Zwei Fachleute in einem modernen Rechenzentrum, die gemeinsam an einem Laptop arbeiten.

Cyber Resilience Act (CRA)

TÜV SÜD. Mit Vertrauen nach vorn.

TÜV SÜD. Mit Vertrauen nach vorn.


Cyber Resilience Act: Die kompakte Zusammenfassung der EU-Vorschrift

Mit dem im September 2022 vorgeschlagenen Cyber Resilience Act hat die EU-Kommission einen bedeutenden Schritt zur Stärkung der Cybersicherheit im europäischen Markt unternommen. Unsere Zusammenfassung zeigt Ihnen, wie diese Verordnung Unternehmen in der EU vor neue Herausforderungen stellt. Erfahren Sie, wie Sie sich optimal vorbereiten und warum TÜV SÜD der ideale Partner ist, um Sie dabei zu unterstützen.

Jetzt Services anfragen

 

Das Wichtigste in Kürze

► Der Cyber Resilience Act (CRA) legt EU-weit verbindliche Cybersicherheits-Anforderungen fest.
► Der CRA gilt für alle Produkte mit digitalen Elementen, die in der EU hergestellt, importiert oder vertrieben werden.
 Nach seinem Inkrafttreten sind für die betroffenen Wirtschaftsakteure Übergangsfristen von 36 Monaten zur Anpassung an die neuen Anforderungen vorgesehen.
► Der CRA teilt Produkte in verschiedene Kategorien gemäß ihrer Risikoklasse ein, wobei sich das Konformitätsbewertungsverfahren entsprechend ändert.
► Bei nicht konformen Produkten kommt es zu Sanktionsmechanismen wie hohen Bußgeldern.

 

Übersicht

1. Definition und Bedeutung
    ►Was das ist
    ►Konsequenzen bei Nichteinhaltung
    ►Betroffene Produkte
    ►Betroffene Unternehmen
2. Cyber Resilience Act vs. NIS2
3. Anforderungen an Unternehmen
4. CRA-Services von TÜV SÜD

 

Cyber Resilience Act: Definition und Bedeutung

  • Was ist der Cyber Resilience Act (CRA) und warum ist er wichtig?

    Der Cyber Resilience Act (CRA) zielt darauf ab, die Cybersicherheit von Produkten mit digitalen Elementen und Funktionen in der EU zu verbessern. Die Verordnung legt verbindliche Sicherheitsstandards für alle in der EU hergestellten, importierten oder vertriebenen Hardware- und Softwareprodukte fest.

    Dies gewährleistet, dass Cybersecurity während des gesamten Produktlebenszyklus berücksichtigt wird, um den Schutz vor Cyberbedrohungen zu verbessern.Durch diese verbindlichen Sicherheitsanforderungen sollen

    ► die Verbreitung sicherer Technologien gefördert,
    die Verbraucher*innen geschützt und
    das Vertrauen in digitale Produkte mit digitalen Elementen und Funktionen gestärkt werden.

  • Welche Konsequenzen drohen bei Nichteinhaltung des Cyber Resilience Act?

    Ein Produkt wird nur dann für den europäischen Markt zugelassen, wenn es den Anforderungen des Cyber Resilience Act entspricht. Der CRA steht somit im direkten Zusammenhang zu der EU-Konformitätsbewertung von Produkten und stellt sicher, dass Cybersecurity bereits während des Prozesses zur CE-Kennzeichnung beachtet wird.

    Daher kann die Nichteinhaltung der CRA-Vorschriften zu folgenden Auswirkungen führen:

    Icon Geldstrafen
     Hohe Geldstrafen: Bis zu 15 Millionen Euro oder bis zu 2,5 Prozent des gesamten jährlichen Umsatzes (je nachdem, welcher Betrag höher ist).

     

    Pictogram in .SVG for Global Network of Experts


    Marktzugangsbeschränkungen
    : Der Verkauf von nicht konformen Produkten in der EU kann von Behörden eingeschränkt oder sogar verhindert werden.


