SucheKontaktRessourcen

CRA Vorbereitungen in der Industrie

Der Cyber Resilience Act als neue digitale Sicherheitsverordnung für OT Security

Jérôme Arnaud
Head of Product Management Rhebo
17.3.2026
5 Min

In einer zunehmend vernetzten Welt ist Cybersicherheit kein optionales „Extra“ mehr, sondern das Fundament für Vertrauen in moderne Technologie. Mit dem Cyber Resilience Act (CRA) hat die Europäische Union die ersten Anforderungen verabschiedet, welche ein verbindliches Mindestmaß an Cybersicherheit für alle Produkte mit digitalen Elementen in der EU festlegt.

 

Was ist das Ziel des Cyber Resilience Act?

Das Hauptziel des CRA ist es, dass Schutzniveau innerhalb der EU massiv zu erhöhen. Bisher gab es keine einheitlichen, verpflichtenden Sicherheitsstandards für vernetzte Produkte. Das ändert sich nun grundlegend.

Die Verordnung gilt für alle Produkte, die „digitale Elemente“ enthalten und direkt oder indirekt mit einem Netzwerk oder Gerät verbunden werden können. Die Bandbreite reicht von Consumer-Produkten (Smartphones, vernetztes Spielzeug) über Industrie- oder B2B-Lösungen (komplexe industrielle Systeme, Mikroprozessoren, Firewalls, Smart-Meter-Gateways) bis hin zu Software. Lediglich nicht-kommerzielle Open-Source-Software ist von diesen strengen Anforderungen ausgenommen.

Der Fahrplan: Wann wird es ernst?

Der CRA trat bereits 20 Tage nach seiner Veröffentlichung im Amtsblatt der EU im Dezember 2024 in Kraft. Die Umsetzung erfolgt stufenweise, um Herstellern Zeit zur Anpassung zu geben. Ein entscheidendes Datum ist das Ende des Jahres 2027: Bis dahin müssen alle neu auf den Markt gebrachtenProdukte die vollständigen Anforderungen erfüllen.

Die vier Säulen der Compliance

Um die Konformität mit dem CRA zu erreichen, müssen Hersteller vier wesentliche Bereiche adressieren:

1. Security by Design & Default

Cybersicherheit darf kein nachträglicher Gedanke sein. Sie muss bereits während der Produktentwicklung berücksichtigt werden.

  • Risikobewertung: Hersteller müssen potenzielle Schwachstellen frühzeitig identifizieren und adressieren.
  • Verschlüsselung: Daten müssen sowohl bei der Übertragung als auch bei der Speicherung geschützt sein.
  • Sichere Voreinstellungen: Schwache Standardpasswörter werden verboten und automatische Sicherheitsupdates sollen zur Norm werden.
2. Transparenz durch SBOM

Ein zentraler Bestandteil ist die Erstellung einer Software Bill of Materials (SBOM). Man kann sie sich wie eine Zutatenliste für Lebensmittel vorstellen: Sie listet detailliert auf, welche Bibliotheken und Komponenten in einer Software verwendet werden.

3. Schwachstellenmanagement

Über die europäische Cybersicherheitsagentur ENISA wird eine neue Plattform für das Meldewesen eingerichtet. Hersteller sind verpflichtet, aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle dort zu melden. Die Option verschlüsselt Schwachstellen an Rhebo zu melden existiert bereits.

4. Langfristiger Support

Sicherheit endet nicht mit dem Verkauf. Hersteller müssen über den gesamten Produktlebenszyklus (mindestens fünf Jahre) Sicherheitsupdates bereitstellen und Schwachstellen beheben.

Was bedeutet der CRA konkret für Rhebo?

Als Anbieter von industriellen Sicherheitslösungen fällt Rhebo direkt unter die strengen Richtlinien des CRA. Da das Network Intrusion Detection System (NIDS) als „wichtiges Produkt mit digitalen Elementen“ eingestuft wird, gehen die Verpflichtungen über eine bloße Selbsterklärung hinaus.

Aktuelle Schritte bei Rhebo:
  1. Externe Zertifizierung: Aufgrund der Einstufung der Produkte ist eine Zertifizierung durch eine unabhängige dritte Stelle (einem sogenannten Notified Body) erforderlich. Rhebo ist bereits nach ISO 27001 zertifiziert und richtet seinen Fokus auf die kommenden CRA-Anforderungen.
  2. Anpassung der Prozesse: Das Schwachstellenmanagement und die Meldepflichten werden nahtlos in die bestehenden Abläufe integriert.
  3. Technische Dokumentation: Fragmente aus dem Software Development Life Cycle (SDLC), wie Bedrohungsmodelle und SBOMs, werden zu einer lückenlosen Dokumentation zusammengefasst.
  4. Referenzstandards: Solange noch keine finalen harmonisierten EU-Standards vorliegen, orientiert sich Rhebo an der IEC 62443-4-2 als Referenz für Sicherheitskontrollen.
  5. Interne Befähigung: Durch gezielte Trainings stellt Rhebo sicher, dass alle Mitarbeiter die neuen Anforderungen verstehen und umsetzen können.

 

Fazit: Mehr als nur eine Pflichtübung

Obwohl die Auslegung einiger Details des Gesetzes noch Zeit benötigt, sehen wir den CRA nicht als bürokratische Hürde. Die Erlangung der Konformitätserklärung (DoC) ist für uns eine wertvolle Gelegenheit, die Sicherheit unserer Produkte und Dienstleistungen langfristig weiter zu verbessern und unseren Kunden ein Höchstmaß an Ausfallsicherheit zu garantieren. Davon profitiert auch die weitere Entwicklung von Rhebo OT Security.