Mit dem CRA verpflichtet die EU Hersteller und Inverkehrbringer, die Cybersicherheit vernetzter Produkte systematisch sicherzustellen – unabhängig davon, wie lange ein Produkt bereits gefertigt wird. Ab dem 11. Dezember 2027 dürfen nur noch solche Produkte auf den EU-Markt gebracht werden, die den CRA-Anforderungen entsprechen. Das bedeutet: Sicherheitsmaßnahmen müssen konkret im Produkt selbst verankert sein – z. B. durch sichere Softwarearchitektur, Updatefähigkeit und wirksame Schwachstellenbehandlung.
Ziel des CRA ist es, Verbraucher:innen, Unternehmen und Infrastrukturen besser vor Cyberangriffen zu schützen – und ein angemessenes Schutzniveau zu etablieren. Die Verordnung verfolgt dabei einen risikobasierten Ansatz: Je nach Einsatzszenario und Bedrohungslage müssen technische und organisatorische Schutzmaßnahmen geplant, umgesetzt und dokumentiert werden.
Was unter anderem gefordert wird:
- Bedrohungs- und Risikoanalysen für jedes betroffene Produkt
- Integration technischer und organisatorischer Schutzmaßnahmen in Design, Entwicklung und Support
- Dokumentation und Nachweis der Sicherheitsfunktionen
- Einführung strukturierter Prozesse zum Schwachstellenmanagement, inklusive Single Point of Contact, Prüfung der Software Supply Chain anhand von SBOMs (Software Bill of Materials) und Fehlerbehebung
- Meldung aktiv ausgenutzter Schwachstellen innerhalb von 24 Stunden an die European Network and Information Security Agency (ENISA)
- Bereitstellung kostenfreier Sicherheitsupdates während der Nutzungsdauer
Bei Verstößen gegen den CRA drohen Unternehmen Bußgelder in Millionenhöhe, Rückrufpflichten und der Verlust der CE-Kennzeichnung – mit direkten Folgen für den Zugang zum EU-Markt und das Vertrauen der Kund:innen.