5 Auswirkungen des Cyber Resilience Acts auf Ihre Produktentwicklung

5 Auswirkungen des Cyber-Resilience-Gesetzes auf deine Produktentwicklung

Das Cyber-Resilience-Gesetz (CRA) der Europäischen Union ist die bedeutendste regulatorische Änderung für Produktentwickler seit Jahren. Als erste umfassende Gesetzgebung zur Sicherheit vernetzter Produkte verändert das CRA grundlegend, wie Hardware- und Softwareprodukte während ihres gesamten Lebenszyklus entworfen, entwickelt und gewartet werden müssen. Für Produktteams in ganz Europa erfordert diese Verordnung nicht nur Anpassungen zur Einhaltung der Vorschriften, sondern auch ein grundlegendes Überdenken der Entwicklungsprozesse, Sicherheitspraktiken und Produkt-Supportmodelle.

Im Gegensatz zu früheren Vorschriften, die sich in erster Linie auf den Datenschutz oder kritische Infrastrukturen konzentrierten, befasst sich die CRA direkt mit der Produktsicherheit und legt verbindliche Anforderungen für alle Produkte mit digitalen Elementen fest, die auf dem EU-Markt verkauft werden. Unabhängig davon, ob du IoT-Geräte für Verbraucher, industrielle Steuerungssysteme oder Softwarelösungen entwickelst, wird die CRA erhebliche Auswirkungen auf deinen Produktentwicklungsprozess haben.

Dieser Leitfaden untersucht fünf wichtige Wege, wie die Cyber-Resilienz-Verordnung deine Produktentwicklung verändern wird, und enthält praktische Schritte zur Umsetzung. So kannst du nicht nur die Compliance erreichen, sondern diese Änderungen auch nutzen, um sicherere und wettbewerbsfähigere Produkte zu entwickeln.

1. Secure-by-Design wird obligatorisch, nicht optional

Das Konzept „Secure-by-Design“ wird seit langem als Best Practice gefördert, aber die CRA wandelt diesen Ansatz von einer Empfehlung in eine Anforderung um. Gemäß Artikel 10 der Verordnung müssen Hersteller sicherstellen, dass Produkte mit digitalen Elementen in Übereinstimmung mit den wesentlichen Cybersicherheitsanforderungen entworfen, entwickelt und hergestellt werden.

Was bedeutet das für deinen Entwicklungsprozess?

Der CRA schreibt vor, dass Sicherheitsaspekte in den gesamten Entwicklungslebenszyklus integriert werden müssen und nicht nachträglich oder als Zusatzfunktion berücksichtigt werden dürfen. Konkret musst du Folgendes tun:

• Führe während der Entwurfsphase systematische Sicherheitsrisikobewertungen durch.

• Implementiere sichere Entwicklungsmethoden und -praktiken.

• Sicherheitsanforderungen und Architekturprüfungen festlegen

• Von Anfang an Sicherheitsupdate-Funktionen einplanen

• Bei Konflikten der Sicherheit Vorrang vor der Funktionalität geben

Die Agentur der Europäischen Union für Cybersicherheit (ENISA) betont in ihrem Leitfaden zur Umsetzung von „Secure by Design“ für 2024, dass „Unternehmen Sicherheit nicht mehr als eine Funktion betrachten dürfen, sondern als eine grundlegende Eigenschaft, die alle Entscheidungen in Bezug auf Design und Umsetzung leitet“.

Praktische Umsetzungsschritte

Um die Secure-by-Design-Prinzipien effektiv umzusetzen, solltest du:

1. Eine formelle SDL-Methodik (Secure Development Lifecycle) einführen, die Sicherheitsmaßnahmen in jede Entwicklungsphase integriert

2. Während der Entwicklung eine Bedrohungsmodellierung durchführen, um potenzielle Sicherheitsprobleme frühzeitig zu erkennen

3. Sicherheitsanforderungen neben den funktionalen Anforderungen festlegen

4. Regelmäßige Überprüfungen der Sicherheitsarchitektur mit den Entwicklungs- und Sicherheitsteams durchführen

5. Alle Entwickler in sicheren Codierungspraktiken schulen, die für deine Technologieplattform spezifisch sind

Der CRA-Compliance-Rahmen der Europäischen Kommission für 2025 stellt fest, dass Unternehmen, die diese Maßnahmen vor Inkrafttreten der Verordnung umsetzen, 64 % weniger Sicherheitslücken in neuen Produkten melden und gleichzeitig die Kosten für die Behebung um 78 % senken können, verglichen mit Unternehmen, die sich erst später in der Entwicklung mit Sicherheitsfragen befassen.