    Pictogram in .SVG for Megaphone
    Produktrückrufe
    : In schwerwiegenden Fällen kann eine vollständige Rücknahme oder ein Rückruf des Produkts verlangt werden.

  • Welche Produkte fallen unter den Cyber Resilience Act?

    Der CRA betrifft alle Produkte, die digitale Elemente (zum Beispiel Software, Hochrisiko-KI-Systeme) enthalten und mit Netzwerken oder Geräten verbunden sind. Dadurch ist der Anwendungsbereich des CRA ziemlich weit und umfasst unter anderem:

    ► Industrielle Hardware- und Software-Produkte wie IoT-Geräte, PLCs und Sensoren
    ► Software-Produkte wie Desktop-, Web- und mobile Applikationen sowie Betriebssysteme
    ► Software- und Hardware-Produkte für die persönliche Anwendung wie intelligente Geräte

    Dabei werden die betroffenen Produkte in verschiedene Kategorien gemäß ihrer Risikoklasse eingeteilt. Insbesondere Produkte und Systeme, die in der kritischen Infrastruktur, dem produzierenden Gewerbe und dem Industrie- und Energiesektor zum Einsatz kommen, werden einer höheren Risikoklasse zugeordnet. Gerade für sie ändert sich daher das Konformitätsbewertungsverfahren, weil sie potenzielle Auswirkungen auf die Wirtschaft sowie öffentliche Sicherheit haben können.

    Cyber Resilience Act Standardkategorien

  • Welche Unternehmen sind vom Cyber Resilience Act betroffen?

    Der CRA ist nicht nur für Hersteller, sondern für die gesamte Lieferkette und alle Akteure im digitalen Produktmarkt in der EU von Bedeutung.

    Vom Cyber Resilience Act (CRA) betroffen sind:

    1. Hersteller von digitalen Produkten: Unternehmen, die Hardware und Software mit digitalen Elementen entwickeln und herstellen, müssen sicherstellen, dass ihre Produkte den neuen Cybersicherheitsanforderungen entsprechen.
    2. Importeure: Firmen, die digitale Produkte aus Nicht-EU-Ländern importieren, sind verantwortlich für die Einhaltung der Anforderungen und müssen sicherstellen, dass importierte Produkte die vorgeschriebenen Sicherheitsstandards erfüllen.
    3. Distributoren und Händler: Unternehmen, die digitale Produkte innerhalb der EU vertreiben, müssen überprüfen, ob die von ihnen verkauften Produkte den Vorgaben entsprechen. Sie sind verpflichtet, die Einhaltung der Sicherheitsanforderungen zu gewährleisten.

Grafik zur Informationssicherheit mit Symbolen für Datenschutz und Sicherheit, die einen sicheren Prozess darstellen.

Testen Sie jetzt!

Betroffen oder nicht? In nur 3 Minuten erfahren Sie, ob der Cyber Resilience Act für Ihre Produkte relevant ist!

Zum Schnell-Check

Cyber Resilience Act (CRA) vs. NIS2: Was ist der Unterschied?

Der Cyber Resilience Act (CRA) und die NIS2-Richtlinie stehen in engem Zusammenhang, da beide darauf abzielen, die Cybersicherheit in der EU zu stärken, jedoch unterschiedliche Schwerpunkte setzen. Insgesamt ergänzen sich der CRA und die NIS2-Richtlinie, um eine umfassende Cybersicherheitsstrategie für die EU zu gewährleisten, indem sie die Sicherheit von Produkten und kritischen Diensten und Infrastrukturen stärken.

  • Cyber Resilience Act: Fokus auf Produkte

    Der Cyber Resilience Act konzentriert sich auf die Cybersicherheit von Produkten mit digitalen Elementen. Er legt verbindliche Sicherheitsanforderungen für Hardware und Software fest, die in der EU hergestellt, importiert oder vertrieben werden, um sicherzustellen, dass diese Produkte gegen Cyberangriffe geschützt sind.

