Cyber Resilience Act (CRA)

Was er für Produktentwicklung, Engineering und Compliance bedeutet

Zentrale Erkenntnisse aus dem Experteninterview

Eine der wichtigsten Aussagen aus dem Experteninterview lautet:

„Die grundlegenden Anforderungen des CRA umfassen nur etwa eineinhalb A4-Seiten – die Herausforderung liegt jedoch in der praktischen Umsetzung über alle Unternehmensbereiche hinweg.“

Damit wird deutlich: Die Komplexität entsteht nicht durch die Regulierung selbst, sondern durch ihre organisatorische Umsetzung.

Was ist der Cyber Resilience Act?

Der CRA ist eine EU-Verordnung für Produkte mit digitalen Komponenten. Er definiert verbindliche Anforderungen zur Cybersicherheit und soll das Risiko von Cyberangriffen systematisch reduzieren.

Im Kern geht es um drei Ziele:

• Erhöhung der Produktsicherheit im europäischen Markt  
• Standardisierung von Sicherheitsanforderungen  
• Verbesserung der Reaktionsfähigkeit auf Sicherheitsvorfälle

Der CRA betrifft nahezu alle Produkte mit digitalen Elementen. Aber es gibt auch Ausnahmen

CRA-Produkte mit digitalen Elementen

CRA Ausnahmen

Ein zentrales Element des CRA ist die Einteilung von Produkten nach ihrem Sicherheitsrisiko.

Gruppe I: Standardprodukte
Nach bisherigen Marktstudien dürften etwa 90 % aller betroffenen Produkte in die Klasse Standard fallen.“ Typische Beispiele sind Consumer-IoT oder einfache Softwarelösungen.

Charakteristika:

• geringes Sicherheitsrisiko
• Selbstdeklaration ausreichend
• reduzierte regulatorische Anforderungen  

Gruppe II & III: Wichtige Produkte (Klasse 1 & 2)

Diese Kategorien umfassen Produkte mit erhöhtem Risiko, darunter:

• Passwortmanager
• Firewalls
• Betriebssysteme
• Mikroprozessoren  

Hier steigen die Anforderungen an:

• Entwicklungsprozesse
• Sicherheitsnachweise
• Schwachstellenmanagement

Gruppe IV: Kritische Produkte

Kritische Produkte werden typischerweise in sicherheitsrelevanten Infrastrukturen eingesetzt, etwa in Energieversorgung oder industriellen Steuerungssystemen.
Sie unterliegen besonders strengen Anforderungen:

• verpflichtende externe Zertifizierung
• erhöhte Prüf- und Nachweispflichten
• tiefgehende Sicherheitsbewertung

Ein zentraler Aspekt des CRA ist, dass er zwei unterschiedliche Sichtweisen gleichzeitig betrifft.

Compliance Perspektive

Produktentwicklungs-Perspektive

In der Praxis zeigt sich sehr deutlich, dass die grösste Herausforderung im Zusammenhang mit dem Cyber Resilience Act nicht in den regulatorischen Anforderungen selbst liegt, sondern in der Art und Weise, wie Organisationen intern aufgestellt sind.

Viele Unternehmen betrachten den CRA entweder aus einer reinen Compliance-Perspektive oder aus einer rein technischen Entwicklungssicht.
Diese Trennung führt jedoch häufig zu Reibungsverlusten im Alltag. Während Compliance-Teams sich auf regulatorische Nachweise, Klassifizierungen und Dokumentation konzentrieren, liegt der Fokus in der Produktentwicklung auf Architektur, Implementierung und Funktionalität.

Problematisch wird es insbesondere dann, wenn sicherheitsrelevante Anforderungen zu spät in den Entwicklungsprozess einfliessen oder technische Risiken nicht ausreichend in regulatorische Bewertungen übersetzt werden. Dadurch entsteht eine Lücke zwischen technischer Realität und formaler Compliance.

Der CRA zwingt Unternehmen daher dazu, diese Trennung aufzubrechen und Sicherheit als integralen Bestandteil des gesamten Produktlebenszyklus zu verstehen. Entwicklung, Produktmanagement, Security und Compliance müssen enger zusammenarbeiten als bisher.

