Mit der Verabschiedung des EU Cyber Resilience Act (CRA) ist Cybersicherheit nicht mehr nur eine Frage von Best Practices oder freiwilligen Standards. Sie wird zu einer rechtlich durchsetzbaren Anforderung für Hersteller digitaler Produkte.

Für Unternehmen, die Software oder vernetzte Systeme entwickeln, führt der CRA neue Verpflichtungen in Bezug auf sichere Produktgestaltung, Schwachstellenmanagement, Transparenz sowie Incident-Reporting ein. Organisationen, die diese Anforderungen nicht erfüllen, können mit erheblichen Sanktionen rechnen — bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes.

Bei ALPEIN Software bereiten wir unseren Business-Passwortmanager PassSecurium bereits jetzt darauf vor, diese Anforderungen zu erfüllen — deutlich bevor die Verordnung vollständig in Kraft tritt.

In diesem Artikel erklären wir, was der CRA ist, für wen er gilt und wie wir PassSecurium auf die Einhaltung seiner Cybersicherheitsanforderungen vorbereiten.

Was ist der EU Cyber Resilience Act?

Der Cyber Resilience Act (Verordnung EU 2024/2847) ist eine europäische Verordnung, die verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt, die auf dem EU-Markt bereitgestellt werden.

Dazu gehören unter anderem:

• Softwareprodukte
• Netzwerk- und Sicherheitslösungen
• IoT-Geräte
• Hardware mit eingebetteter Software
• Unternehmensanwendungen und IT-Systeme

Ziel des CRA ist es sicherzustellen, dass Produkte, die in der EU verkauft werden:

• Secure by design entwickelt sind
• Secure by default konfiguriert sind
• regelmässige Sicherheitsupdates erhalten
• transparent über Sicherheitslücken informieren

Die Verordnung führt Cybersicherheitsanforderungen über den gesamten Lebenszyklus eines Produkts hinweg ein — von der Entwicklung und Veröffentlichung bis hin zum Umgang mit Schwachstellen und der Information der Nutzer.

Praktisch bedeutet dies, dass Cybersicherheit von einer Empfehlung zu einer rechtlichen Verpflichtung wird.

Für wen gilt der CRA

Der CRA gilt für Hersteller, Importeure und Händler von Produkten mit digitalen Elementen, die auf dem EU-Markt bereitgestellt werden.

Dazu zählen:

• Unternehmen mit Sitz in der EU
• Unternehmen ausserhalb der EU, die Produkte an Kunden in der EU verkaufen

Für Softwarehersteller ist der zentrale Punkt einfach:

Wenn Ihr Produkt innerhalb der EU vertrieben oder verkauft wird, gilt der CRA.

Das bedeutet, dass auch Schweizer Softwareunternehmen, einschliesslich Anbieter von Enterprise-Sicherheitslösungen, die Anforderungen erfüllen müssen, wenn sie Kunden in der EU bedienen.

Produktklassifizierung im CRA

Die Verordnung klassifiziert digitale Produkte in unterschiedliche Kategorien, abhängig vom Cybersicherheitsrisiko.

Standardkategorie

Etwa 90 % aller Produkte fallen in diese Kategorie.

Beispiele sind:

• Standard-Softwareanwendungen
• Unterhaltungselektronik
• IoT-Geräte mit geringerem Risiko

Diese Produkte durchlaufen in der Regel eine Selbstbewertung der Konformität.

Wichtige Produkte — Klasse I

Bestimmte Produkte, die eine zentrale Rolle für Sicherheit oder Identitätsmanagement spielen, werden als Important (wichtig) Class I eingestuft.

Dazu gehören beispielsweise:

• Passwortmanager
• Browser
• VPN-Lösungen
• Identity-Management-Systeme
• Netzwerkmanagement-Software

PassSecurium fällt in diese Kategorie.

Diese Klassifizierung spiegelt wider, dass Passwortmanager sensible Zugangsdaten speichern und daher besonders hohe Cybersicherheitsanforderungen erfüllen müssen.

Produkte der Kategorie Important Class I können entweder:

eine Selbstbewertung anhand harmonisierter Standards durchführen

oder

eine Konformitätsbewertung durch eine Drittstelle durchlaufen.

Wichtige Produkte — Klasse II

Software für kritische Infrastruktur fällt in diese Kategorie, beispielsweise:

• Firewalls
• Intrusion-Detection-Systeme (Einbruchserkennungssysteme)
• Betriebssysteme
• Hypervisoren
• Public-Key-Infrastruktur-Systeme (PKI)

Für diese Produkte ist eine verpflichtende Bewertung durch eine Drittstelle erforderlich.

Kritische Produkte

Zu den kritischen digitalen Komponenten zählen beispielsweise:

• Hardware Security Modules (HSM)
• Smartcards
• Sichere Kryptoprozessoren

Diese Produkte benötigen eine EUCC-Zertifizierung (European Union Cybersecurity Certification Scheme on Common Criteria) auf einem substanziellen oder hohen Assurance-Level.

