Seit der Verabschiedung des Cyber Resilience Act (CRA) fragen sich viele Hersteller und Zulieferer, wie ernst es die Europäische Union mit der Umsetzung dieser neuen Verordnung meint. Wird es am Ende bei wohlklingenden Absichtserklärungen bleiben – oder folgt tatsächlich eine konsequente Marktüberwachung mit echten Konsequenzen?
Dieser Beitrag beleuchtet, warum der CRA mehr ist als ein regulatorisches Signal: Er ist ein verbindlicher Rechtsrahmen mit weitreichenden Pflichten, hohen Strafandrohungen und klaren Durchsetzungsmechanismen. Zahlreiche Fakten, offizielle Aussagen und strukturelle Vorbereitungen zeigen deutlich: Die EU wird den CRA durchsetzen – und erwartet dasselbe von der Industrie.
Konsequente Marktüberwachung
Die EU baut beim CRA auf das etablierte System der Marktüberwachung: Nationale Marktüberwachungsbehörden sollen die Einhaltung der Vorgaben kontrollieren – etwa durch Inspektionen und Stichprobenprüfungen. Verstöße können dabei europaweit koordiniert verfolgt werden; die Behörden der Mitgliedstaaten teilen Informationen untereinander und mit der EU-Kommission, um ein einheitliches Vorgehen sicherzustellen. Die ENISA (die EU-Agentur für Cybersicherheit) erhält zudem eine zentrale Rolle: Sie koordiniert Meldungen zu Sicherheitsvorfällen und unterstützt die Aufsichtsbehörden auf EU-Ebene.
Bemerkenswert ist, dass die EU-Kommission selbst bei Bedarf eingreifen kann, falls nationale Behörden zögerlich agieren. In „außergewöhnlichen Umständen“ darf die Kommission EU-weit Produkte vom Markt nehmen oder andere Korrekturmaßnahmen ergreifen, um die Cybersicherheit zu gewährleisten. Dies zeigt deutlich, dass die EU bereit ist, notfalls zentral durchzugreifen und den CRA nicht verwässern zu lassen. Auch praktisch ist eine aktive Überwachung geplant: So berichten Fachquellen, dass Marktaufsichtsbehörden gezielte „Sweeps” durchführen werden, um Verstöße systematisch aufzudecken. Insgesamt ist eine engmaschige Kontrolle vorgesehen, damit die neuen Cybersecurity-Pflichten für Produkte auch tatsächlich umgesetzt werden und nicht nur auf dem Papier stehen.
Geplante Sanktionen bei Verstößen
Der Cyber Resilience Act sieht erhebliche Sanktionen vor, die vergleichbar mit den harten Strafen der DSGVO sind. Die Verordnung verpflichtet alle Mitgliedstaaten, „wirksame, verhältnismäßige und abschreckende“ Strafvorschriften zu erlassen. Konkret werden im CRA folgende Bußgeldrahmen vorgegeben:
- Verstoß gegen grundlegende Sicherheitsanforderungen (Annex I) oder zentrale Pflichten der Hersteller (z.B. sichere Produktgestaltung, Sicherheitsupdates, Risikobewertung): Geldbußen bis zu 15 Mio. € oder 2,5% des weltweiten Jahresumsatzes des Unternehmens, je nachdem welcher Betrag höher ist. Dies unterstreicht den hohen Stellenwert der essentiellen Cybersecurity-Anforderungen im CRA.
- Verstoß gegen sonstige Pflichten (etwa Dokumentations-, Kennzeichnungs- oder Händlerpflichten): Geldbußen bis zu 10 Mio. € oder 2% des weltweiten Jahresumsatzes. Auch weniger gravierende Verstöße werden also mit empfindlichen Strafen belegt.
- Falsche oder irreführende Auskünfte gegenüber Behörden oder Prüfinstanzen: Geldbußen bis zu 5 Mio. € oder 1% des Umsatzes. Damit sollen Unternehmen davon abgehalten werden, Informationen zu verschleiern – eine Lehre aus anderen Regulierungen, die hier explizit umgesetzt wird.
- Neben Geldstrafen können Behörden auch produktbezogene Maßnahmen ergreifen. Bei gefährlichen oder nicht konformen Produkten darf ihre Verfügbarkeit eingeschränkt oder untersagt werden; es kann sogar angeordnet werden, dass Produkte zurückgerufen oder vom Markt genommen werden. Dies soll sicherstellen, dass unsichere Geräte gar nicht erst weiter in Umlauf gelangen.