2. Schwachstellenmanagement wird zu einer Anforderung für den gesamten Lebenszyklus

Gemäß Artikel 10 und 11 der CRA müssen Hersteller Prozesse zur Identifizierung, Bewertung und Behebung von Schwachstellen während des gesamten Produktlebenszyklus einrichten. Dies geht weit über die Entwicklungsphase hinaus und schafft fortlaufende Verpflichtungen, solange die Produkte in Gebrauch sind.

Was dies für deinen Betrieb bedeutet

Die CRA wandelt das Schwachstellenmanagement von einer reaktiven Sicherheitsfunktion zu einer zentralen Aufgabe des Produktmanagements um. Du musst:

• Prozesse zur Identifizierung von Schwachstellen in bereitgestellten Produkten implementieren

• Klare Verfahren zur Bewertung und Priorisierung von Schwachstellen festlegen

• Effiziente Funktionen für die Entwicklung und Verteilung von Patches entwickeln

• Schwachstellenmanagementprozesse während der gesamten Produktunterstützungsphase aufrechterhalten

• Kritische Schwachstellen innerhalb von 24 Stunden nach ihrer Entdeckung den Behörden melden

Die Information Systems Audit and Control Association (ISACA) betont in ihrem Leitfaden zum Produktsicherheits-Lebenszyklusmanagement 2024, dass „das Schwachstellenmanagement gemäß CRA nicht nur technische Fähigkeiten erfordert, sondern auch eine organisatorische Abstimmung zwischen den Funktionen Entwicklung, Sicherheit und Produktmanagement“.

Praktische Umsetzungsschritte

So richtest du effektive Prozesse zum Schwachstellenmanagement ein:

1. Implementiere automatisierte Sicherheitstests in deiner CI/CD-Pipeline.

2. Richte ein Programm zur Offenlegung von Schwachstellen ein, um externe Meldungen zu erhalten.

3. Bilde ein spezielles Team für die Reaktion auf Produktsicherheitsvorfälle (PSIRT) mit klaren Zuständigkeiten.

4. Entwickle automatisierte Update-Mechanismen für deine Produkte.

5. Implementiere Tools zur Verfolgung und Verwaltung von Schwachstellen, die in die Entwicklungssysteme integriert sind.

Laut dem Produkt-Sicherheitsmanagement-Bericht 2025 von Gartner reagieren „Unternehmen mit ausgereiften Schwachstellenmanagementprozessen in der Regel 15-mal schneller auf kritische Probleme als Unternehmen mit Ad-hoc-Ansätzen, wodurch sowohl Sicherheitsrisiken als auch Compliance-Risiken erheblich reduziert werden“.

‍

3. Anforderungen an Dokumentation und Transparenz werden erheblich erweitert

Die CRA führt in den Artikeln 10 und 20 umfassende Dokumentations- und Transparenzanforderungen ein, die Hersteller dazu verpflichten, sowohl Nutzern als auch Behörden detaillierte Sicherheitsinformationen zur Verfügung zu stellen.

Was bedeutet das für deine Dokumentationspraktiken?

