Als erste europäische Verordnung legt der CRA ein verbindliches Mindestmaß an Cybersecurity für alle vernetzten Produkte fest. Ab dem 11. Dezember 2027 sind Hersteller verpflichtet, Produkte mit digitalen Elementen über deren gesamten Lebenszyklus – von der Entwicklung bis zur Außerbetriebnahme – umfassend zu schützen. Diese Maßnahmen sollen die Cybersecurity in der EU nachhaltig stärken, den Verbraucherschutz verbessern und wirtschaftliche Risiken minimieren. Um diese Ziele zu erreichen, definiert die CRA-Verordnung fünf Kernanforderungen:
- Cybersecurity über gesamten Produktlebenszyklus
Sicherheitsmaßnahmen werden von Beginn an in der Produktentwicklung integriert. Prinzipien wie Secure-by-Design, -Implementation und -Default gewährleisten kontinuierliche Sicherheit über den gesamten Lebenszyklus.
- Schwachstellenmanagement und Meldepflicht
Eine zentrale Meldeplattform wird eingerichtet, um aktiv ausgenutzte Schwachstellen und Sicherheitsvorfälle zu dokumentieren. Diese Transparenz verbessert die Reaktionsfähigkeit der Anwender, um Sicherheitslücken effizient zu identifizieren und zu schließen.
- Sicherheitsupdates und -Support
Hersteller sind verpflichtet, während der gesamten Produktlebensdauer kostenlose Sicherheitsupdates bereitzustellen. Der Supportzeitraum beträgt in der Regel fünf Jahre und umfasst auch das Schwachstellenmanagement.
- Konformitätsverfahren und CE-Kennzeichnung
Produkte müssen je nach Risikoklasse eine entsprechende Konformitätsbewertung durchlaufen und eine CE-Kennzeichnung erhalten, um EU-weite Zulassung zu erlangen und Anwendern die notwendigen Sicherheitsstandards zu garantieren.
- Verbraucherschutz und Schadensvermeidung
Hersteller müssen Sicherheitslücken und Manipulationen proaktiv verhindern, um das Risiko von Cyberangriffen zu minimieren. EU-Standards und präventive Maßnahmen schützen Anwender vor unsicheren Geräten und helfen, langfristig wirtschaftliche Schäden zu reduzieren.
