Cyber Resilience Act (CRA)

Was jetzt gilt – und wie Janitza bei der Umsetzung hilft

Der Cyber Resilience Act (CRA) definiert erstmals EU-weit verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen. Für Hersteller, Importeure und Händler ergeben sich daraus neue Pflichten über den gesamten Produktlebenszyklus hinweg. Janitza unterstützt seine Kunden in diesem Prozess – von der Entwicklung über die Kommunikation von Sicherheitsupdates bis zur sauberen Abkündigung der Produkte.

Worum geht es beim Cyber Resilience Act?

Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die einheitliche Mindeststandards für die Cybersicherheit von Produkten mit digitalen Komponenten festlegt. Er umfasst also Hard- und Software, die direkt oder indirekt mit einem Netzwerk oder einem anderen Gerät verbunden werden kann.

Ziele des CRA sind unter anderem:

Unternehmen und Verbrauchern besser vor Cyberangriffen schützen,
das Sicherheitsniveaus vieler Produkte erhöhen,
klare Verantwortlichkeiten für Hersteller, Importeure und Händler,
Informationen zu Sicherheitsfunktionen und Updates transparenter machen, damit Nutzer fundierte Kauf- und Konfigurationsentscheidungen treffen können.

Welche Produkte sind betroffen?

Der CRA gilt grundsätzlich für alle Produkte mit digitalen Elementen, deren bestimmungsgemäße oder vorhersehbare Nutzung eine direkte oder indirekte Datenverbindung zu einem Gerät oder Netz beinhaltet.

Ausnahmen gibt es z. B. für Bereiche, die bereits durch spezielle EU-Regelwerke abgedeckt sind. Dazu gehören Medizinprodukte, zivile Luftfahrt oder Kraftfahrzeuge, sowie bestimmte Fälle von Open-Source-Software.

Was bedeutet der CRA für Sie als Kunde?

Der CRA richtet sich formal an die Wirtschaftsakteure wie Hersteller, Importeure, Händler. Für Sie als Betreiber bringt er insbesondere folgende Effekte:

Mehr Transparenz und Vergleichbarkeit

Hersteller müssen klarere Informationen zu Sicherheitsfunktionen, Support-Dauer und Update-Strategie über ihre Produkte bereitstellen.
Das erleichtert Ihre Bewertung, ob ein Produkt zu Ihrer eigenen Security-Strategie passt.

Verlässliche Sicherheitsupdates

Hersteller sind verpflichtet, Schwachstellen im gesamten Produktlebenszyklus zu managen und entsprechende Sicherheitsupdates bereitzustellen.
Sie können sich auf planbare Update-Pflege verlassen – müssen diese Updates aber in Ihrer eigenen Betriebs- und Patchstrategie berücksichtigen.

CE-Kennzeichnung als Sicherheitsindikator

Produkte mit der CE-Kennzeichnung müssen ab dem 11. Dezember 2027 den CRA erfüllen und decken damit auch die Einhaltung der neuen Cyberanforderungen ab.
Das erleichtert Ihnen die Dokumentation gegenüber internen und externen Stakeholdern (z. B. IT-Security, Audit, Kunden).

Bessere Grundlage für Risiko- und Compliance-Management

Die einheitlichen EU-Anforderungen reduzieren Fragmentierung und erleichtern Ihnen die Harmonisierung von Security- und Compliance-Vorgaben über unterschiedliche Länder und Lieferanten hinweg.

Was können Sie von uns als Hersteller erwarten?

Der CRA nimmt Hersteller stärker in die Verantwortung. Für unser Portfolio heißt das im Rahmen der gesetzlichen Vorgaben:

Security by Design & by Default

Wir berücksichtigen Cybersicherheit bereits in Planung, Design und Entwicklung unserer Produkte mit digitalen Elementen.

Lebenszyklus-orientiertes Schwachstellen- und Patch-Management

Janitza etabliert Prozesse zur Identifikation, Bewertung und Behandlung von Schwachstellen in unseren Produkten. (Link zu Zertifizierung)
Wir stellen geeignete Sicherheitsupdates über den vorgesehenen Produktlebenszyklus bereit. (Link zu CERT@VDE, Mailingliste)

Klare Informationen für Sie als Betreiber

Die Technische Dokumentation von Janitza stellt erweiterte Informationen zur Verfügung, unter welchen Prämissen Janitza ein Produkt entwickelt hat. Sie erfahren auch, welche technischen Maßnahmen Janitza getroffen hat, um die Sicherheit zu erhöhen.
Wir erklären Ihnen genau, wie sich diese Maßnahmen für Sie positiv auswirken und wie sie die jeweiligen Sicherheitsaspekte nutzen können.

Zeitplan des Cyber Resilience Act

Laut Europäischer Kommission gilt folgender Zeitrahmen:

10. Dezember 2024

Der Cyber Resilience Act ist in Kraft getreten.

11. September 2026

Meldepflicht für Schwachstellen und Sicherheitslücken startet.

Bis 2027

Ausarbeitung untergesetzlicher Regelungen, harmonisierter Normen und Leitlinien, u. a. durch eine eigene CRA-Expertengruppe der Kommission.

Ab 11. Dezember 2027

Die wesentlichen Pflichten für Hersteller, Importeure und Händler gelten verbindlich. Ab diesem Zeitpunkt dürfen diese Akteure Produkte mit digitalen Elementen nur noch in Verkehr bringen, wenn sie die CRA-Anforderungen erfüllen.

