Der Cyber Resilience Act verändert, wie vernetzte Produkte in Europa gedacht, entwickelt und betreut werden. Das Projekt EASY.CRA hilft Unternehmen dabei, die eigenen Pflichten besser einzuordnen, erste Fragen zu klären und konkrete nächste Schritte zu finden. Im Interview erklärt Matthias Kampmann, Senior Consultant bei ibi research an der Universität Regensburg GmbH und Projektmanager bei EASY.CRA, worauf es beim CRA ankommt und wie das Projekt Unternehmen unterstützt.
Herr Kampmann, können Sie den Cyber Resilience Act und seine Bedeutung für Unternehmen in ein paar Sätzen zusammenfassen?
Der Cyber Resilience Act, kurz CRA, ist ein direkt wirkendes EU-Gesetz und betrifft Produkte mit digitalen Elementen. Gemeint sind also nicht nur klassische Hardware, sondern auch Software und vernetzte Geräte, etwa wenn ein Texteditor Updates aus dem Netz zieht oder ein Sensor in einem vernetzten Gerät steckt. Für Unternehmen bedeutet das: Produktsicherheit wird zur festen Pflicht über den gesamten Lebenszyklus hinweg, also auch bei Updates, Wartung und Schwachstellenmanagement.
Was ist das grundsätzliche Ziel des CRA?
Die EU will mit dem CRA erreichen, dass digitale Produkte sicherer entwickelt und betrieben werden. Hintergrund ist, dass unsichere Software und Hardware erhebliche Schäden verursachen können, zum Beispiel durch Botnetze, Schwachstellen oder Datenverluste. Der CRA schafft dafür europaweit einheitliche Vorgaben, damit Hersteller ihre Verantwortung für Produktsicherheit nicht nur technisch, sondern auch organisatorisch ernst nehmen.
Welche zentralen Anforderungen bringt der CRA mit sich?
Wichtig sind vor allem sichere Entwicklung, sichere Auslieferung und die Verpflichtung zu regelmäßigen Sicherheitsupdates. Speziell heißt dies Security by Design und Security by Default: Sicherheit soll also von Anfang an mitgedacht werden, und Produkte sollen in einer möglichst sicheren Grundeinstellung ausgeliefert werden. Wenn Hersteller eine Schwachstelle entdecken, müssen sie diese beheben, ihre Kundinnen und Kunden informieren und den Vorfall melden.
Warum spielt die Software-Bill of Materials, kurz SBOM, eine so große Rolle?
Eine SBOM hilft Unternehmen dabei, zu verstehen, aus welchen Bausteinen eine Software besteht. Gerade wenn Bibliotheken, Frameworks oder andere Komponenten aus der Lieferkette genutzt werden, wird Transparenz wichtig. Mit einer SBOM wissen Unternehmen besser, welche Bestandteile sie verwenden, welche Risiken damit verbunden sind und wo sie bei einem Sicherheitsproblem ansetzen müssen.
Welche Unternehmen sind vom CRA betroffen?
Betroffen sind vor allem Hersteller von Produkten mit digitalen Elementen. Das kann bei einer Software ebenso der Fall sein wie bei vernetzter Hardware oder komplexen Geräten mit Softwaresteuerung. Nicht jedes Produkt fällt automatisch unter den Cyber Resilience Act, und es gibt Ausnahmen, etwa in bestimmten Bereichen wie Medizin, Automotive, Militärtechnik oder bei einzelnen Finanzprodukten, weil dort bereits eigene Regulierungen gelten.
Matthias Kampmann ist Senior Consultant bei ibi research an der Universität Regensburg GmbH und Projektmanager bei dem geförderten Fokusprojekt EASY.CRA.
Copyright: Franziska Holten
Gilt der CRA auch für kleine und mittlere Unternehmen?
