Cyberresilienz-Verordnung (Cyber Resilience Act, CRA)
Ihr Partner bei jedem Schritt Ihres Wegs
Die CRA der Europäischen Union (EU) verstehen
Die CRA zielt darauf ab, Verbraucher und Unternehmen vor den wachsenden Risiken von Sicherheitslücken in unserer vernetzten Welt zu schützen. Sie legt die Regeln für das Design, die Entwicklung und Produktion von Produkten mit digitalen Elementen sowie Prozesse für den Umgang mit Schwachstellen während des gesamten Produktlebenszyklus fest. TI beteiligt sich aktiv an der Gestaltung und Verfolgung der Entwicklungen der CRA, damit wir Ihnen helfen können, die Anforderungen zuverlässig zu erfüllen und schnell sichere, konforme Produkte auf den Markt zu bringen.
Geltungsbereich der Cyberresilienz-Verordnung (Cyber Resilience Act, CRA)
Die Cyberresilienz-Verordnung der EU [1] gilt für Produkte und Komponenten mit digitalen Elementen, die auf dem EU-Markt bereitgestellt werden, wie z. B. Hardware- oder Software-Produkte, die digitale Daten verarbeiten und die dafür vorgesehen sind oder von denen vernünftigerweise angenommen werden kann, dass sie mit einem anderen Gerät oder einem Netzwerk verbunden werden.
Im Geltungsbereich enthalten
Beispiele für Produkte und Komponenten mit digitalen Elementen:
Hardware:
- Netzwerkmanagementsysteme
- Intelligente Haushaltsgeräte
- Mobiltelefone
- Mikroprozessoren und Mikrocontroller
Software:
- Betriebssysteme
- Open-Source-Software
- Boot-Manager
Nicht im Geltungsbereich enthalten
- Kraftfahrzeuge und ihre Systeme– Verordnung (EU) 2019/2144
- Medizinprodukte – Verordnung (EU) 2017/745
- In-vitro-Diagnostika – Verordnung (EU) 2017/746
- IT, Cloud-Dienste, SaaS usw. – Richtlinie (EU) 2022/2555
- Schiffsausrüstung – Richtlinie 2014/90/EU
- Zivilluftfahrt – Verordnung (EU) 2018/1139
- Nationale Sicherheit und Verteidigung
CRA – Zeitleiste
Anforderungen der CRA
Die CRA gilt für Produkte und Komponenten mit digitalen Elementen, die auf dem EU-Markt bereitgestellt werden, wie z. B. Hardware- oder Software-Produkte, die digitale Daten verarbeiten und die dafür vorgesehen sind oder von denen vernünftigerweise angenommen werden kann, dass sie mit einem anderen Gerät oder einem Netzwerk verbunden werden.
Produktanforderungen
1. Angemessenes Sicherheitsniveau
2. Produkte müssen ohne bekannte Schwachstellen geliefert werden
3. Auf Grundlage der Risiken und je nach Fall:
• Sicherheit durch Voreinstellungen
• Bereitstellung geeigneter Sicherheitsaktualisierungen
• Schutz vor unbefugtem Zugriff
• Vertraulichkeit und Integrität von Daten, Befehlen und Programmen
• Minimierung von Daten
• Verfügbarkeit wesentlicher Funktionen
• Minimierung negativer Auswirkungen auf andere Geräte
• Begrenzung von Angriffsflächen
• Verringerung der Auswirkungen von Vorfällen
• Aufzeichnung und Überwachung sicherheitsrelevanter Ereignisse
• Sichere und dauerhafte Löschung bzw. Übertragung von Daten und Einstellungen
Prozess zur Behandlung von Schwachstellen
• Ermitteln und Dokumentieren von Abhängigkeiten und Schwachstellen, einschließlich Software-Stücklisten
• Nachverfolgung von Schwachstellen
• Keine bekannten Schwachstellen und unverzügliches Behandeln von Schwachstellen
• Sicherheitstests am digitalen Produkt
• Veröffentlichung von Informationen zu behobenen Schwachstellen
• Strategie für die koordinierte Offenlegung von Schwachstellen
• Erleichterung des Austauschs von Informationen über mögliche Schwachstellen
• Unverzügliche und kostenlose Bereitstellung von Patches zusammen mit Hinweisen
Informationen und Beschriftung
• CE-Kennzeichnung
• EU-Konformitätserklärung
• Benennung eines Bevollmächtigten sowie einer Kontaktstelle für Sicherheit
• Technische Dokumentation einschließlich einer Bewertung des Cybersicherheitsrisikos
• Informationen zur Verfügbarkeit von Sicherheitsaktualisierungen
• Software-Stückliste der obersten Abhängigkeiten
• Technische Dokumentation, welche die Unterstützung und den Unterstützungszeitraum festlegt
• Öffentliches Softwarearchiv mit Zugang zu Revisionen
• Bereitstellung von Benutzeranweisungen
• Identifizierung des Produkts
Unser Bekenntnis zur Cybersicherheit
Jahrzehntelange Erfahrung im Bereich der Sicherheit
Wir können bei der Entwicklung und dem Verkauf von Produkten sowie der Erfüllung der hohen Sicherheitsanforderungen unserer Kunden auf eine lange Geschichte zurückblicken.
Zertifiziert durch TÜV Süd
Wir sind vom TÜV Süd gemäß der Norm ISO/SAE 21434 für die Cybersicherheit in Fahrzeugen zertifiziert
Genaue Überwachung der Entwicklung der CRA
Wir verfolgen die Umsetzung der CRA und die Veröffentlichung ihrer Standards genau und beteiligen uns aktiv
Möglichkeit zur Meldung von Schwachstellen
Unser Team für Reaktionen auf Produktsicherheitsvorfälle (Product Security Incident Response Team, PSIRT) überwacht den Prozess der Entgegennahme von und der Reaktion auf Berichte über potenzielle Sicherheitslücken
Wir leiten Sie durch Ihren Produktzyklus
Produktdefinition
- Definition der Verwendung des Produkts
- Definition der entsprechenden CRA-Klasse
- Bewertung möglicher Risiken
Design und Entwicklung
- Identifizierung von Schwachstellen
- Erstellung von Software-Stücklisten (Software Bill of Materials, SBOM)
- Bereitstellung von technischer CRA-Dokumentation
Validierung
- Bewertung der Konformität
- Minderung vorhandener Schwachstellen
- Bereitstellung von technischer CRA-Dokumentation
Bereitstellung
- Kontinuierliche Überprüfung und Meldung von Schwachstellen an unser Team für Reaktionen auf Produktsicherheitsvorfälle (Product Security Incident Response Team, PSIRT)
- Bewertung möglicher Schwachstellen
- Behebung erforderlicher Schwachstellen
Ressourcen
Quellennachweise
1. Europäische Union. 20. Nov. 2025. „Verordnung – 2024/2847 – EN – EUR-Lex“. Aufgerufen am 1. August 2025.
2. Europäische Cyberresilienz-Verordnung, o. D. „Cyberresilienz-Verordnung (Cyber Resilience Act, CRA) | Aktualisierungen, Einhaltung“. Aufgerufen am 1. August 2025.