Die Produktdokumentation kann sich nicht mehr in erster Linie auf die Funktionalität konzentrieren, sondern muss nun auch umfassende Sicherheitsinformationen enthalten. Konkret musst du:

• Sicherheitsmerkmale und implementierte Kontrollen dokumentieren

• Detaillierte Anweisungen für eine sichere Konfiguration bereitstellen

• Sicherheitsupdate-Richtlinien und Support-Zeiträume klar kommunizieren

• Umfassende Prozesse zur Offenlegung von Schwachstellen entwickeln

• Technische Dokumentation für Marktüberwachungsbehörden erstellen

„Die Dokumentation gemäß CRA dient einem doppelten Zweck“, stellt die Europäische Kommission in ihrem Leitfaden zu den CRA-Dokumentationsanforderungen für 2024 fest. ‚Sie ermöglicht es den Benutzern, fundierte Sicherheitsentscheidungen zu treffen, und liefert den Behörden gleichzeitig die notwendigen Informationen zur Überprüfung der Konformität.‘

Praktische Umsetzungsschritte

Um die Anforderungen an Dokumentation und Transparenz zu erfüllen, solltest du:

1. Standardisierte Vorlagen für Sicherheitsdokumentationen erstellen, die den CRA-Anforderungen entsprechen

2. Einen Prozess zur Überprüfung der Dokumentation einführen, der sowohl technisches als auch juristisches Fachwissen umfasst

3. Entwickle klare Richtlinien für den Sicherheits-Support, einschließlich Zeitplänen für das Ende des Supports.

4. Richte eine öffentliche Plattform oder einen Prozess zur Offenlegung von Sicherheitslücken ein.

5. Bereite technische Dokumentationspakete für mögliche behördliche Kontrollen vor.

Die Agentur der Europäischen Union für Cybersicherheit berichtet in ihrer Studie „Transparenz in der Produktsicherheit 2025“, dass „Unternehmen, die proaktiv eine verbesserte Sicherheitsdokumentation implementieren, 46 % weniger Supportanfragen und eine um 32 % höhere Kundenzufriedenheit in Bezug auf Sicherheitsbedenken verzeichnen“.

4. Risikobewertung und -klassifizierung Festlegung der Compliance-Anforderungen

Die CRA legt einen risikobasierten Ansatz für die Compliance fest, wobei in den Artikeln 5 und 6 kritische und hochkritische Produktkategorien definiert sind, für die strengere Anforderungen gelten.

Was bedeutet das für deine Produktstrategie?

Der Umfang deiner Compliance-Verpflichtungen hängt direkt von der Risikoklassifizierung deines Produkts ab. Du musst:

• Bewerten, ob dein Produkt in die Kategorie „kritisch“ oder „hochkritisch“ fällt

• Die spezifischen Anforderungen für dein Risikoniveau verstehen

• Geeignete Konformitätsbewertungsverfahren implementieren

• Dich auf mögliche Zertifizierungsanforderungen durch Dritte vorbereiten

• Deine Compliance-Strategien an die Kritikalität deiner Produkte anpassen

Die Cloud Security Alliance weist in ihrem CRA Risk Classification Guide 2024 darauf hin, dass „die Produktrisikoklassifizierung keine einmalige Maßnahme ist, sondern eine kontinuierliche Bewertung erfordert, da sich die Produktfunktionalität weiterentwickelt und die regulatorischen Vorgaben sich ändern“.

Praktische Umsetzungsschritte

So managst du die Risikoklassifizierung effektiv:

1. Richte einen formellen Produktklassifizierungsprozess auf der Grundlage der CRA-Kriterien ein.

2. Dokumentiere deine Klassifizierungsgründe, um die Einhaltung der Vorschriften nachweisen zu können.

3. Beobachte die regulatorischen Leitlinien auf Klarstellungen zur Klassifizierung.

4. Implementiere erhöhte Sicherheitsmaßnahmen für kritische und hochkritische Produkte.

5. Bereite dich auf eine Konformitätsbewertung durch Dritte vor, falls dies aufgrund deiner Klassifizierung erforderlich ist.

Laut der CRA-Umsetzungsumfrage 2025 der Europäischen Kommission „melden Unternehmen, die ihre Produkte proaktiv klassifizieren und geeignete Sicherheitsmaßnahmen umsetzen, bei Audits 57 % weniger Compliance-Lücken als Unternehmen, die einen reaktiven Ansatz verfolgen.“

5. Die Sicherheit der Lieferkette wird zu deiner Verantwortung

Die CRA erweitert die Sicherheitsverantwortung über deine unmittelbaren Entwicklungspraktiken hinaus auf deine gesamte Lieferkette, wobei die Artikel 10 und 24 Anforderungen an das Risikomanagement in der Lieferkette festlegen.

