Was ist der Cyber Resilience Act?

Definition Was ist der Cyber Resilience Act?

13.12.2023 Von Heidi Schuster 2 min Lesedauer

Anbieter zum Thema

G DATA CyberDefense AG

Impossible Cloud GmbH

XOPERO SOFTWARE S.A.

Cyber Resilience Act (CRA) ist der Name einer EU-Verordnung, die auf eine verbesserte Sicherheit von Produkten mit digitalen Bestandteilen abzielt. Er stellt eine Ergänzung bestehender Regelungen dar. Die Verordnung soll 2024 in Kraft treten.

Grundlagenwissen zum IT-Business(Bild: © adiruch na chiangmai - Fotolia.com) — Grundlagenwissen zum IT-Business
(Bild: © adiruch na chiangmai - Fotolia.com)

Der Begriff Cyber-Resilienz ist nicht exakt definiert. Generell bezeichnet er die Widerstandsfähigkeit und Anpassungsfähigkeit in Bezug auf Cyber-Angriffe aller Art. Es geht dabei nicht um einzelne Sicherheitsmaßnahmen im IT-Bereich, sondern um eine ganzheitliche Strategie, die die Entwicklung und Nutzung bestehender und neuer Technologien sicher machen soll.

Wichtigstes Ziel ist die effiziente Bekämpfung von Cyberkriminalität. Dafür sieht der Cyber Resilience Act einheitliche, hohe Standards für Cybersicherheit im gesamten Bereich der EU vor. Sie betreffen alle Produkte mit digitalen Elementen, sowohl Hardware- wie Softwareprodukte. Gleichzeitig soll die Verordnung Wettbewerbsgleichheit für IT in allen Ländern herstellen und Rechtssicherheit schaffen.

Wer ist vom Cyber Resilience Act betroffen?

Die EU-Verordnung nimmt Hersteller, Händler, Importeure und Betreiber in die Pflicht. Es dürfen nur noch IT-Produkte verkauft werden, die hohe Cybersicherheitsanforderungen erfüllen. Das gilt für den gesamten Lebenszyklus eines Produkts von der Konzeption bis zur Außerbetriebnahme. Zusätzlich wird ein umfassendes Schwachstellenmanagement gefordert. Hersteller sind zudem verpflichtet, die Eigenschaften ihrer Produkte transparent und detailliert zu dokumentieren. Für bekannte Schwachstellen besteht eine umfassende Meldepflicht.

Wer IT-Produkte importiert oder vertreibt, muss sicherstellen, dass diese CRA-konform sind. Dazu gehört eine Überprüfung, ob der Hersteller das Konformitätsbewertungsverfahren korrekt durchgeführt hat und ob die technische Dokumentation verfügbar und vollständig ist. Geräte müssen CE-Kennzeichnungen tragen, Nutzerinformationen und Gebrauchsanleitungen beiliegen. Unternehmen werden als Betreiber in das umfassende europäische Sicherheitskonzept eingebunden. Sie müssen die Vorgaben der zweiten Network and Information Security Directive (NIS2) beachten. Der Cyber Resilience Act gibt ihnen durch die Vorgaben zur Transparenz und Dokumentation die Mittel für ein verbessertes Risikomanagement an die Hand.

Sicherheitsklassen für IT-Produkte und Anwendungen

Der Cyber Resilience Act ordnet Produkte mit digitalen Elementen vier unterschiedlichen Sicherheitsklassen zu. Für jede Klasse gibt es spezifische Sicherheitsvorschriften. Die Standard-Kategorie umfasst rund 90 % aller Produkte. Zu ihr gehören alltägliche Geräte wie Unterhaltungselektronik, smarte Haushaltsgeräte oder Festplatten.

Strengeren Sicherheitsanforderungen müssen IT-Produkte der beiden kritischen Klassen erfüllen. Für sie ist eine Zertifizierung durch eine akkreditierte Institution erforderlich. Zur Kritischen Klasse I zählen Produkte für die Industrie- sowie Gebäudeautomatisierung, zur Kritischen Klasse II Produkte für die kritische Infrastruktur. Die vierte Kategorie mit den höchsten Sicherheitsanforderungen betrifft hochkritische Produkte, die einen Einfluss auf die Cyber-Resilienz der gesamten Lieferkette haben.

(ID:50022970)

Wissen, was läuft

Täglich die wichtigsten Infos aus dem ITK-Markt

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Stand: 08.12.2025

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.