dieser Satzteil verpflichtet den Hersteller, die Anforderungen des CRA von Anfang an in allen Phasen umzusetzen: bei der Konzeption, der Entwicklung und der Herstellung. Es reicht nicht, Sicherheitsprobleme erst dann zu beheben, wenn sie auftreten. Vielmehr muss schon in der Planungsphase systematisch bewertet werden, welche Risiken bestehen und wie sie im Design und in den technischen Spezifikationen berücksichtigt werden. Während der Entwicklung muss dieses Sicherheitskonzept umgesetzt und in funktionierenden Prozessen verankert werden. Auch die Herstellung selbst darf kein blinder Fleck sein: Sie muss so gestaltet sein, dass das Produkt so gebaut und ausgeliefert wird, wie es geplant und entwickelt wurde – ohne Abweichungen oder Sicherheitslücken durch unsaubere Fertigung oder unklare Abläufe. All diese Schritte müssen dabei nicht nur einmal definiert, sondern nachvollziehbar dokumentiert, von den beteiligten Teams gelebt und regelmäßig überprüft und gepflegt werden. So stellt der Hersteller sicher, dass Cybersicherheit nicht nur ein Plan auf dem Papier bleibt, sondern in jedem Stadium des Produktlebenszyklus praktisch umgesetzt wird.

„… dass sie angesichts der Risiken …“

Die Formulierung macht klar, dass es keine absolute Sicherheit gibt, sondern dass der Hersteller eine fundierte Risikobewertung vornehmen und regelmäßig pflegen muss. Er legt dabei selbst fest, welche Bedrohungen für sein Produkt realistisch sind, welche Angreiferprofile er berücksichtigt und welche Angriffswege er absichert. Dabei ist Fingerspitzengefühl gefragt: Einerseits darf er keine relevanten Risiken ausblenden oder schönreden, um sich Aufwand zu sparen; andererseits verlangt der CRA nicht, dass er hypothetische oder überzogene Worst-Case-Szenarien konstruiert, die in der Praxis keine Rolle spielen. Gerade weil der CRA an vielen Stellen noch unklar ist und konkrete Normen oder Leitlinien teilweise erst entstehen werden, ist es für Hersteller ratsam, pragmatisch zu starten und lieber eine nachvollziehbare, begründete Risikoeinschätzung zu dokumentieren, die sich bei Bedarf erweitern oder anpassen lässt. Wer abwartet, bis jede Kleinigkeit standardisiert ist, verliert Zeit und riskiert, später in hektischem Aktionismus Lücken stopfen zu müssen, die sich mit einer lebendigen Risikobewertung von Anfang an viel eleganter schließen lassen.

„… ein angemessenes Cybersicherheitsniveau gewährleisten.“

Die Pflicht, „ein angemessenes Cybersicherheitsniveau“ zu gewährleisten, bedeutet für den Hersteller, dass er seine Schutzmaßnahmen im Verhältnis zu den ermittelten Risiken auswählt und umsetzt. Angemessen heißt nicht perfekt, sondern verhältnismäßig und technisch realisierbar. Je höher die potenziellen Schäden für Nutzer, Umwelt oder andere Systeme, desto robuster muss die Sicherheit sein. Gleichzeitig soll der Aufwand wirtschaftlich vertretbar bleiben. Dieses Niveau darf nicht einmalig festgelegt werden, sondern muss über den gesamten Produktlebenszyklus hinweg überprüft und angepasst werden – zum Beispiel, wenn neue Bedrohungen auftreten oder Schwachstellen bekannt werden. Der Hersteller muss diese Angemessenheit jederzeit belegen können, etwa durch nachvollziehbare Risikobewertungen, dokumentierte Entscheidungen zu Schutzmaßnahmen und regelmäßige Tests. Wer hier unsauber arbeitet, läuft Gefahr, im Ernstfall weder Behörden noch Kunden überzeugend erklären zu können, warum sein Produkt sicher genug sein soll.

Fazit

Die erste Anforderung aus Anhang 1 mag auf den ersten Blick unscheinbar wirken, entfaltet jedoch bei genauerer Betrachtung enorme Wirkung: Sie zieht sich wie ein roter Faden durch den gesamten Produktlebenszyklus und zwingt Hersteller dazu, Cybersicherheit von Anfang an als festen Bestandteil der eigenen Entwicklungs- und Lieferkettenprozesse zu begreifen. Es reicht nicht, einzelne Sicherheitsmaßnahmen punktuell umzusetzen – vielmehr verlangt der CRA ein konsistentes, dokumentiertes und gelebtes Sicherheitsniveau, das an die realen Risiken angepasst ist und sich bei Bedarf weiterentwickelt. Wer diesen Grundsatz ernst nimmt, legt ein belastbares Fundament für die Erfüllung aller weiteren, detaillierteren Anforderungen des Anhangs 1. Wer hingegen zögert, riskiert unnötige Nacharbeiten, erhöhte Kosten und im schlimmsten Fall regulatorische Konsequenzen. Es lohnt sich daher, gerade diese erste Anforderung nicht als bloße Überschrift zu betrachten, sondern als konkrete Handlungsanweisung für eine nachhaltige und überprüfbare Cyber-Resilienz.

Unser CRA-Workshop bietet Ihnen einen kompakten Einstieg und hilft, betroffene Produkte und Pflichten zu identifizieren.

Autoren

Lars Roith

Lars Roith

Lars berät Unternehmen und Entwicklungsteams ganzheitlich bei der Umsetzung ihrer Softwareentwicklungsprojekte, von den Prozessen über die Anforderungen und Architekturen bis hin zu Umsetzung und Betrieb.