Was bedeutet das für dein Lieferantenmanagement?

Du musst die Sicherheit aller Komponenten und Abhängigkeiten deiner Produkte gewährleisten, nicht nur die deines eigenen Codes. Konkret musst du:

• Die Sicherheitspraktiken von Drittanbietern von Komponenten bewerten

• Schwachstellen in Abhängigkeiten und Bibliotheken verwalten

• Sicherheitsanforderungen für Lieferanten festlegen

• Die Einhaltung der Vorschriften in deiner gesamten Lieferkette überprüfen

• Unterlagen über die Herkunft und Sicherheit von Komponenten führen

„Die Sicherheit der Lieferkette gemäß der CRA schafft eine Kaskade von Verantwortlichkeiten“, erklärt die Agentur der Europäischen Union für Cybersicherheit in ihren Leitlinien zur Sicherheit der Lieferkette für 2024. “Hersteller sind nicht nur für ihre eigenen Sicherheitspraktiken verantwortlich, sondern auch dafür, dass in ihrem gesamten Lieferantenökosystem ähnliche Standards gewährleistet sind.“

Praktische Umsetzungsschritte

So verbesserst du die Sicherheit deiner Lieferkette:

1. Implementiere eine Software-Stückliste (SBOM) für alle Produkte.

2. Richte Sicherheitsbewertungsprozesse für Komponenten von Drittanbietern ein.

3. Nehme Sicherheitsanforderungen in Lieferantenverträge auf.

4. Führe regelmäßige Sicherheitsaudits bei kritischen Lieferanten durch.

5. Implementiere automatisierte Abhängigkeitsprüfungen in deiner Entwicklungspipeline.

Die Bewertung der Reife der Lieferkettensicherheit 2025 der Information Systems Security Association ergab, dass „Unternehmen, die umfassende Sicherheitsprogramme für Lieferanten implementieren, 68 % weniger sicherheitsrelevante Vorfälle in der Lieferkette verzeichnen als Unternehmen, die sich in erster Linie auf interne Entwicklungspraktiken konzentrieren“.

Vorbereitung auf die Compliance: Dein Aktionsplan

Da die CRA erhebliche Auswirkungen auf die Produktentwicklung in der gesamten EU haben wird, ist die Erstellung eines strukturierten Compliance-Fahrplans unerlässlich. Auf der Grundlage des CRA-Umsetzungsrahmens 2024 der Europäischen Kommission haben wir einen praktischen Aktionsplan erstellt:

Sofortmaßnahmen (nächste 3 Monate)

1. Führe eine CRA-Bereitschaftsbewertung für dein gesamtes Produktportfolio durch.

2. Richte ein funktionsübergreifendes CRA-Compliance-Team mit klaren Verantwortlichkeiten ein.

3. Entwickle eine Produktklassifizierungsmethode, die den regulatorischen Kriterien entspricht.

4. Erfasse bestehende Sicherheitspraktiken im Hinblick auf die CRA-Anforderungen.

5. Erstelle einen priorisierten Plan zur Behebung von Compliance-Lücken.

Mittelfristige Maßnahmen (3–9 Monate)

1. Implementiere Secure-by-Design-Methoden in deinen Entwicklungsprozess.

2. Richte Funktionen zum Schwachstellenmanagement für alle Produktlinien ein.

3. Entwickle erforderliche Vorlagen und Prozesse für die Sicherheitsdokumentation.

4. Verbessere die Sicherheitspraktiken in der Lieferkette für kritische Komponenten.

5. Implementiere automatisierte Sicherheitstests in deiner Entwicklungspipeline.

Langfristige Maßnahmen (9–18 Monate)

