Skip to main content

Cyber Resilience Act

Der Cyber Resilience Act – CRA – ist eine EU-Verordnung, welche Harmonisierungsvorschriften für Produkte mit digitalen Elementen definiert. Ziel der EU ist es durch diese Regularie Hersteller, Importeure & Distributoren in die Pflicht zu nehmen, Cybersecurity in Produkten zu berücksichtigen und auszusteuern. Ziel & Motivation der EU ist es hiermit diverse identifizierte Probleme in der derzeitigen Landschaft der Cybersicherheit im EU-Binnenmarkt zu adressieren.

Die Anzahl an bekanntgewordenen Schwachstellen – Fehler im Design oder in Bibliotheken – in Software nimmt von Jahr zu Jahr zu. Der CRA soll daher sicherstellen, dass Sicherheitslücken bereits vor dem Inverkehrbringen erkannt und beseitigt werden. Unsichere Produkte sollen so gar nicht erst auf den Markt gelangen.

Navigate to the next section

Was Hersteller jetzt wissen müssen

Der Cyber Resilience Act (CRA) wurde seitens des Europäischen Rates im Oktober 2024 verabschiedet. Hiermit definieren sich zwei Stichtage, welche für Hersteller, Importeure und Händler von Produkten mit digitalen Elementen von Relevanz sind: Ein Produkt mit digitalen Elementen darf ab 11.12.2027 nur dann mit dem CE-Kennzeichen versehen und im EU-Binnenmarkt vertrieben werden, wenn es den Anforderungen des CRA entspricht.

Bei Verstößen drohen empfindliche Bußgelder: bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes des Unternehmens – je nachdem, welcher Betrag höher ist. Weiters kann die Marktaufsichtsbehörde auch Produkte vom Markt nehmen oder Nachbesserungen fordern.

Ab 11. September 2026
gilt eine Meldepflicht: Unternehmen müssen schwerwiegende Sicherheitsvorfälle sowie aktiv ausgenutzte Schwachstellen, die die Cybersicherheit eines Produkts betreffen, an nationale (CSIRT) und europäische Behörden (ENISA) melden.
Ab 11. Dezember 2027
müssen alle technischen und organisatorischen Anforderungen des CRA erfüllt sein. Dazu zählen u. a. risikobasierte Sicherheitsmaßnahmen und die Bereitstellung von Sicherheitsupdates über den gesamten, zu definierenden Unterstützungszeitraum hinweg.

Bin ich vom Cyber Resilience Act betroffen?

Diese Frage stellen sich aktuell Unternehmen in ganz Europa! In unserem 1-MINUTEN-Self-Check finden Sie es heraus!

Wie wir Sie bei der Umsetzung des CRA unterstützen!

Zur strukturierten und praxisnahen Umsetzung des Cyber Resilience Acts bietet Limes Security ein breites Spektrum an unterstützenden Leistungen – von der ersten Orientierung bis hin zur technischen Umsetzung und Schulung.

Die angebotenen Leistungen greifen ineinander und ermöglichen eine strukturierte, nachvollziehbare und praxisgerechte Umsetzung der CRA-Anforderungen – abgestimmt auf individuelle Produkt- und Unternehmensbedürfnisse. Ziel ist es, als Partner bestmöglich bei der effizienten Entwicklung eines sicheren, CRA-konformen Produkts zu unterstützen.

Bereitstellung von Leitlinien und Interpretationen zu normativen und regulatorischen Anforderungen

Regelmäßige Check-ins, um einen externen Sparring-Partner für die Besprechung von Plänen, Implementierungen und offenen Fragen zu haben, um sicherzustellen, dass das Projekt nicht stecken bleibt!

Prüfung von intern erstellten Dokumenten

Unterstützung bei der Erstellung von konkreten Security-Konzepten für Produkte !

Gemeinsames Durchführen von Sicherheitsprozessen für Learning on the Job, wie z.B. Workshops zur Bedrohungsmodellierung, oder Sicherheitstests für Ihr Produkt!

Erstellung von Dokumenten und Bereitstellung von Vorlagen

Im Rahmen der Limes Academy werden darüber hinaus praxisnahe OT-Security Ausbildungen und Zertifzierungen angeboten – für Fachkräfte, die Security nicht nur verstehen, sondern aktiv gestalten wollen. Zwei besonders relevante Trainings im Kontext des Cyber Resilience Acts sind:

SEC.311 Sichere Entwicklungsprozesse für OT und (I)IoT

Grundlagentraining um Produkte konform zu Cyber Resilience Act, Maschinenverordnung, IEC 62443-4-1 und Co. entwickeln

Mehr zum Training
SEC.331 Sichere Embedded & (I)IoT-Produkte

Einsteigertraining für das richtige und ganzheitliche Umsetzen von embedded & (I)IoT-Produkten

Mehr zum Training

Mehr Infos zum CRA finden Sie in unserem kostenlosen White Paper

Wir – Limes Security und Ginzinger Electronics – haben unsere Expertise gebündelt, um Ihnen einen verständlichen Überblick über die Anforderungen des CRA zu geben – inklusive konkreter Handlungsempfehlungen für die Umsetzung in der Praxis.