Die Befugnis der Kommission, im Ernstfall EU-weit den Vertrieb unsicherer Produkte zu stoppen, verschärft diesen Effekt zusätzlich. Die vorgesehenen Sanktionen sind also keineswegs symbolisch, sondern so bemessen, dass sie Unternehmen abschrecken und zur Compliance zwingen – vergleichbar mit den drastischen Strafen, die man seit der DSGVO kennt.
Öffentliche Bekenntnisse zur Verbindlichkeit des CRA
Vertreter der EU-Institutionen haben öffentlich klar gemacht, dass der Cyber Resilience Act kein zahnloser Tiger sein wird.
So betonte Henna Virkkunen von der Europäischen Kommission anlässlich des Inkrafttretens des CRA: „Wir sind entschlossen, Europa zu einem sicheren Ort für unsere Bürger und Unternehmen zu machen. Diese neue Verordnung ist ein großer Schritt nach vorn, um sicherzustellen, dass digitale Produkte in der EU kein Cyberrisiko für Verbraucher darstellen.”
Auch der spanische Technologieminister José Luis Escrivá, als Vertreter des EU-Ratsvorsitzes, erklärte zum politischen Abschluss der Verhandlungen: „Vernetzte Geräte brauchen ein grundlegendes Maß an Cybersicherheit, wenn sie in der EU verkauft werden… Genau das wird der Cyber Resilience Act erreichen, sobald er in Kraft ist.”.
Solche Aussagen zeigen, dass sowohl die EU-Kommission als auch die Mitgliedstaaten die Verordnung als bindend und essentiell für die Cybersicherheit betrachten. Zudem ist der CRA als EU-Verordnung unmittelbar in allen Mitgliedstaaten gültig und bedarf keiner Umsetzung in nationales Recht – das verhindert Unterschiede und Abschwächungen auf nationaler Ebene. Die Hauptpflichten gelten ab Dezember 2027 damit verbindlich in ganz Europa. Bereits diese Konstruktion garantiert einen einheitlichen, verpflichtenden Ordnungsrahmen. Die EU möchte damit – in den Worten von Kommissionspräsidentin von der Leyen – „gemeinsame europäische Cybersicherheits-Standards“ durchsetzen. Insgesamt lassen die offiziellen Verlautbarungen wenig Zweifel daran, dass der CRA mit Nachdruck umgesetzt werden soll. Ein “Verwässern” würde dem erklärten politischen Anspruch widersprechen, Europas digitalen Binnenmarkt sicherer zu machen.
CE-CRA-Prozess und die Rolle der ENISA
Rolle von Notified Bodies, harmonisierten Normen und Drittprüfungen
Ein zentrales Element, das die Strenge der Umsetzung unterstützt, ist das Konformitätsbewertungs-System des CRA. Ähnlich wie bei anderen CE-Kennzeichnungspflichten setzt die Verordnung auf harmonisierte EU-Normen und – wo nötig – unabhängige Prüfstellen (Notified Bodies), um die Einhaltung der Sicherheitsanforderungen zu garantieren. Alle Hersteller müssen vor dem Inverkehrbringen eine Konformitätsprüfung durchführen und erklären, dass ihr Produkt die „essential cybersecurity requirements“ erfüllt. Für den Großteil der weniger kritischen Produkte (geschätzt ~90 % der Produkte mit digitalen Elementen) ist eine Selbsterklärung auf Basis harmonisierter Standards vorgesehen. Diese Standards werden von europäischen Normungsorganisationen erarbeitet und bieten eine Vermutungswirkung: Wenn ein Produkt gemäß harmonisierter Norm entwickelt wurde, gilt es als regelkonform. Dadurch wird sichergestellt, dass selbst bei Selbstprüfung ein einheitlich hohes Sicherheitsniveau angelegt wird. Unklar ist zurzeit nur noch, wie viel Interpretationsfreiraum Hersteller beim Umsetzen konkreter Maßnahmen haben. Klar ist jedoch auch, dass darüber eine Risikobewertung richtet, in denen Hersteller die Bedrohungen erkennen und einschätzen müssen.
