Requirements Cyber Resilience Act Compliance

Der Cyber Resilience Act und angrenzende EU-Vorschriften

6 Minuten zum Lesen
Lars Roith
Der Cyber Resilience Act und angrenzende EU-Vorschriften
Welche EU-Vorgaben helfen bei der CRA-Umsetzung? Dieser Beitrag zeigt, wie angrenzende Verordnungen, Normen und nationale Leitlinien zusammenspielen und wie Hersteller davon profitieren können.

Unsere bisherigen Beiträge zum CRA haben gezeigt, welche Anforderungen Hersteller an die Cybersicherheit ihrer Produkte von der sicheren Entwicklung bis zum Umgang mit Schwachstellen nach der Markteinführung erfüllen müssen. Der CRA ist aber nicht alleinstehend. Daher lohnt sich ein Blick auf zusätzliche Regulatorien und Normen, die bei der Erfüllung des CRA helfen.

Dieser Beitrag zeigt, welche Vorschriften branchen- oder produktabhängig relevant sein können und wie sie sich auf die CRA-Umsetzung auswirken. Wer beispielsweise bereits der MDR, der Maschinenverordnung, DORA oder UNECE R155 unterliegt, erfüllt viele Anforderungen des CRA oft schon teilweise oder vollständig. Für diese Hersteller bedeutet der CRA meist kein kompletter Neuanfang, sondern eher eine Konsolidierung bestehender Pflichten.

Gleichzeitig ist klar: Es ergibt wenig Sinn, sich auf sämtliche dieser Vorschriften zu stützen, wenn sie die eigene Branche gar nicht betreffen. Ziel dieses Beitrags ist deshalb nicht, alles zu übernehmen, sondern gezielt aufzuzeigen, welche externen Anforderungen in welchen Fällen tatsächlich weiterhelfen – und wann man sie getrost ignorieren darf.

Der Cyber Resilience Act legt erstmals EU-weit verbindliche Anforderungen an die Cybersicherheit von Produkten mit digitalen Elementen fest. Er betrifft nahezu alle Geräte und Softwarelösungen, die mit einem Netzwerk verbunden sind. Hersteller werden dadurch verpflichtet, bereits bei der Entwicklung Sicherheit systematisch mitzudenken, ein Schwachstellenmanagement aufzubauen und ihre Produkte während des gesamten Lebenszyklus abzusichern. Zusätzlich müssen sie aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden melden und entsprechende Prozesse nachweisen. Auch die CE-Kennzeichnung wird erweitert und künftig nur bei erfüllten Sicherheitsanforderungen vergeben. Der CRA ist damit kein zusätzlicher Flickenteppich, sondern ein verbindlicher Rahmen, der bereits bekannte Prinzipien wie Security by Design und durchgängige Pflegeprozesse verbindlich macht. In Kombination mit bestehenden Vorschriften entsteht so ein konsistenter Rechtsrahmen, der idealerweise nicht bei null beginnt, sondern auf etablierten Strukturen aufbaut.

Datenzugang und Cybersicherheit – der EU Data Act unterstützt die CRA-Umsetzung

Der EU Data Act soll sicherstellen, dass Daten aus vernetzten Produkten fair und zugänglich genutzt werden können. Hersteller müssen daher Strukturen schaffen, die einen kontrollierten Zugriff auf Produktdaten durch Nutzer und autorisierte Dritte ermöglichen. Diese Anforderungen ergänzen den CRA, denn Datenzugriff muss sicher und manipulationsgeschützt erfolgen. Wer seine Produktarchitektur so gestaltet, dass Datenportabilität und Zugriffsrechte sicher verwaltet werden, erfüllt nicht nur den Data Act, sondern verbessert auch die Sicherheitsarchitektur im Sinne des CRA.

