Aus Sicht eines Herstellers
Der EU-Cyber-Resilience-Act im Überblick
Der Cyber Resilience Act (CRA) der EU führt neue Cybersicherheits-Anforderungen für vernetzte Produkte ein, die für Hersteller mit komplexen neuen Verpflichtungen einhergehen.
Cedric Vincent, Leiter des Software Technology Lab bei Tria Technologies, beleuchtet, wie sich Unternehmen darauf vorbereiten können und wie dieses wegweisende Gesetz die Zukunft vernetzter Produkte neu definiert.
Man könnte den neuen Cyber Resilience Act (CRA) der Europäischen Union leicht als bloße weitere regulatorische Hürde betrachten, die Elektronikentwickler überwinden müssen – doch das wäre ein großer Fehler.
Ohne Übertreibung lässt sich sagen, dass der CRA die Art und Weise neu definieren wird, wie digitale Systeme weltweit konzipiert, gebaut und gewartet werden. Nicht nur Compliance-Teams müssen sich mit den Komplexitäten der neuen Gesetzgebung auseinandersetzen – der CRA wird weltweit grundlegende Veränderungen für das Design von Embedded-Systemen, IoT-Geräten und intelligenter Elektronik mit sich bringen.
Cedric Vincent, Tria: »Der CRA ist ein unentbehrliches Gesetz, das Hersteller weltweit einhalten müssen.«
Ein Blick auf einige Details zeigt, dass die neue EU-Verordnung vor allem einen Wandel hin zu einem »Security-by-Design«-Ansatz forciert. Mit anderen Worten: Ingenieure und Original Equipment Manufacturers (OEMs) müssen von Anfang an Systeme mit integrierter Cybersicherheit entwickeln. Cybersicherheit darf nicht länger nachträglich als Ergänzung hinzugefügt werden. Ebenfalls entscheidend sind Maßnahmen zur Vorbeugung von Vorfällen. Entwickler müssen Funktionen wie Protokollierung, Diagnose und Telemetrie in ihre Systeme integrieren, damit Sicherheitsverletzungen sofort erkannt und in Echtzeit gemeldet werden können. Telemetrie beschreibt die automatisierte Erfassung und Übertragung von Daten aus Systemen, Geräten oder Anwendungen.
Unzureichende Standards
Für den CRA gibt es gewichtige Gründe:
Laut der Europäischen Kommission (EK) soll der CRA das »unzureichende Niveau der Cybersicherheit in vielen Produkten und das Fehlen zeitnaher Sicherheits-Updates für Produkte und Software« angehen. Er wird sich auch mit den aktuellen Herausforderungen für Verbraucher und Unternehmen befassen, die herausfinden wollen, welche Produkte sicher sind.
Das umfangreiche CRA-Regelwerk soll dafür sorgen, dass Hardware- und Software-Produkte mit weniger Schwachstellen auf den Markt gebracht werden und Hersteller die Sicherheit über den gesamten Lebenszyklus eines Produkts hinweg ernst nehmen.
Vor allem aber wird das Gesetz Herstellern und Händlern in jedem Glied der Lieferkette verbindliche Cybersicherheits-Anforderungen auferlegen – besonders bei der Planung, dem Design, der Entwicklung und der Wartung von Produkten. Entsprechend muss alles konform sein, vom Halbleiterlieferanten bis zum fertigen Endprodukt. Einige Produkte dürfen erst nach einer unabhängigen Bewertung durch eine autorisierte Stelle auf dem EU-Markt verkauft werden. Hersteller müssen wissen, ob ihre Produkte in diese Kategorie fallen.
Konsequenzen für die Zukunft
Kurz gesagt: Die Entscheidungen, die ein Entwicklungsingenieur heutzutage beim Entwurf von Embedded-Systemen trifft, könnten morgen rechtliche und betriebliche Konsequenzen haben. Aber auch finanzielle: Weil die Frist für die vollständige Umsetzung bald abgelaufen ist, müssen Hersteller wissen, dass die Nichteinhaltung zu schweren Strafen führen kann – derzeit 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes. Ein wichtiger Anreiz also, alles in Ordnung zu bringen, bevor die Gesetzgebung in Kraft tritt.
Hersteller, die dies noch nicht wissen, sollten sich folgende drei Termine merken: den 11. Juni 2026 für die Konformitätsbewertungsstellen; den 11. September 2026 für Hersteller, um ausnutzbare Schwachstellen zu melden; und den 11. Dezember 2027 für die vollständige Umsetzung des CRA.
Sind Hersteller besorgt wegen der Gesetzgebung? Und ob! Einige befürchten, dass dies Innovationen behindern könnte, während andere Angst haben, dass kleinere Unternehmen die Kosten für die Erfüllung dieser komplexen Vorschriften kaum verkraften können. Es gibt zwei wichtige Gründe, warum es für Hersteller unerlässlich ist, jede einzelne Anforderung zur Einhaltung der neuen Kriterien zu erfüllen. Es ist ein doppelter Schlag, den jeder vermeiden will: Viel Zeit und Geld in die Einhaltung der Vorschriften zu investieren und dann trotzdem mit einer hohen Strafe belegt zu werden, weil ein einzelnes Element gegen das Gesetz verstößt.
Fachkundige Beratung
Tria arbeitet aus Sicht der Fertigung mit branchenführenden Partnern wie Qualcomm, NXP, Intel und Renesas zusammen. Unser Fokus liegt darauf, sicherzustellen, dass die Produkte unserer Kunden den CRA-Vorschriften entsprechen. Dazu bieten wir fachkundige Beratung zu Endprodukten, die unter die Zuständigkeit des CRA fallen. Zugleich sorgen wir dafür, dass Entwickler und OEMs Zugang zu den fortschrittlichsten, maßgeschneiderten Embedded-Lösungen für ihre Produkte haben.
Für Edge-KI-Systeme entwickelt ist das Lötmodul »OSM-LF-IMX95« mit i.MX-95-SoC von NXP.
Entscheidend ist, dass Hersteller diese Gesetzgebung nicht nur als europäisches Thema betrachten – es geht um die Schaffung einer globalen digitalen Umgebung mit mehr Sicherheit. Außerdem steht hier weit mehr als bloße Compliance auf dem Spiel: Es geht um nichts Geringeres, als dass Vertrauen in die Struktur unserer digitalen Welt eingebaut wird.
Wer sich als Hersteller jetzt auf den durch den CRA vorgegebenen Wandel einstellt, wird in Zukunft besser für eine Führungsrolle gerüstet sein. Hersteller müssen verstehen, dass sie durch die Verankerung von Cybersicherheit in der DNA all ihrer vernetzten Produkte nicht nur regulatorische Anforderungen erfüllen, sondern auch erheblichen neuen Mehrwert für Kunden, Partner und die Gesellschaft insgesamt erschließen.
Cyberangriffe sind eine Plage. Sie nutzen unerbittlich Schwachstellen in globalen digitalen Infrastrukturen aus und bedrohen die Integrität, den Datenschutz sowie die Widerstandsfähigkeit von Systemen, auf die sich Menschen täglich verlassen. Der CRA ist ein unentbehrliches Gesetz, das Hersteller weltweit einhalten müssen.
Weitere Informationen sind auf der CRA-Seite von Tria zu finden: https://www.tria-technologies.com/cyber-resilience-act-tria/.