Ja, kleine und mittlere Unternehmen können ebenfalls betroffen sein. Entscheidend ist weniger die Unternehmensgröße als die Frage, ob ein Produkt unter den CRA fällt und welcher Kritikalitätsklasse es zugeordnet wird. Bei manchen Produkten reicht eine Selbsterklärung, bei besonders kritischen Produkten kommen zusätzliche Prüfungen und Zertifizierungen hinzu.
Was sollten Unternehmen zuerst tun, wenn sie sich auf den CRA vorbereiten wollen?
Ein guter Startpunkt ist, das eigene Sicherheitsniveau im Unternehmen zu prüfen und ein Risikobewusstsein aufzubauen. Danach sollte man das Produkt selbst betrachten: Welche Funktionen hat es, welche Komponenten stecken drin und wie ist die Lieferkette aufgebaut? Wer diese Fragen früh klärt, kann technische und organisatorische Maßnahmen gezielter umsetzen.
Wie sieht der Zeitplan des CRA aus?
Der Cyber Resilience Act ist im Dezember 2024 in Kraft getreten. Ab dem 11. September 2026 müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle an die ENISA und das zuständige CSIRT (in Deutschland CERT-BUND) gemeldet werden. Ab dem 11. Dezember 2027 müssen zu diesem Zeitpunkt neu in Verkehr gebrachte Produkte alle CRA-Anforderungen erfüllen. Unternehmen sollten deshalb nicht abwarten, sondern sich frühzeitig mit den Anforderungen befassen.
Wie unterstützt das Fokusprojekt EASY.CRA Unternehmen?
EASY.CRA ist als Transferprojekt angelegt und will Unternehmen mit mehreren Bausteinen begleiten. Dazu gehört ein CRA-Check als Self-Assessment-Tool, das von der OTH Regensburg entwickelt wird, sowie die Webseite als zentraler Ankerpunkt mit Glossar, Handbuch, Eventkalender und Blogbeiträgen. Ergänzend sind Webinare, Sprechstunden, Best Practices, Q&A-Formate und weitere Transferangebote geplant.
Wie funktioniert der CRA-Check konkret?
Der Check soll Nutzerinnen und Nutzer Schritt für Schritt durch eine erste Einordnung führen. Ausgangspunkt ist die Frage, ob ein Unternehmen überhaupt Produkte mit digitalen Elementen herstellt, und je nach Antwort verzweigt das Tool in unterschiedliche Pfade. Ziel ist nicht nur die Betroffenheitsprüfung, sondern möglichst auch ein erster Ausblick auf nächste Schritte, etwa in Richtung SBOM, Standards oder passende Tools.
Wer steht hinter dem Projekt?
Das Projekt EASY.CRA ist eine Kooperation der beiden Partner OTH Regensburg (OTH) und ibi research an der Universität Regensburg. Es wird finanziert vom Bundesministerium für Wirtschaft und Energie im Rahmen des Förderschwerpunkts Mittelstand-Digital und ist ein Fokusprojekt der Initiative IT-Sicherheit in der Wirtschaft. Dank der Förderung können alle Angebote und Materialien von EASY.CRA kostenfrei angeboten werden und richten sich gezielt an kleine und mittlere Unternehmen.
Fazit
Der CRA ist mehr als nur ein weiteres Gesetz. Er verschiebt Verantwortung stärker auf die Herstellerseite und macht Sicherheit zu einem festen Bestandteil der Produktentwicklung. Für Unternehmen heißt das vor allem: jetzt Transparenz schaffen, Zuständigkeiten klären und die Produktdaten strukturiert aufbereiten.
EASY.CRA setzt genau an dieser Stelle an und übersetzt die rechtlichen Anforderungen in praktische Orientierung. Das ist besonders hilfreich für Unternehmen, die ihre Betroffenheit noch prüfen müssen oder noch keinen klaren Fahrplan für die Umsetzung haben.
Verfasst von Johanna Baldus
Senior Projektmanagerin Kommunikation
