SucheKontaktRessourcen

CRA Vorbereitungen in der Industrie

Der Cyber Resilience Act als neue digitale Sicherheitsverordnung für OT Security

Jérôme Arnaud
Head of Product Management Rhebo
17.3.2026
5 Min

In einer zunehmend vernetzten Welt ist Cybersicherheit kein optionales „Extra“ mehr, sondern das Fundament für Vertrauen in moderne Technologie. Mit dem Cyber Resilience Act (CRA) hat die Europäische Union die ersten Anforderungen verabschiedet, welche ein verbindliches Mindestmaß an Cybersicherheit für alle Produkte mit digitalen Elementen in der EU festlegt.

 

Was ist das Ziel des Cyber Resilience Act?

Das Hauptziel des CRA ist es, dass Schutzniveau innerhalb der EU massiv zu erhöhen. Bisher gab es keine einheitlichen, verpflichtenden Sicherheitsstandards für vernetzte Produkte. Das ändert sich nun grundlegend.

Die Verordnung gilt für alle Produkte, die „digitale Elemente“ enthalten und direkt oder indirekt mit einem Netzwerk oder Gerät verbunden werden können. Die Bandbreite reicht von Consumer-Produkten (Smartphones, vernetztes Spielzeug) über Industrie- oder B2B-Lösungen (komplexe industrielle Systeme, Mikroprozessoren, Firewalls, Smart-Meter-Gateways) bis hin zu Software. Lediglich nicht-kommerzielle Open-Source-Software ist von diesen strengen Anforderungen ausgenommen.

Der Fahrplan: Wann wird es ernst?

Der CRA trat bereits 20 Tage nach seiner Veröffentlichung im Amtsblatt der EU im Dezember 2024 in Kraft. Die Umsetzung erfolgt stufenweise, um Herstellern Zeit zur Anpassung zu geben. Ein entscheidendes Datum ist das Ende des Jahres 2027: Bis dahin müssen alle neu auf den Markt gebrachtenProdukte die vollständigen Anforderungen erfüllen.

Die vier Säulen der Compliance

Um die Konformität mit dem CRA zu erreichen, müssen Hersteller vier wesentliche Bereiche adressieren:

 

1. Security by Design & Default

Cybersicherheit darf kein nachträglicher Gedanke sein. Sie muss bereits während der Produktentwicklung berücksichtigt werden.

  • Risikobewertung: Hersteller müssen potenzielle Schwachstellen frühzeitig identifizieren und adressieren.
  • Verschlüsselung: Daten müssen sowohl bei der Übertragung als auch bei der Speicherung geschützt sein.
  • Sichere Voreinstellungen: Schwache Standardpasswörter werden verboten und automatische Sicherheitsupdates sollen zur Norm werden.
2. Transparenz durch SBOM

Ein zentraler Bestandteil ist die Erstellung einer Software Bill of Materials (SBOM). Man kann sie sich wie eine Zutatenliste für Lebensmittel vorstellen: Sie listet detailliert auf, welche Bibliotheken und Komponenten ineiner Software verwendet werden.

 

3. Schwachstellenmanagement

Über die europäische Cybersicherheitsagentur ENISA wird eine neuePlattform für das Meldewesen eingerichtet. Hersteller sind verpflichtet, aktivausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle dort zumelden. Die Option verschlüsseltSchwachstellen an Rhebo zu melden existiert bereits.

 

4. Langfristiger Support

Sicherheit endet nicht mit dem Verkauf. Hersteller müssen über dengesamten Produktlebenszyklus (mindestens fünf Jahre) Sicherheitsupdatesbereitstellen und Schwachstellen beheben.

Was bedeutet der CRA konkret für Rhebo?

Als Anbieter von industriellen Sicherheitslösungen fällt Rhebo direktunter die strengen Richtlinien des CRA. Da das Network Intrusion DetectionSystem (NIDS) als „wichtiges Produkt mit digitalen Elementen“ eingestuftwird, gehen die Verpflichtungen über eine bloße Selbsterklärung hinaus.

 

Aktuelle Schritte bei Rhebo:
  1. Externe Zertifizierung: Aufgrundder Einstufung der Produkte ist eine Zertifizierung durch eine unabhängige dritte Stelle (einem sogenannten Notified Body) erforderlich. Rhebo ist bereitsnach ISO 27001 zertifiziert und richtet seinen Fokus auf die kommenden CRA-Anforderungen.
  2. Anpassung der Prozesse: DasSchwachstellenmanagement und die Meldepflichten werden nahtlos in diebestehenden Abläufe integriert.
  3. Technische Dokumentation: Fragmenteaus dem Software Development Life Cycle (SDLC), wie Bedrohungsmodelle undSBOMs, werden zu einer lückenlosen Dokumentation zusammengefasst.
  4. Referenzstandards: Solange noch keine finalen harmonisierten EU-Standards vorliegen, orientiert sich Rheboan der IEC 62443-4-2 als Referenz für Sicherheitskontrollen.
  5. Interne Befähigung: Durch gezielte Trainings stellt Rhebo sicher, dass alle Mitarbeiter die neuenAnforderungen verstehen und umsetzen können.

 

Fazit: Mehr als nur eine Pflichtübung

Obwohl die Auslegung einiger Details des Gesetzes noch Zeit benötigt,sehen wir den CRA nicht als bürokratische Hürde. Die Erlangung derKonformitätserklärung (DoC) ist für uns eine wertvolle Gelegenheit, dieSicherheit unserer Produkte und Dienstleistungen langfristig weiter zuverbessern und unseren Kunden ein Höchstmaß an Ausfallsicherheit zugarantieren.

Davon profitiert auch die weitere Entwicklung von Rhebo OTSecurity aus.