Künstliche Intelligenz im Produkt – wie der AI Act die CRA-Anforderungen erweitert

Enthält ein Produkt KI-basierte Komponenten, gelten zusätzlich die Vorgaben des EU AI Act. Der AI Act klassifiziert KI-Systeme nach Risiko und verpflichtet zu Dokumentation, Transparenz und menschlicher Kontrollmöglichkeit. Diese Anforderungen passen direkt zu den CRA-Zielen wie nachvollziehbare Produktfunktion und Risikoanalyse. Die Integration von AI Act Vorgaben in das technische Risikomanagement hilft, die CRA-Pflichten fundiert umzusetzen, insbesondere bei Produkten mit autonomen oder adaptiven Funktionen.

NIS 2 schafft systemische Voraussetzungen für CRA-konforme Lieferketten

Die NIS 2-Richtlinie richtet sich zwar vorrangig an Betreiber kritischer Einrichtungen, hat aber direkte Auswirkungen auf Hersteller. Diese müssen nachweisen, dass ihre Produkte zur sicheren Gesamtinfrastruktur beitragen. In vielen Fällen werden CRA-konforme Produkte zur Voraussetzung für eine Belieferung in NIS 2-regulierte Branchen. Hersteller, die klare Update-Strategien, Meldeprozesse für Schwachstellen und eine durchgängige Dokumentation etablieren, schaffen damit nicht nur CRA-Konformität, sondern auch Vertrauen in sicherheitskritischen Sektoren.

Ergänzende Vorschriften für Produktsicherheit, Maschinen und Funkanlagen

Die Produktsicherheitsverordnung, die Maschinenverordnung sowie die überarbeitete Funkanlagenrichtlinie (RED) tragen zur operativen Umsetzung des CRA bei. Sie fordern ebenfalls sichere Produktgestaltung, Risikoanalyse und Schutz gegen Manipulation und Datenverlust. Hersteller profitieren von der Harmonisierung dieser Vorschriften, da viele der dort geforderten Prinzipien wie Security by Design, Dokumentation und Benutzeraufklärung deckungsgleich mit den CRA-Anforderungen sind.

Medizinprodukte und CRA – hohe Sicherheitsstandards als Parallele

Medizinprodukte unterliegen bereits heute strengen regulatorischen Anforderungen. Die Medical Device Regulation fordert ein umfassendes Risikomanagement über den gesamten Produktlebenszyklus. Normen wie ISO 14971 und IEC 62304 unterstützen die Einhaltung. Diese Standards helfen auch bei der CRA-Umsetzung, insbesondere beim Schwachstellenmanagement, bei Patches und bei der technischen Dokumentation.

DORA im Finanzsektor – Resilienzanforderungen greifen CRA-Themen auf

Der Digital Operational Resilience Act (DORA) regelt die digitale Betriebsstabilität von Finanzunternehmen. Produkte, die in diesem Bereich eingesetzt werden, müssen robuste Sicherheitsfunktionen und eine kontrollierbare Architektur aufweisen. Hersteller, die CRA-konform entwickeln, decken viele dieser Anforderungen bereits ab. Das betrifft insbesondere Aspekte wie kontinuierliches Patchen, Schwachstellenkommunikation und Log-Management.

Sichere Lebensmitteltechnik – CRA trifft ISO 22000

Auch in der Lebensmittelindustrie werden Cyberrisiken zunehmend relevant. Die Maschinenverordnung und Lebensmittelstandards wie ISO 22000 verlangen strukturierte Risikoanalysen und sichere Betriebsabläufe. Hersteller, die hier bereits systematisch dokumentieren und IT-Risiken einbeziehen, erfüllen zentrale Teile der CRA-Anforderungen und können so mit geringem Mehraufwand konform werden.

Fahrzeugsicherheit und Softwarepflege – CRA als ergänzende Schutzschicht

Mit UNECE R155 und ISO SAE 21434 existieren im Fahrzeugbereich eigene Vorschriften zur Cybersicherheit. Der CRA ergänzt diese, insbesondere für Zulieferer, die Software oder vernetzte Komponenten beisteuern. Auch die neue Norm ISO 24089 zur sicheren Softwarepflege spielt hier hinein. Wer diese Standards bereits berücksichtigt, ist auf dem besten Weg zur CRA-Konformität.