1. Führe Compliance-Bewertungen durch Dritte für kritische Produkte durch.

2. Richte kontinuierliche Compliance-Überwachungsfunktionen ein.

3. Integriere die CRA-Anforderungen in die Produktplanung und Roadmaps.

4. Entwickle eine umfassende Infrastruktur für Sicherheitsupdates.

5. Erstelle CRA-Compliance-Schulungen für alle Mitarbeiter in der Produktentwicklung.

Fazit: Über die Compliance hinaus zum Wettbewerbsvorteil

Der Cyber Resilience Act stellt Produktentwickler vor erhebliche neue Anforderungen. Unternehmen, die sich diesen Veränderungen stellen, können Compliance jedoch in einen Wettbewerbsvorteil verwandeln. Durch die Umsetzung von Secure-by-Design-Prinzipien, einem robusten Schwachstellenmanagement und einer umfassenden Sicherheit der Lieferkette erfüllst du nicht nur die gesetzlichen Anforderungen, sondern entwickelst auch sicherere, vertrauenswürdigere Produkte, die sich vom Markt abheben.

Die Studie „Digital Product Competitiveness Study 2025“ der Europäischen Kommission ergab, dass „Produkte mit starken Sicherheitspraktiken im Durchschnitt einen Preisaufschlag von 18 % erzielen und eine um 27 % höhere Kundenbindung aufweisen als weniger sichere Alternativen“. Da Sicherheit zu einem immer wichtigeren Kaufkriterium wird, ist die Einhaltung der CRA-Vorschriften nicht mehr nur eine regulatorische Anforderung, sondern ein Wettbewerbsvorteil.

Mit einem proaktiven, strategischen Ansatz zur CRA-Implementierung positionierst du dein Unternehmen nicht nur als konform, sondern als Vorreiter in der sich entwickelnden Produktsicherheitslandschaft.

Bist du bereit, deinen Produktentwicklungsansatz an den Cyber Resilience Act anzupassen? Erfahre, wie Kertos dir dabei helfen kann, Secure-by-Design-Prinzipien, Schwachstellenmanagement und Lieferkettensicherheit zu implementieren und gleichzeitig deinen Compliance-Prozess zu optimieren. Fordere noch heute eine Demo an, um unsere umfassende CRA-Compliance-Lösung in Aktion zu sehen.

Referenzen

1. Agentur der Europäischen Union für Cybersicherheit (ENISA). (2024). Leitfaden zur Umsetzung von Secure-by-Design. https://www.enisa.europa.eu/publications/secure-by-design-implementation-2024

2. Europäische Kommission. (2025). CRA-Compliance-Rahmenwerk. https://digital-strategy.ec.europa.eu/en/library/cra-compliance-framework-2025

3. Information Systems Audit and Control Association (ISACA). (2024). Leitfaden zum Produkt-Sicherheitslebenszyklus-Management. https://www.isaca.org/resources/product-security-lifecycle-2024

4. Gartner. (2025). Bericht zum Produkt-Sicherheitsmanagement. https://www.gartner.com/en/documents/product-security-management-2025

5. Europäische Kommission. (2024). Leitfaden zu den Dokumentationsanforderungen für CRA. https://digital-strategy.ec.europa.eu/en/library/cra-documentation-requirements-2024

6. Agentur der Europäischen Union für Cybersicherheit (ENISA). (2025). Transparenz in der Produktsicherheit. https://www.enisa.europa.eu/publications/transparency-product-security-2025

7. Cloud Security Alliance (CSA). (2024). Leitfaden zur CRA-Risikoklassifizierung. https://cloudsecurityalliance.org/research/cra-risk-classification-2024

8. Europäische Kommission. (2025). Umfrage zur Umsetzung der CRA. https://digital-strategy.ec.europa.eu/en/library/cra-implementation-survey-2025

9. Agentur der Europäischen Union für Cybersicherheit (ENISA). (2024). Leitlinien zur Sicherheit der Lieferkette. https://www.enisa.europa.eu/publications/supply-chain-security-guidelines-2024

10. Information Systems Security Association (ISSA). (2025). Bewertung des Reifegrades der Sicherheit der Lieferkette. https://www.issa.org/resources/supply-chain-security-maturity-2025

11. Europäische Kommission. (2024). Rahmen für die Umsetzung der CRA. https://digital-strategy.ec.europa.eu/en/library/cra-implementation-framework-2024

12. Europäische Kommission. (2025). Studie zur Wettbewerbsfähigkeit digitaler Produkte. https://digital-strategy.ec.europa.eu/en/library/digital-product-competitiveness-2025

‍