  • NIS2: Fokus auf Dienste und Infrastruktur

    Die NIS2-Richtlinie zielt auf die Verbesserung der Cybersicherheit von Netzwerken und Informationssystemen, die für die Bereitstellung wesentlicher Dienste und kritischer Infrastrukturen notwendig sind. Sie wendet sich daher an Betreiber von wesentlichen Diensten und Anbieter digitaler Dienste.


Gemeinsames Ziel: Verbesserung der Cybersicherheit in der EU

Beide Regelwerke ergänzen sich, indem sie die Cybersicherheit auf unterschiedlichen Ebenen verbessern: der CRA auf Produktebene und die NIS2 auf der Ebene der Infrastruktur und wesentlichen Dienste. Zusammen tragen sie zu einer umfassenden Stärkung der Cybersicherheit in der EU bei.

Für Unternehmen, die sowohl Produkte herstellen als auch wesentliche Dienste bereitstellen, ist es entscheidend, eine koordinierte Herangehensweise zu verfolgen. Sie müssen sicherstellen, dass sie sowohl die Anforderungen des CRA als auch der NIS2-Richtlinie erfüllen. Dies fördert eine koordinierte Herangehensweise an Cybersicherheitsmaßnahmen.

 

Die neuen Anforderungen des Cyber Resilience Act für Unternehmen

Die Anforderungen des CRA können je nach der Rolle des betroffenen Wirtschaftsakteurs variieren. Unter anderem sind diese Punkte wichtig:

► Cybersicherheitsmaßnahmen beachten: Zu den Mindestanforderungen für Hersteller gehört die verpflichtende Beachtung von Cybersicherheitsmaßnahmen während des gesamten Produktlebenszyklus – einschließlich Planung, Entwicklung, Herstellung, Lieferung und Wartung.
► Regelmäßige Updates: Es ist erforderlich, Updates für mindestens 5 Jahre bereitzustellen.
► Dokumentation und Anleitung: Sicherheitsrisiken müssen dokumentiert und klare Benutzeranleitungen bereitgestellt werden.
► Regelungen für höhere Risikoklassen: Besonders für Produkte aus höheren Risikoklassen sind anspruchsvollere Sicherheitsmaßnahmen vorgeschrieben. Außerdem müssen Hersteller, Händler und Importeure von betroffenen Produkten tiefer greifende Risikobewertungen miteinbeziehen und fortgeschrittene Sicherheitsmechanismen implementieren, um die Konformität mit den Vorschriften sicherzustellen.

Jetzt Services anfragen

 

Services zum Cyber Resilience Act von TÜV SÜD: Effizient zur Cybersicherheit

Unser Experten-Team hat eine Lösung für die Einhaltung der komplexen und übergreifenden Anforderungen des CRA entwickelt, die aus individuell wählbaren Schritten besteht. Unabhängig davon, in welcher Phase Sie oder Ihre Zulieferer sich befinden: Wir begleiten Sie auf dem Weg zur EU-Konformität Ihrer Produkte durch unser Dienstleistungsportfolio:

Auf dem Weg zur Cyber-Resilienz mit CRA- Robuste Zukunft für sichere und dynamische digitale Produkte.

Grafik: Roadmap zur Cybersicherheit nach dem Cyber Resilience Act

 

1. Foundation: Grundlagen-Schulung (Dauer: 1 Tag)

► Verstehen Sie die EU-Cybervorschriften (RED, Cyber Resilience Act, Maschinenverordnung, AI-Act, KRITIS, NIS2 usw.) und lernen Sie die Grundlagen des CRA in unseren Foundation-Trainings kennen.

 

2. Workshop (Dauer: 2 Tage)

► Nutzen Sie unseren Deep-Dive-Workshop, um zu verstehen, wie sich die CRA-Anforderungen auf Ihr Industriesegment auswirken.

 

3. Compliance-Check

 Wir entwickeln ein dynamisches, umfassendes Cybersicherheitsschema, das die CRA-Anforderungen auf der Grundlage der Kritikalität Ihrer Produkte abdeckt. Anhand dieses Schemas können wir die CRA-Konformität Ihrer Qualitäts- und Produktdokumentation bewerten.

