Trend RadarTrend Radar

CRA-Compliance: Security-by-Design wird Marktstandard

CRAIndustrieHandwerkHandelGesundheitPharmaBildungSoziales
Prepare

Der EU Cyber Resilience Act (CRA) trat am 10. Dezember 2024 in Kraft und wird ab 11. Dezember 2027 vollständig anwendbar. Alle Produkte mit digitalen Elementen - von Smart Home-Geräten über Industriesteuerungen bis hin zu Software-Plattformen - müssen ab diesem Zeitpunkt CE-zertifiziert sein und umfassende Cybersecurity-Anforderungen erfüllen. Die Regelung betrifft Hersteller, Importeure und Händler gleichermaßen und droht bei Verstößen mit Bußgeldern bis zu 15 Mio. EUR oder 2,5% des weltweiten Jahresumsatzes.

Die Kernanforderungen umfassen Security-by-Design (Sicherheit muss von Anfang an in Produktarchitektur integriert sein), Security-by-Default (sichere Werkskonfigurationen), maschinenlesbare Software Bill of Materials (SBOM) zur Transparenz in Lieferketten, sowie koordiniertes Schwachstellenmanagement mit 24-Stunden-Meldepflicht bei aktiv ausgenutzten Schwachstellen an die EU-Agentur ENISA. Hersteller müssen mindestens 5 Jahre kostenlose Sicherheitsupdates garantieren. Das BSI entwickelt mit der technischen Richtlinie TR-03183 (aktuell v0.10.0 für Teil 1) konkrete Umsetzungshilfen für deutsche Unternehmen.

Aktuelle Studien zeigen erhebliche Wissenslücken: Nur 32% der Unternehmen sind umfassend mit CRA-Anforderungen vertraut, 27% haben sich noch gar nicht damit befasst, und lediglich 14% haben Compliance-Maßnahmen eingeleitet. Die größten Herausforderungen sehen Unternehmen in der 24-Stunden-Meldepflicht (37%), Security-by-Design/Default-Umsetzung (35%) und SBOM-Erstellung (29%). Branchenverbände wie VDMA und Bitkom warnen vor IT-Dienstleister-Engpässen und nationaler Fragmentierung durch unterschiedliche technische Richtlinien.

Ring "prepare" ist angemessen, da die Meldepflichten bereits September 2026 beginnen und vollständige Compliance bis Dezember 2027 erreicht sein muss. Unternehmen müssen JETZT Produktentwicklung umstellen, SBOM-Prozesse aufbauen und Schwachstellenmanagement implementieren. Besonders KMU sollten 2025 nutzen, um Kompetenzen aufzubauen und Unterstützungsangebote (BSI-Workshops, EU-Helpdesks, Regulatory Sandboxes) wahrzunehmen. Für Schweizer Exporteure ist CRA-Konformität essentiell für EU-Marktzugang.

Quellen: BSI Cyber Resilience Act & TR-03183 (2024/2025), IoT & OT Cybersecurity Report 2025, VDMA (November 2024), Bitkom Stellungnahme (Dezember 2024), TÜV SÜD (2024)