Der am 10. Dezember 2024 offiziell in Kraft getretene Cyber Resilience Act sieht für das laufende Jahr einen für Firmen besonders wichtigen Zeitpunkt vor. Ab 11. September 2026 greifen die „Verpflichtungen zur Meldung von aktiv ausgenutzten Schwachstellen und schweren Sicherheitsvorfällen“: Hersteller müssen Sicherheitslücken und sicherheitsrelevante Vorfälle melden, sobald sie davon Kenntnis erlangen – und zwar innerhalb kurzer Fristen. Hierzu baut die EU Agency for Cybersecurity (ENISA) zurzeit eine einheitliche zentrale Meldeplattform – CRA Single Reporting Platform (SRP) – auf, über die künftig alle Meldungen abgegeben werden müssen.
Ab 11. Dezember 2027 vollständig gültig
Die umfassenden Anforderungen des CRA wie Security-by-Design, Lifecycle-Management oder CE-Kennzeichnung unter CRA-Konformitätsnachweis gelten vollständig ab 11. Dezember 2027. „2026 beginnt die operative Phase des Cyber Resilience Act“, sagt Onekey-Geschäftsführer Jan Wendenburg.
In wenigen Monaten, ab 11. Juni 2026 werden die ersten Konformitätsbewertungsstellen (CABs) ihre Tätigkeit aufnehmen und die Konformität von Produkten vorab prüfen. Es handelt sich dabei um zugelassene, unabhängige Prüfstellen. Dadurch können Hersteller einen externen CRA-Konformitätsnachweis erhalten. Warum Eile geboten ist, erklärt Onekey-CEO Jan Wendenburg: „Die betroffenen Hersteller müssen bis spätestens dahin ihre internen Prozesse, Dokumentationen, technischen Nachweise und Sicherheitsanforderungen so vorbereitet haben, dass eine CAB überhaupt etwas prüfen kann.“ Für Produkte mit hohem Sicherheitsrisiko (CRA-Klassen „critical“ und „highly critical“) wie beispielsweise kritische Infrastruktur-Komponenten, IoT-Geräte mit großem Schadenspotenzial, industrielle Steuerungssysteme ist die externe Konformitätsbewertung Pflicht.
„Für rund 90 Prozent aller vernetzten Produkte genügt allerdings eine Selbsterklärung“, stellt Jan Wendenburg klar. Es handelt sich dabei um eine Erklärung des Herstellers, dass ein digitales Produkt die Anforderungen des CRA erfüllt und rechtskonform in Verkehr gebracht wird. Diese muss eine detaillierte Konformitätsbewertung beinhalten, wie sie über die Onekey-Plattform erreicht werden kann. Ohne eine solche Erklärung dürfen diese Produkte nach dem 11. Dezember 2027 nicht mehr auf dem EU-Markt verkauft werden.
Höchste Zeit für die Hersteller
Jan Wendenburg erklärt: „Es wird höchste Zeit für die Hersteller, ihre vernetzten Geräte, Maschinen und Anlagen einer CRA-Konformitätsbewertung zu unterziehen.“ Aus Erfahrungen bei den entsprechenden Tests auf der Onekey-Plattform weiß er: „In den meisten Fällen treten Lücken zutage, von denen viele nicht leicht zu beheben sind. Die Hersteller sollten sich auf einen entsprechenden Zeit-, Kosten- und Personalaufwand einstellen, um den gesetzlichen Anforderungen zu genügen, die auf sie zukommen.“ Als Beispiele nennt er: Schwachstellen in externen Programmen von Partnern außerhalb der EU mit wenig Verständnis für CRA-Compliance, zugekaufte Komponenten mit unvollständiger Dokumentation oder Open-Source-Software.
Der Onekey-Geschäftsführer führt aus: „Einer der ersten Schritte besteht darin, für jedes vernetzte Produkt eine lückenlose Software-Stückliste zu erstellen, eine sogenannte „Software Bill of Materials“, kurz SBOM. Und das erweist sich häufig als schwierig.“ Ziel ist es, mögliche Software-Schwachstellen, die Hackern als Angriffsfläche dienen könnten, zu identifizieren, um sie zeitnah beheben zu können. Der CRA verlangt daher eine detaillierte Auflistung aller Programme, Bibliotheken, Frameworks und Abhängigkeiten mit genauen Versionsnummern der einzelnen Komponenten, Informationen zu den jeweiligen Lizenzen, Angaben zu den Urhebern und einem Überblick über alle bekannten Schwachstellen und Sicherheitslücken. Diese Anforderungen zu erfüllen fällt vielen Herstellern schwer, und sei es nur, weil sie von ihren Vorlieferanten nicht die gewünschten Informationen in der notwendigen Vollständigkeit erhalten.
Jan Wendenburg stellt klar: „Viele SBOMS sind unvollständig, veraltet oder ohne Kontext zu Schwachstellen. Für die in der EU-Regulatorik zwingend vorgeschriebene Nachweispflicht sind diese lückenhaften und teilweise überholten Software-Stücklisten unbrauchbar.“
Großteil des Aufwands lässt sich automatisieren
Indes gehen die CRA-Auflagen weit über die bloße Bereitstellung einer korrekten SBOM hinaus. So werden die Hersteller verpflichtet, Sicherheitsvorgaben bereits während der Konzeptions- und Entwicklungsphase ihrer Produkte umzusetzen. Dazu gehören sichere Software- und Hardware-Designs, klare Vorgaben zur Schwachstellenbehandlung, die Einführung eines durchgängigen Risikomanagements sowie verpflichtende Sicherheitsupdates über definierte Produktlebenszyklen hinweg. „Alle diese Maßnahmen müssen nicht nur durchgeführt, sondern auch bewertet, dokumentiert und nachgewiesen werden“, umreißt Jan Wendenburg den Aufwand.
Er resümiert: „Die bevorstehende erste Umsetzungsphase des Cyber Resilience Act stellt zweifellos einen Meilenstein für die digitale Sicherheit in Europa dar, aber sie führt auch für die Hersteller zu einem Aufwand erheblichen Ausmaßes.“