 

4. Testing

 Begleitend zur Dokumentenprüfung testen wir Ihre Produkte, um die korrekte Implementierung der Cybersicherheitsfunktionalitäten zu gewährleisten. Zusammen mit dem Compliance-Check zeigen wir das Compliance-Level Ihres Unternehmens deutlich auf.

 

5. CRA Readiness Report

► Wir liefern einen umfassenden CRA Readiness Report über die Konformität Ihrer Produkte. Wir bieten als Mehrwert Dienstleistungs-Empfehlungen und Best Practices.


6. Zertifizierung (künftiges Angebot)

 Nachdem die Europäische Kommission Benennende Stellen bestimmt hat, strebt TÜV SÜD an, eine Benannte Stelle zu werden und wird ein Zertifizierungsschema für die CE-Kennzeichnung und die europäische Marktzulassung entwickeln. Dieses Zertifizierungsschema wird sich auf die harmonisierten Standards beziehen, die künftig von der Europäischen Kommission veröffentlicht werden.

Jetzt Services anfragen

 

Unser Experte erklärt: Was ist in Hinblick auf den CRA nun wichtig?

Marcello Walz

Die Einhaltung des CRA erfordert ein fundiertes Verständnis von Cyber Security, der Industrie und effektiven Maßnahmen zur Minimierung von Sicherheitsrisiken. TÜV SÜD bringt langjährige Erfahrung in der Umsetzung von Sicherheitsvorschriften und der Zertifizierung nach der führenden Industrienorm IEC 62443 mit, die ähnliche Anforderungen wie der CRA stellt.

Marcello Walz

Head of Cyber- & Software Security, TÜV SÜD

 

So meistern Sie erfolgreich den Cyber Resilience Act

Der Cyber Resilience Act bringt neue Herausforderungen, aber auch bedeutende Chancen zur Verbesserung der Cybersicherheit und des Vertrauens in digitale Produkte mit sich. Mit der Unterstützung von TÜV SÜD können Unternehmen sicherstellen, dass ihre Produkte den neuen Anforderungen entsprechen.

Es lohnt sich, zu prüfen, ob Ihr Unternehmen von der Verordnung betroffen ist. Unsere Expert*innen stehen Ihnen außerdem zur Seite, um Ihnen bei der Navigation durch die neuen Regelungen zu helfen und Ihre Produkte auf höchste Sicherheitsstandards auszurichten. Kontaktieren Sie uns bitte, um mehr zu erfahren.

Jetzt Services anfragen

Wissenswertes

Cybersecurity Regulierung

Cybersecurity-Regulierung

Lernen Sie die Produkt-Anforderungen an Cybersecurity für die EU kennen.

Jetzt informieren

Industrial Cybersecurity

Industrial Cybersecurity Foundation nach IEC 62443

Erweitern Sie Ihr Basiswissen für Fachkräfte in der Industrial Automation (IACS).

Termin buchen

IIoT und OT Penetrationstests

IIoT und OT Penetrationstests

Erhalten Sie einen Überblick über das Sicherheitsniveau und detaillierte Liste konkreter Schwachstellen Ihres Produkts.

Mehr erfahren

IEC-62368-1 für die IT und Audiobranche

Zertifizierung nach IEC 62443

Schützen Sie industrielle Steuerungs- und Automationselemente gegen unbefugte Zugriffe.

Erfahren Sie mehr

NIS2: Große Herausforderungen für KRITIS

NIS2: Große Herausforderungen für KRITIS

Erfahren Sie mehr über den erweiterten Schutzbereich für die Cyber-Resilienz kritischer Infrastrukturen.

Mehr erfahren

Hand zeigt auf Wireless Symbol

Funkprüfung nach RED

Stellen Sie mit RED-Funkprüfungen die EU-Konformität Ihrer drahtlosen Geräte sicher.

Erfahren Sie mehr

Frau im Büro Projektmanagment

Projektmanagement-Services

Von erprobten Best Practices bis hin zu fundiertem Expertenwissen in Regularien und Marktzulassungen – jetzt tiefer eintauchen.

Mehr erfahren

Wie können wir Ihnen helfen?

WORLDWIDE

Germany

German