Für Produkt- und Engineering-Teams bedeutet der CRA eine grundlegende Veränderung der Entwicklungslogik. Sicherheit wird dabei nicht mehr als nachgelagerte Prüfung verstanden, sondern als integraler Bestandteil von Architektur- und Designentscheidungen.

Security-by-Design
Sicherheitsanforderungen müssen bereits in der Architektur berücksichtigt werden. Dies betrifft insbesondere Systemaufbau, Schnittstellen und die Reduktion potenzieller Angriffsflächen.

Update- und Patchfähigkeit
Produkte müssen so entwickelt werden, dass Sicherheitsupdates langfristig, kontrolliert und nachvollziehbar ausgerollt werden können.

Drittkomponenten und Abhängigkeiten
Moderne Produkte bestehen aus zahlreichen externen Komponenten. Der CRA verlangt eine transparente Dokumentation und kontinuierliche Bewertung dieser Abhängigkeiten.

In der Praxis zeigt sich diese Verzahnung besonders deutlich in sicherheitskritischen Systemen. Wird beispielsweise ein Firewall-System in einer Bankumgebung kompromittiert, betrifft dies nicht nur ein einzelnes Produkt, sondern kann Auswirkungen auf mehrere verbundene Systeme haben.

In solchen Situationen entsteht eine Kette von Reaktionen:
Zunächst müssen technische Anomalien durch Engineering- oder Security-Teams erkannt und analysiert werden, bevor Compliance-Funktionen die regulatorische Relevanz bewerten und eine mögliche Meldepflicht auslösen.

⇒Genau an dieser Schnittstelle zwischen technischer Realität und regulatorischer Bewertung zeigt sich die enge Verzahnung der beteiligten Disziplinen.

Lagerprodukte
Für Lagerprodukte gilt:

• Produkte müssen vor dem Inverkehrbringen CRA-konform sein
• eine rein historische Produktion reicht nicht aus  
• gegebenenfalls ist eine Neubewertung erforderlich  

Damit hat der CRA direkte Auswirkungen auf Lagerstrategie und Produktlebenszyklusmanagement.
  
Ersatzteile
Im Bereich Ersatzteile erfolgt die Bewertung differenziert:

• Identische Ersatzteile sind in der Regel nicht neu zu bewerten
• funktional gleichwertige Teile können ebenfalls ausgenommen sein
• veränderte oder neu designte Komponenten können als neues Produkt gelten  

Dieser Bereich erfordert eine enge Abstimmung zwischen Engineering, Einkauf und Compliance.

Der Cyber Resilience Act ist weniger eine technische oder rein regulatorische Herausforderung, sondern vielmehr eine organisatorische Transformation.
Der entscheidende Erfolgsfaktor liegt in der frühzeitigen und strukturierten Zusammenarbeit zwischen:

• Produktentwicklung  
• Engineering  
• Security  
• Compliance  

Unternehmen, die diese Disziplinen konsequent integrieren, schaffen nicht nur regulatorische Sicherheit, sondern erhöhen gleichzeitig die tatsächliche Produktqualität und Cyberresilienz nachhaltig.

Das Experteninterview zeigt deutlich, dass der Cyber Resilience Act in seiner regulatorischen Struktur vergleichsweise kompakt ist.

Die eigentliche Komplexität entsteht nicht auf Ebene der Verordnung selbst, sondern in der praktischen Umsetzung innerhalb von Organisationen.

Viele Unternehmen unterschätzen dabei zunächst den Aufwand, da der CRA primär als regulatorisches Projekt wahrgenommen wird. In der Realität liegt die Herausforderung jedoch in der Integration in bestehende Entwicklungs-, Produkt- und Compliance-Strukturen.

Ein zentraler Aspekt ist die frühe Produktklassifizierung. Diese ist kein administrativer Zwischenschritt, sondern der Ausgangspunkt für sämtliche weiteren technischen und regulatorischen Entscheidungen.

Darüber hinaus wird deutlich, dass der CRA nicht isoliert betrachtet werden kann, sondern als Querschnittsthema zwischen Entwicklung, Produktmanagement, Security und Compliance wirkt. Genau hier entsteht die Notwendigkeit einer engen interdisziplinären Zusammenarbeit.