Bei höheren Risikoklassen jedoch – den als „wichtig“ oder „kritisch“ eingestuften Produkten – schreibt der CRA verschärfte Prüfverfahren vor. Hier kann eine Drittprüfung durch eine benannte Stelle erforderlich sein oder eine Zertifizierung nach einem europäischen Cybersicherheits-Zertifizierungsschema (z.B. dem EUCC nach dem Cybersecurity Act) genutzt werden. Die Idee dahinter: Je größer das potenzielle Schadensrisiko eines Produkts, desto unabhängiger und gründlicher muss die Kontrolle sein. So dürfen wirklich kritische Produkte nicht allein auf Selbstauskünften der Hersteller beruhen. Entweder ein Notified Body prüft das Produkt nach strengen Kriterien, oder der Hersteller weist über ein EU-Zertifikat auf hohem Assurance-Level nach, dass die CRA-Anforderungen erfüllt sind. Der CRA definiert in diesem Zusammenhang genaue Verfahren und Qualitätskriterien für die Arbeit der Notified Bodies, um einheitliche Maßstäbe sicherzustellen. Bereits die Verpflichtung, bei Bedarf externe Prüfstellen einzuschalten, zeigt den Willen der EU, unabhängige Expertise einzubinden und Schlupflöcher zu schließen. Ergänzend dazu wird die CE-Kennzeichnung auf dem Produkt verpflichtend, als sichtbares Zeichen der Konformität. Damit können unsichere Produkte leichter vom Markt ferngehalten werden, da ohne CE-Kennzeichen kein legaler Verkauf in der EU stattfinden darf. Die Einbindung von Drittprüfungen und Normen im CRA stellt sicher, dass die Regeln praktisch überprüfbar und durchsetzbar sind – es wird also nicht allein auf das Wort des Herstellers vertraut, sondern auf überprüfbare Nachweise. Hersteller sollten sich also generell darauf einstellen, diese Nachweise zu pflegen.
Produktkategorien
Besonders interessant ist das CRA in Bezug auf die konkreten Produktarten im Annex III und Annex IV. Hier wird umrissen, welche Produkttypen unter wichtige und kritische Produkte fallen. Diese müssen dann immer im Standardisierungsrahmen einer Norm oder über ein Assessment Security-Maßnahmen nachweisen. Ein Self-Assessment ist dann nicht möglich.
Annex III des CRA umfasst Produkte, die aufgrund ihrer Funktionen, ihres Einsatzbereichs oder ihrer technischen Spezifikationen erhebliche Cybersicherheitsrisiken aufweisen können. Dazu gehören etwa Passwortmanager, Identitätsmanagement-Systeme, VPN-Produkte, Betriebssysteme, Router, Mikrocontroller sowie smarte Haushaltsgeräte mit Sicherheitsfunktion wie intelligente Türschlösser oder Kameras. Diese wichtigen Produkte sind nochmals in zwei Klassen eingeteilt: Klasse I und Klasse II. Abhängig von ihrer Klasse und Risikoabschätzung sind Hersteller entweder zur Selbsteinschätzung oder zu einer Bewertung durch unabhängige Dritte verpflichtet.
Annex IV hingegen betrifft sogenannte kritische Produkte, die aufgrund ihrer Nutzung in sensiblen Bereichen wie kritischen Infrastrukturen besonders hohe Sicherheitsanforderungen erfüllen müssen. Beispiele hierfür sind Hardware mit speziellen Security-Boxen, Smart-Meter-Gateways, Smartcards und Geräte mit sicherheitsrelevanten kryptografischen Elementen. Für diese kritischen Produkte schreibt der CRA eine zwingende externe Konformitätsbewertung durch unabhängige, benannte Prüfstellen (Notified Bodies) vor.
Class-I- und Class-II-Produkte
Hersteller der in Annex III und IV genannten Produkte müssen umfassende technische Dokumentationen erstellen, klare und effektive Prozesse zur Identifikation und Beseitigung von Schwachstellen etablieren sowie regelmäßige und transparente Sicherheitsupdates bereitstellen. Besonders für Hersteller kritischer Produkte aus Annex IV gelten strenge zusätzliche Anforderungen, darunter verpflichtende externe Audits und regelmäßige Prüfungen, um dauerhaft die Einhaltung der hohen Sicherheitsstandards sicherzustellen.
Zusammenfassung
Der Cyber Resilience Act ist kein Papiertiger – sondern ein verbindliches Regelwerk, das die Cybersicherheit von Produkten in Europa grundlegend verändern wird. Die EU hat mit hohen Bußgeldern, verpflichtenden Prüfverfahren und klar geregelten Zuständigkeiten unmissverständlich gezeigt, dass sie die Umsetzung ernst meint. Wer den CRA als bloße Formalität abtut, verkennt die Reichweite und Konsequenz dieser Verordnung.
Für Unternehmen bedeutet das: Jetzt ist der richtige Zeitpunkt, um Strukturen, Prozesse und Produkte auf die neuen Anforderungen auszurichten – bevor es teuer wird. Wer heute in Cyber Resilience investiert, handelt nicht nur gesetzeskonform, sondern auch zukunftssicher.
Kommentieren