Ab 2027 müssen Hersteller vernetzter Produkte neue Sicherheitsstandards erfüllen. Die Cyber-Resilienz-Verordnung betrifft nahezu alle digitalen Geräte und verlangt kostenlose Sicherheits-Updates für mindestens fünf Jahre.
Cyber-Resilienz-Verordnung: EU erzwingt fünfjährige Update-Pflicht
Die Cyber-Resilienz-Verordnung der EU bringt viel Arbeit für Hersteller vernetzter Produkte. NCP engineering beleuchtet in einem neuen Beitrag, was der Cyber Resilience Act (CRA) konkret bedeutet. Seit Dezember 2024 gilt die Verordnung bereits, doch die Fristen sind gestaffelt: September 2026 bringt erste Meldepflichten, Dezember 2027 dann die kompletten Anforderungen.
Das BSI spricht von einem „Mindestmaß an Cybersicherheit“ für vernetzte Produkte. Betroffen sind mehr Geräte, als viele denken: nicht nur Smartwatches, vernetztes Spielzeug und Computerspiele, sondern auch Business-Lösungen. Mikroprozessoren, Cloud-Anwendungen, Firewalls und VPNs – sie alle brauchen künftig bestimmte Sicherheitsvorgaben. Verschont bleiben nur Open-Source-Projekte ohne kommerzielle Absichten.
Produktklassen: VPNs zählen zur Klasse I wichtiger Produkte
Die Verordnung unterscheidet vier Produktkategorien mit unterschiedlichen Anforderungen. Produkte wie Smartphones oder Saugroboter unterliegen den geringsten Auflagen. VPN-Software und -Hardware zählen zu den wichtigen Produkten der Klasse I – gemeinsam mit Webbrowsern, Passwort-Managern und SIEM-Lösungen. Betriebssysteme, Router und Switches gehören ebenfalls in diese Produktklasse.
Hypervisoren und Container-Plattformen stuft die EU als Klasse-II-Produkte ein. Chipkarten und Hardware-Sicherheitsmodule gelten sogar als kritische Produkte. Diese Einteilung bestimmt die konkreten Pflichten: Von internen Kontrollen über EU-Baumusterprüfungen bis zur umfassenden Qualitätssicherung reichen die vorgesehenen Module. Die strengeren Anforderungen für höhere Kategorien bedeuten mehr Dokumentation und aufwendigere Prüfverfahren.
Update-Pflicht: Fünf Jahre kostenlose Sicherheits-Patches
Eine zentrale Neuerung betrifft die Update-Verpflichtung: Hersteller müssen mindestens fünf Jahre lang kostenlose Sicherheits-Updates bereitstellen. Kürzere Zeiträume akzeptiert die EU nur bei Produkten mit geringerer Lebensdauer. Die Updates müssen unverzüglich nach dem Bekanntwerden von Schwachstellen erfolgen. Nur bei maßgeschneiderten Produkten dürfen Unternehmen kostenpflichtige Patches vertraglich vereinbaren.
Die Umsetzung beginnt mit einer Bestandsaufnahme betroffener Produkte. Hersteller müssen Risikobewertungen durchführen, Prozesse anpassen und umfassend dokumentieren. Die Verordnung gilt unabhängig von der Unternehmensgröße. Wer die CRA-Vorgaben nicht erfüllt, darf seine Produkte ab Ende 2027 nicht mehr in der EU verkaufen. Die möglichen Strafen haben es in sich: bis zu 15 Millionen Euro oder 2,5 Prozent vom Jahresumsatz. Das BSI hilft Unternehmen mit technischen Richtlinien und Infomaterial, sich auf die neuen Regeln vorzubereiten. NCP engineering zeigt im vollständigen Beitrag, welche konkreten Schritte Hersteller jetzt einleiten sollten.
