CRA – Cyber Resilience Act

Cyber Resilience Act (CRA)

Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die die Cybersicherheit von Produkten mit digitalen Elementen verbessern soll. Ziel ist es, Hersteller dazu zu verpflichten, bereits in der Entwicklung robuste Sicherheitsmechanismen zu integrieren («Security by Design») und während des gesamten Produktlebenszyklus Sicherheitsupdates bereitzustellen.

Kernpunkte des CRA

• Geltungsbereich: Alle vernetzten Geräte und Softwareprodukte, die in der EU verkauft werden.
• Pflichten für Hersteller:
  • Sicherheitsrisiken identifizieren und minimieren
  • Klare Sicherheitsinformationen für Nutzer bereitstellen
  • Kontinuierliche Sicherheitsupdates gewährleisten
• Risikobasierter Ansatz: Strengere Anforderungen für kritische Produkte wie IoT-Geräte oder industrielle Steuerungssysteme.
• Konsequenzen: Verstösse können zu hohen Geldstrafen führen, ähnlich wie bei der DSGVO.

Relevanz für Unternehmen

Unternehmen, die Software oder vernetzte Geräte entwickeln, müssen ihre Sicherheitsprozesse überarbeiten und auf neue Zertifizierungs- und Berichtspflichten vorbereitet sein. Der CRA beeinflusst die gesamte Wertschöpfungskette – von der Entwicklung über den Vertrieb bis zur Wartung.

Für NOSERs bedeutet dies, dass Projekte von Anfang an nach den neuesten Sicherheitsstandards ausgelegt werden müssen. Agile Entwicklung und DevSecOps gewinnen weiter an Bedeutung.

Der CRA ist Teil der EU-Strategie zur Stärkung der digitalen Souveränität und wird voraussichtlich 2024 in Kraft treten, mit einer Übergangsfrist für Unternehmen.