Was ist der Cyber Resilience Act?

Der Cyber Resilience Act (CRA, Verordnung EU 2024/2847) führt erstmals verbindliche Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen ein, die in der EU verkauft werden. Er gilt seit Dezember 2024 und wird stufenweise wirksam. Vereinfacht gesagt: Software bekommt ein CE-Siegel - und damit eine Verantwortung, die bisher niemand tragen musste.

Wen betrifft der CRA?

Der CRA betrifft alle Hersteller, die Produkte mit digitalen Elementen auf dem EU-Markt bereitstellen. Das umfasst:

• Software-Produkte und Anwendungen
• Apps, Plugins, Spiele
• Vernetzte Geräte (IoT) - IT und OT
• Jede Software-Komponente, die kommerziell vertrieben wird

Auch Open-Source-Software fällt in den Geltungsbereich, wenn sie im Rahmen einer kommerziellen Tätigkeit bereitgestellt wird (Art. 3 Nr. 14, EWG 18-20). Rein freiwillige Entwicklung ohne Gewinnabsicht bleibt ausgenommen.

Was fordert der CRA konkret?

• CE-Kennzeichnung für Software: Vor dem Inverkehrbringen muss die Konformität nachgewiesen werden (Art. 29, 30)
• Mindestens 5 Jahre Security-Support: Sicherheitsaktualisierungen müssen unverzüglich und kostenlos bereitgestellt werden (Art. 13 Abs. 8, Anhang I Teil II Nr. 8)
• Frei von bekannten ausnutzbaren Schwachstellen bei Markteinführung (Anhang I Teil I Nr. 2a)
• SBOM-Pflicht: Schwachstellen und Komponenten müssen mittels Software-Stückliste dokumentiert werden, in maschinenlesbarem Format (Anhang I Teil II Nr. 1, Art. 13 Abs. 24)
• Meldepflichten: 24 Stunden Frühwarnung, 72 Stunden Meldung, 14 Tage Abschlussbericht nach Korrektur (Art. 14 Abs. 2)
• Sorgfaltspflicht bei FOSS-Integration: Hersteller müssen Open-Source-Komponenten gegen die EU-Schwachstellendatenbank prüfen (Art. 13 Abs. 5, EWG 34)
• Koordinierte Schwachstellenoffenlegung (Anhang I Teil II Nr. 5)
• Sicherheitsupdates getrennt von Funktionsupdates bereitstellen (Anhang I Teil II Nr. 2)

Die Steward-Rolle

Der CRA schafft eine neue Kategorie: den Verwalter quelloffener Software (Open Source Steward, Art. 3 Nr. 14). Ein Steward ist eine juristische Person, die die Entwicklung von Open-Source-Produkten systematisch und nachhaltig unterstützt. Stewards unterliegen reduzierten Pflichten (Art. 24) und sind ausdrücklich von Bußgeldern ausgenommen (Art. 64 Abs. 10b).

Was droht bei Verstößen?

• Höchste Stufe: 15 Mio. Euro oder 2,5 % des weltweiten Jahresumsatzes (Art. 64 Abs. 2)
• Mittlere Stufe: 10 Mio. Euro oder 2 % des Jahresumsatzes (Art. 64 Abs. 3)
• Niedrigste Stufe: 5 Mio. Euro oder 1 % des Jahresumsatzes (Art. 64 Abs. 4)
• Verbandsklagen durch Verbraucherschutzorganisationen ab 11.12.2027 (Art. 65)
• EU-weiter Rückruf und Marktentnahme durch die Kommission (Art. 54, 56)

Umsetzung in Deutschland

Der CRA ist eine EU-Verordnung und gilt direkt in allen Mitgliedstaaten - eine nationale Umsetzung ist nicht erforderlich. Die Durchsetzung erfolgt durch nationale Marktüberwachungsbehörden. Die wichtigsten Fristen: Ab 11.09.2026 gelten die Meldepflichten (Art. 14), ab 11.12.2027 die vollständige Geltung aller Bestimmungen (Art. 71). In anderen EU-Ländern sind dieselben Fristen anwendbar; unterschiedlich ist lediglich die zuständige Aufsichtsbehörde.

Was bedeutet das für Sie?

Wenn Sie Software herstellen oder Produkte mit Software-Komponenten vertreiben, müssen Sie jede einzelne Open-Source-Abhängigkeit kennen, dokumentieren und über mindestens fünf Jahre pflegen. Die 24-Stunden-Meldefrist gilt auch am Wochenende. Ein Steward wie OTTRIA kann Ihnen die operative Last abnehmen und gleichzeitig die Sorgfaltspflicht bei der FOSS-Integration nachweisbar erfüllen.

Weiterlesen

• CRA-Anforderungen im Detail und wie OTTRIA sie abdeckt
• Die Steward-Rolle im CRA
• Was ist eine SBOM und warum reicht sie nicht?

Factsheet herunterladen: CRA-Factsheet (in Erstellung)

Sie wollen wissen, ob Ihre Produkte CRA-konform sind? Lassen Sie Ihre CRA-Readiness prüfen.