CRA-Implementierungszeitplan

Der CRA sieht einen gestaffelten Implementierungszeitplan vor, der Herstellern Zeit zur Vorbereitung gibt.

Inkrafttreten

10. Dezember 2024

Die Verordnung ist offiziell in Kraft getreten, und Unternehmen sollten mit der Compliance-Planung beginnen.

Typische Aktivitäten in dieser Phase sind:

• Produktklassifizierung
• Gap-Analyse gegenüber CRA-Anforderungen
• Festlegung einer internen Verantwortlichkeit für Compliance

Verpflichtende Schwachstellenmeldung

11. September 2026

Dies ist einer der wichtigsten Meilensteine.

Hersteller müssen in der Lage sein:

• aktiv ausgenutzte Schwachstellen zu melden
• Behörden über die ENISA-Reporting-Plattform zu informieren
• strukturierte Incident-Reports bereitzustellen

Vollständige Durchsetzung

11. Dezember 2027

Ab diesem Zeitpunkt gilt:

• Alle wesentlichen Cybersicherheitsanforderungen müssen erfüllt sein
• Die technische Dokumentation muss vollständig sein
• Konformitätsbewertungen müssen abgeschlossen sein
• Die CE-Kennzeichnung muss angebracht werden
• Eine EU-Konformitätserklärung muss veröffentlicht werden

Wesentliche Cybersicherheitsanforderungen

Der CRA definiert wesentliche Cybersicherheitsanforderungen in Anhang I. Diese bilden den Kern der Verordnung und gelten auch für Softwareprodukte wie Passwortmanager.

Nachfolgend einige der wichtigsten Prinzipien.

Secure by Design und Secure by Default

Produkte müssen so entwickelt werden, dass Cybersicherheit ein zentrales architektonisches Prinzip darstellt.

Für PassSecurium bedeutet dies unter anderem:

• risikobasierte Sicherheitsarchitektur
• gehärtete Standardkonfigurationen
• starke Authentifizierungsmechanismen
• sichere Speicherung von Zugangsdaten

Nutzer sollten keine zusätzlichen Sicherheitseinstellungen aktivieren müssen, um eine sichere Konfiguration zu erreichen.

Keine bekannten ausnutzbaren Schwachstellen

Produkte dürfen nicht mit bekannten ausnutzbaren Sicherheitslücken veröffentlicht werden.

Dies erfordert:

• Sicherheitsprüfungen vor jeder Veröffentlichung
• Schwachstellentests
• kontrollierte Release-Prozesse

Zugriffskontrolle

Produkte müssen unbefugten Zugriff durch geeignete Authentifizierungs- und Autorisierungsmechanismen verhindern.

Für einen Passwortmanager bedeutet dies beispielsweise:

• Multi-Faktor-Authentifizierung
• rollenbasierte Zugriffskontrolle
• Least-Privilege-Zugriffsmodelle
• sichere Integration mit Identity-Providern

Vertraulichkeit, Integrität und Verfügbarkeit

Produkte müssen den Schutz von Daten gewährleisten durch:

• Vertraulichkeit mittels Verschlüsselung
• Integrität durch Manipulationsschutz
• Verfügbarkeit durch eine resiliente Systemarchitektur

Minimierung der Angriffsfläche

Der CRA verlangt, dass Produkte unnötige Schnittstellen und externe Zugriffsmöglichkeiten reduzieren.

Dazu gehören:

• Beschränkung externer Schnittstellen
• Minimierung exponierter Dienste
• sorgfältige Kontrolle von APIs

Sicherheitsprotokollierung und Monitoring

Produkte müssen sicherheitsrelevante Ereignisse protokollieren, um Monitoring und Incident-Analysen zu ermöglichen.

Für Enterprise-Produkte wie Passwortmanager sind Logging-Funktionen entscheidend für:

• Auditfähigkeit
• Incident-Untersuchungen
• Compliance-Nachweise

Sichere Update-Mechanismen

Hersteller müssen Mechanismen bereitstellen, um Sicherheitsupdates sicher zu verteilen.

Dazu gehören:

• Integritätsprüfung von Updates
• authentifizierte Update-Verteilung
• Rollback-Funktionalitäten

Anforderungen an das Schwachstellenmanagement

Anhang I definiert außerdem Anforderungen an den Umgang mit Sicherheitslücken.

Software Bill of Materials (SBOM) (Software Stücklisten)

Hersteller müssen ein maschinenlesbares Inventar der Softwarekomponenten führen. SBOMs erhöhen die Transparenz der Software-Lieferkette und helfen, anfällige Komponenten schneller zu identifizieren.

Behebung von Schwachstellen

Schwachstellen müssen:

• identifiziert
• bewertet
• ohne unnötige Verzögerung behoben werden

Sicherheitsupdates müssen betroffenen Nutzern bereitgestellt werden.

