Der Cyber Resilience Act (CRA) hat ab 2026 erstmals unmittelbare Auswirkungen, auf die sich die Hersteller digitaler Geräte, Maschinen und Anlagen mit Internetverbindung einstellen müssen. Darauf weist das Düsseldorfer Cybersicherheitsunternehmen Onekey hin, das eine Plattform zur Überprüfung von Gerätesoftware (Firmware) auf Sicherheitsmängel und CRA-Compliance betreibt.
In einer Pressemitteilung verweist das Düsseldorfer Unternehmen darauf, dass ab dem 11. September 2026 die „Verpflichtungen zur Meldung von aktiv ausgenutzten Schwachstellen und schweren Sicherheitsvorfällen“ greifen: Hersteller müssen Sicherheitslücken und sicherheitsrelevante Vorfälle melden, sobald sie davon Kenntnis erlangen – und zwar innerhalb kurzer Fristen. Hierzu baut die EU Agency for Cybersecurity (ENISA) zurzeit eine einheitliche zentrale Meldeplattform – CRA Single Reporting Platform (SRP) – auf, über die künftig alle Meldungen abgegeben werden müssen.
Die umfassenden Anforderungen des CRA wie Security-by-Design, Lifecycle-Management oder CE-Kennzeichnung unter CRA-Konformitätsnachweis gelten vollständig ab 11. Dezember 2027. „2026 beginnt die operative Phase des Cyber Resilience Act“, sagt Onekey-Geschäftsführer Jan Wendenburg.
Onekey teilt ferner mit, dass ab dem 11. Juni 2026 die ersten Konformitätsbewertungsstellen (CABs) ihre Tätigkeit aufnehmen werden und die Konformität von Produkten vorab prüfen. Es handelt sich dabei um zugelassene, unabhängige Prüfstellen. Dadurch können Hersteller einen externen CRA-Konformitätsnachweis erhalten. Dazu Jan Wendenburg: „Die betroffenen Hersteller müssen bis spätestens dahin ihre internen Prozesse, Dokumentationen, technischen Nachweise und Sicherheitsanforderungen so vorbereitet haben, dass eine CAB überhaupt etwas prüfen kann.“ Für Produkte mit hohem Sicherheitsrisiko (CRA-Klassen „critical“und „highly critical“) wie beispielsweise kritische Infrastruktur-Komponenten, IoT-Geräte mit großem Schadenspotenzial, industrielle Steuerungssysteme ist die externe Konformitätsbewertung Pflicht.
„Für rund 90 Prozent aller vernetzten Produkte genügt allerdings eine Selbsterklärung“, sagt Wendenburg. Es handelt sich dabei um eine Erklärung des Herstellers, dass ein digitales Produkt die Anforderungen des CRA erfüllt und rechtskonform in Verkehr gebracht wird. Diese muss eine detaillierte Konformitätsbewertung beinhalten. Onekey betont, dass Produkte ohne eine solche Erklärung nach dem 11. Dezember 2027 nicht mehr auf dem EU-Markt verkauft werden dürfen.
SBOM als erster Schritt
Jan Wendenburg erklärt: „Es wird höchste Zeit für die Hersteller, ihre vernetzten Geräte, Maschinen und Anlagen einer CRA-Konformitätsbewertung zu unterziehen.“ Er berichtet von Erfahrungen bei den entsprechenden Tests auf der Onekey-Plattform: „In den meisten Fällen treten Lücken zutage, von denen viele nicht leicht zu beheben sind. Die Hersteller sollten sich auf einen entsprechenden Zeit-, Kosten- und Personalaufwand einstellen, um den gesetzlichen Anforderungen zu genügen, die auf sie zukommen.“ Als Beispiele nennt er: Schwachstellen in externen Programmen von Partnern außerhalb der EU mit wenig Verständnis für CRA-Compliance, zugekaufte Komponenten mit unvollständiger Dokumentation oder Open-Source-Software.
Der Geschäftsführer führt aus: „Einer der ersten Schritte besteht darin, für jedes vernetzte Produkt eine lückenlose Software-Stückliste zu erstellen, eine sogenannte Software Bill of Materials, kurz SBOM. Und das erweist sich häufig als schwierig.“ Ziel ist es, mögliche Software-Schwachstellen, die Hackern als Angriffsfläche dienen könnten, zu identifizieren, um sie zeitnah beheben zu können. Der CRA verlangt daher eine detaillierte Auflistung aller Programme, Bibliotheken, Frameworks und Abhängigkeiten mit genauen Versionsnummern der einzelnen Komponenten, Informationen zu den jeweiligen Lizenzen, Angaben zu den Urhebern und einem Überblick über alle bekannten Schwachstellen und Sicherheitslücken. Diese Anforderungen zu erfüllen fällt vielen Herstellern schwer, und sei es nur, weil sie von ihren Vorlieferanten nicht die gewünschten Informationen in der notwendigen Vollständigkeit erhalten. Jan Wendenburg stellt klar: „Viele SBOMS sind unvollständig, veraltet oder ohne Kontext zu Schwachstellen. Für die in der EU-Regulatorik zwingend vorgeschriebene Nachweispflicht sind diese lückenhaften und teilweise überholten Software-Stücklisten unbrauchbar.“
Aufwand automatisieren
Die CRA-Auflagen gehen jedoch über die Bereitstellung einer korrekten SBOM hinaus. Onkey verweist hier etwa darauf, dass Hersteller verpflichtet sind, Sicherheitsvorgaben bereits während der Konzeptions- und Entwicklungsphase ihrer Produkte umzusetzen. Dazu gehören sichere Software- und Hardwaredesigns, klare Vorgaben zur Schwachstellenbehandlung, die Einführung eines durchgängigen Risikomanagements sowie verpflichtende Sicherheitsupdates über definierte Produktlebenszyklen hinweg. „Diese Maßnahmen müssen nicht nur durchgeführt, sondern auch bewertet, dokumentiert und nachgewiesen werden“, sagt Wendenburg.
Er resümiert: „Die bevorstehende erste Umsetzungsphase des Cyber Resilience Act stellt zweifellos einen Meilenstein für die digitale Sicherheit in Europa dar, aber sie führt auch für die Hersteller zu einem Aufwand erheblichen Ausmaßes.“