Normen als praxistaugliche Brücke zum CRA

Technische Normen wie IEC 62443, ISO 27001, ISO 27002 und EN 303 645 unterstützen Unternehmen bei der praktischen Umsetzung der CRA-Vorgaben. Sie liefern Strukturen für Informationssicherheitsmanagement, sichere Entwicklung und Schwachstellenprozesse. Besonders hilfreich sind diese Normen für Hersteller, die ein systematisches, dokumentiertes Sicherheitskonzept vorlegen müssen.

BSI-Empfehlungen als nationale Unterstützung zur CRA-Umsetzung

Auch nationale Institutionen wie das Bundesamt für Sicherheit in der Informationstechnik bieten wertvolle Unterstützung bei der praktischen Umsetzung des CRA. Besonders relevant ist das IT-Grundschutz-Kompendium, das modular aufgebaute Bausteine für sichere Softwareentwicklung, Schwachstellenmanagement, Logging und Patch-Prozesse enthält. Diese Methoden lassen sich direkt auf viele CRA-Pflichten übertragen.

Ergänzend dazu bieten die BSI-Standards 200-1 und 200-3 konkrete Vorgehensmodelle zur Einführung eines Informationssicherheitsmanagementsystems und zur Risikoanalyse. Hersteller, die bereits auf diesen Standards aufbauen, können ihre technischen und organisatorischen Schutzmaßnahmen gezielt auf CRA-Anforderungen ausrichten.

Die Technische Richtlinie TR-03161 definiert Anforderungen an sichere Softwareprodukte im Gesundheitswesen und greift zentrale Aspekte des CRA wie sichere Entwicklungsprozesse, Lieferkettenschutz und die Absicherung von Update-Mechanismen auf. Sie ist besonders hilfreich für Hersteller, die ihre Prozesse an messbaren Sicherheitszielen ausrichten möchten.

Fazit: Wer CRA-konform sein will, sollte angrenzende Vorschriften mitdenken

Der Cyber Resilience Act markiert einen Paradigmenwechsel in der Produktentwicklungmit einem Wandel von freiwilligen Sicherheitsmaßnahmen hin zu verbindlichen, überprüfbaren Anforderungen. Für viele Hersteller bedeutet das aber nicht, bei null anzufangen. Wer heute bereits branchenspezifischen Regulierungen wie DORA, UNECE R155 oder der Maschinenverordnung unterliegt, hat oft schon zentrale Elemente des CRA im eigenen Haus verankert. Insbesondere Risikomanagement und Dokumentationspflichten sind dann meist schon adressiert. Diese bestehende Compliance lässt sich gezielt nutzen, um CRA-Anforderungen effizient zu erfüllen.

Gleichzeitig gilt: Nicht jede Norm oder Verordnung in diesem Artikel ist für jedes Unternehmen relevant. Wer bislang keinerlei Berührungspunkte zu solchen Regelwerken hatte, wird den CRA nicht allein über Referenzdokumente lösen können. Hier ist ein pragmatischer Einstieg in strukturierte Sicherheitsprozesse gefragt.

Wir empfehlen daher: Prüfen Sie gezielt, wo bestehende Prozesse bereits helfen – und wo konkrete Lücken im Hinblick auf den CRA bestehen. Gerne unterstützen wir Sie mit unserem CRA-Workshop: praxisnah, kompakt und mit einem klaren Fahrplan für die Umsetzung.

Autoren

Lars Roith

Lars Roith

Lars ist Solution Consultant und berät Unternehmen und Entwicklungsteams ganzheitlich bei der Umsetzung ihrer Softwareentwicklungsprojekte, von den Prozessen über die Anforderungen und Architekturen bis hin zu Umsetzung und Betrieb.