Cyber Resilience Act (CRA): Anwendungsbereich

Den CRA verstehen

Der Cyber Resilience Act ist ein zentraler Bestandteil der umfassenderen Digital Decade Strategy der EU, die verschiedene Initiativen wie die Datenstrategie, die Cybersecurity-Strategie, die KI-Strategie und den digitalen Datenschutz umfasst.

Der CRA zielt speziell darauf ab, die Sicherheit von Produkten mit digitalen Elementen zu stärken und damit dem wachsenden Bedarf an robusten Cybersecurity-Maßnahmen in unserer zunehmend vernetzten Welt gerecht zu werden.

Der CRA konzentriert sich auf Produkte mit digitalen Elementen und unterteilt sie – je nach Bedeutung und Sicherheitsanforderungen – in drei Hauptklassen:

1. Standardkategorie (~90 % aller Produkte):
Hierzu zählen alltägliche digitale Produkte wie Bildbearbeitungssoftware, Textverarbeitungsprogramme, Smart Speaker, Festplatten und Spiele. Obwohl diese Produkte den Großteil des Marktes ausmachen, unterliegen sie grundlegenden Sicherheitsanforderungen, um einen Basisschutz gegen Cyberbedrohungen sicherzustellen.

2. Wichtige Produkte (Klasse I):
Diese Kategorie umfasst unter anderem Passwort-Manager, Remote-Access-Tools, Betriebssysteme, Router sowie Mikroprozessoren und Mikrocontroller. Aufgrund ihrer zentralen Rolle beim Schutz sensibler Informationen und der Aufrechterhaltung der Systemintegrität gelten für sie strengere Sicherheitsanforderungen.

3. Wichtige Produkte (Klasse II):
In diese Kategorie fallen die kritischsten Produkte, darunter Hypervisoren, Firewalls, manipulationssichere Mikroprozessoren und Mikrocontroller, Hardware mit Sicherheitsmodulen, intelligente Messsysteme sowie sichere Krypto-Verarbeitungseinheiten. Diese Produkte sind für Hochsicherheitsumgebungen essenziell und erfordern das höchste Schutzniveau, um komplexe Cyberangriffe zu verhindern.

Produkte außerhalb des Anwendungsbereichs

Der CRA schließt bestimmte Produkte und Anwendungsfälle ausdrücklich aus seinem Anwendungsbereich aus:

Zertifizierte Produkte

Produkte, die bereits unter anderen EU-Vorschriften zertifiziert sind, z. B.:

• Medizinprodukte gemäß Verordnung (EU) 2017/745
• In-vitro-Diagnostika gemäß Verordnung (EU) 2017/746

Branchenspezifische Ausnahmen

• Produkte der zivilen Luftfahrt (Verordnung (EU) 2018/1139) 
• Schiffsausrüstung (Richtlinie 2014/90/EU) 

Ersatzteile

Identische Ersatzkomponenten für digitale Produkte, die nach denselben Spezifikationen wie die Originalteile hergestellt wurden.

Nationale Sicherheit / Verteidigung

Produkte, die ausschließlich für Zwecke der nationalen Sicherheit oder Verteidigung entwickelt oder modifiziert wurden oder für die Verarbeitung klassifizierter Informationen bestimmt sind.

Kraftfahrzeuge und zugehörige Systeme

Produkte, die unter die Verordnung (EU) 2019/2144 zu Typgenehmigungsanforderungen für Kraftfahrzeuge, Anhänger, Systeme, Bauteile und selbstständige technische Einheiten fallen.

Dazu gehören insbesondere folgende Fahrzeugkategorien:

• M1, M2, M3 – Fahrzeuge zur Personenbeförderung 
• N1, N2, N3 – Fahrzeuge zur Güterbeförderung
• O1, O2, O3, O4 – Anhänger

Diese Kategorien umfassen unter anderem:

• Intelligente Geschwindigkeitsassistenzsysteme
• Müdigkeits- und Aufmerksamkeitswarnsysteme für Fahrer
• Erweiterte Ablenkungswarnsysteme
• Notbremssignale
• Rückfahr-Erkennungssysteme
• Ereignisdatenspeicher (Event Data Recorder)
• Präzise Reifendrucküberwachungssysteme
• Schnittstellen für Alkohol-Wegfahrsperren (Breathalyzer)

Zusätzlich berücksichtigt werden z. B. Totwinkel-Systeme für Busse und Lkw sowie Kopfanprallschutzzonen für Pkw und Transporter.

Auswirkungen auf die Industrie:

Der CRA stellt Unternehmen vor erhebliche Compliance-Herausforderungen:

Schnelle Anpassung:
Unternehmen müssen sich rasch auf die neuen regulatorischen Anforderungen einstellen und fortgeschrittene Cybersecurity-Maßnahmen in ihre Produktentwicklungsprozesse integrieren.

Fachkräftemangel:
Es besteht ein akuter Bedarf an qualifizierten Cybersecurity-Experten, um die Anforderungen wirksam umzusetzen.

Finanzielle Auswirkungen:
Die Kosten für die Einhaltung der Vorgaben können erheblich sein – insbesondere für kleine und mittlere Unternehmen (KMU). Eine sorgfältige Planung und gezielte Ressourcenallokation sind daher unerlässlich.

Fazit:

Der Cyber Resilience Act stellt einen entscheidenden Schritt zur Stärkung der Sicherheit digitaler Produkte in der EU dar. Durch ein fundiertes Verständnis seines Anwendungsbereichs und eine frühzeitige Vorbereitung auf die Anforderungen können Unternehmen ihre Cybersecurity-Position stärken und zu einer sichereren digitalen Umgebung beitragen.

Bleiben Sie dran für weitere Einblicke und praxisnahe Empfehlungen in den kommenden Episoden von „The Cybersecurity Compass“.