FAQ

Häufige Fragen zum Cyber Resilience Act (CRA)

Was gilt ab wann?

Der Cyber Resilience Act ist seit 10. Dezember 2024 in Kraft.
Die wesentlichen Pflichten für Hersteller, Importeure und Händler gelten ab 11. Dezember 2027. Ab diesem Datum dürfen diese Akteure Produkte mit digitalen Elementen nur noch auf den EU-Markt bringen, wenn sie die CRA-Anforderungen erfüllen.
Die Meldepflicht für Schwachstellen und Sicherheitslücken gilt bereits ab dem 11. September 2026

Was ist der Unterschied zwischen Hersteller, Einführer (Importeur) und Händler?

Die Rollen sind im Kommissionsvorschlag klar definiert:

Hersteller Natürliche oder juristische Person, die ein Produkt mit digitalen Elementen entwickelt oder herstellen lässt und unter eigenem Namen oder eigener Marke in Verkehr bringt – entgeltlich oder unentgeltlich.
Importeur Natürliche oder juristische Person in der EU, die ein Produkt mit digitalen Elementen auf den Markt bringt, das den Namen oder die Marke eines Unternehmens außerhalb der EU trägt.
Händler Natürliche oder juristische Person in der Lieferkette, nicht Hersteller und nicht Importeur, die ein Produkt mit digitalen Elementen auf dem EU-Markt bereitstellt, ohne seine Eigenschaften zu verändern.

Was ist mit Geräten, die vor Anwendung des CRA an den Handel verkauft wurden (Lagerbestand) und danach weiterverkauft werden?

Der CRA unterscheidet zwischen:

„Inverkehrbringen“ = erstes Bereitstellen eines Produkts auf dem EU-Markt,
„Bereitstellung auf dem Markt“ = jede weitere Bereitstellung in der Lieferkette.

Der Kommissionsvorschlag macht deutlich:

Die neuen Anforderungen gelten für Produkte, die ab Beginn der Anwendung des CRA auf den Markt gebracht werden.
Produkte, die schon vorher auf dem Markt sind, fallen primär nicht rückwirkend darunter – es sei denn, sie werden wesentlich vereändert (z. B. Änderung des Verwendungszwecks oder neue Funktionen, die die Konformität berühren).

Welchen Support müssen Hersteller über den Product Life Cycle (PLC) gewährleisten?

Laut Kommissionsvorschlag gilt:

Hersteller müssen Sicherheit über den gesamten Lebenszyklus des Produkts berücksichtigen und
Security-Support in Form von Updates „in angemessener Weise“ bereitstellen sowie Umgang mit Schwachstellen organisieren.
Die EU-Kommission schreibt, dass Hersteller während des gesamten Produktlebenszyklus Verantwortung für Cybersicherheit tragen.

Wie lange dürfen Unternehmen Geräte betrieben, die vor Inkrafttreten des CRA erworben wurden?

Der CRA setzt Anforderungen für das Platzieren von Produkten mit digitalen Elementen auf dem Markt ab Dezember 2027.
Er definiert keine maximale Betriebsdauer für bereits installierte Produkte.

Für welche Länder gilt der CRA?

Der CRA ist eine EU-Verordnung und gilt unmittelbar in allen EU-Mitgliedstaaten.
Er adressiert den Binnenmarkt, also alle Produkte, die auf dem EU-Markt bereitgestellt werden – unabhängig davon, wo der Hersteller sitzt.

Wie informiert Janitza über Sicherheitsupdates?

Wir stellen schon heute Informationen zu Schachstellen zur Verfügung. Hierfür können sich Kunden in eine entsprechende Mailingliste eintragen:

Darüber hinaus sind wir Partner des CERT@VDE, der ersten Plattform zur Koordination von IT-Security-Problemen speziell für Unternehmen im Bereich Industrieautomation. Auch hier veröffentlichen wir Advisories zu vorhandenen Sicherheitslücken.

Janitza ist zertifiziert nach IEC62443-4-1 – was bedeutet das in diesem Zusammenhang?

Die Zertifizierung nach IEC 62443-4-1 bestätigt, dass der Entwicklungsprozess von Janitza die Anforderungen dieser internationalen Norm für industrielle Cyber Security erfüllt. Der TÜV SÜD hat alle relevanten Schritte geprüft – von der Planung über die Umsetzung bis zum Test und Support. Diese Prüfung hat eine strukturierte und durchgängig dokumentierte Prozessbeschreibung sicherheitsrelevanter Verfahren bestätigt.

Was ist die Relevanz für industrielle Anwendungen mit hohen Security-Anforderungen?

Die IEC-62443-4-1-Zertifizierung unterstreicht, dass Janitza Cyber Security fest im Entwicklungsprozess verankert. Unternehmen erhalten dadurch verlässliche Orientierung, wenn sie sichere Automations- und Energiedaten-Managementsysteme einsetzen möchten.

Mit dieser Prozesszertifizierung kann Janitza neue Produkte zukünftig nach IEC 62443-4-2 zertifizieren lassen. Die Norm [JB1] definiert technische Sicherheitsanforderungen für Geräte und Komponenten. Die aktuelle Zertifizierung bildet somit einen wesentlichen Schritt für den weiteren Ausbau sicherheitszertifizierter Lösungen im Portfolio.