Koordinierte Offenlegung von Schwachstellen

Hersteller müssen einen öffentlichen Prozess zur Meldung von Sicherheitslücken einrichten.

Dazu gehören:

• eine öffentliche Kontaktstelle für Schwachstellenmeldungen
• dokumentierte interne Prozesse
• Verfahren zur verantwortungsvollen Offenlegung

Meldung von Sicherheitsvorfällen und Schwachstellen

Hersteller müssen aktiv ausgenutzte Schwachstellen über die CRA Single Reporting Platform von ENISA melden.

Dies ermöglicht eine schnellere grenzüberschreitende Koordination von Cyberabwehrmassnahmen.

Standards zur Unterstützung der CRA-Compliance

Der CRA erlaubt es Herstellern, die Einhaltung der wesentlichen Cybersicherheitsanforderungen durch harmonisierte europäische Normen (Artikel 27) nachzuweisen.

Bis spezifische CRA-harmonisierte Normen offiziell veröffentlicht werden, können etablierte internationale Standards als unterstützende Rahmenwerke dienen, beispielsweise:

• IEC 62443 (Secure Product Development Lifecycle)
• ISO/IEC 27001 (Information Security Management Systems)
• ISO 31000 (Risikomanagement)
• ISO/IEC 29147 und 30111 (Vulnerability Disclosure und Handling)

Die Einhaltung harmonisierter Standards kann eine Konformitätsvermutung gemäss der Verordnung begründen.

Eine Schweizer Perspektive

Obwohl der CRA eine EU-Verordnung ist, hat er direkte Auswirkungen auf Schweizer Softwareanbieter.

Wenn ein Produkt auf dem EU-Markt angeboten wird, muss der Hersteller die CRA-Anforderungen erfüllen.

Für Schweizer Unternehmen ergibt sich dadurch eine interessante Kombination aus:

• Schweizer Rechts- und Hostingrahmenbedingungen
• EU-regulatorischer Compliance

PassSecurium wird in einem Schweizer Rechenzentrum betrieben, was folgende Vorteile bietet:

• klarer rechtlicher Zuständigkeitsrahmen
• hohe Datenschutzstandards
• Unabhängigkeit von Hyperscaler-Public-Cloud-Infrastrukturen

Gleichzeitig gewährleistet die CRA-Compliance die Kompatibilität mit dem regulatorischen Umfeld der EU.

Dies ermöglicht es Schweizer Anbietern, digitale Souveränität mit europäischer Regulierungskonformität zu kombinieren.

Unsere CRA-Vorbereitungsroadmap

Die Vorbereitung auf die CRA-Compliance ist ein mehrjähriger Prozess.

Unsere interne Roadmap umfasst mehrere zentrale Schritte.

Phase 1 – Compliance-Planung

• Ernennung eines CRA-Compliance-Verantwortlichen
• Inventarisierung von Produkten und Komponenten
• Klassifizierung der Produkte gemäss CRA-Kategorien
• Durchführung einer Gap-Analyse gegenüber Anhang I

Phase 2 – Sicherheitsinfrastruktur

• Implementierung der SBOM-Erstellung
• Aufbau von Prozessen zur Schwachstellenverfolgung
• Entwicklung von Incident-Reporting-Verfahren
• Vorbereitung der technischen Dokumentation

Phase 3 – Reporting und Tests

• Registrierung auf der ENISA-Reporting-Plattform
• Implementierung der 24-Stunden-Schwachstellenmeldung
• Testen der Reporting-Workflows
• Einrichtung koordinierter Offenlegungsprozesse

Phase 4 – Konformitätsbewertung

• Auswahl geeigneter Konformitätsbewertungsstellen
• Fertigstellung der technischen Dokumentation
• Durchführung finaler Sicherheitstests
• Vorbereitung von CE-Kennzeichnung und EU-Konformitätserklärung

Die endgültige Compliance-Frist ist der 11. Dezember 2027.

Fazit

Der Cyber Resilience Act stellt einen grundlegenden Wandel in der Regulierung von Cybersicherheit in Europa dar.

Anstelle freiwilliger Standards führt der CRA verbindliche Sicherheitsanforderungen für digitale Produkte ein.

Für Anbieter von Cybersicherheitslösungen unterstreicht diese Regulierung ein Prinzip, das bereits heute gelten sollte:

Sicherheit muss in den gesamten Produktlebenszyklus integriert sein — von Architektur und Entwicklung bis hin zu Schwachstellenmanagement und Transparenz.

Bei ALPEIN Software bereiten wir PassSecurium mit einer strukturierten Implementierungsstrategie auf die CRA-Compliance vor, die sich an internationalen Sicherheitsstandards orientiert.

Unser Ziel ist nicht nur regulatorische Konformität, sondern auch ein hohes Mass an Sicherheit, Transparenz und Vertrauen für unsere Kunden in der Schweiz und in ganz Europa.

Quellen:

https://digital-strategy.ec.europa.eu/de/policies/cyber-resilience-act