Es ist Dienstagmorgen. Ihr Saugroboter dreht ruhig seine Runden, während Sie in einem Meeting sitzen – eine ganz alltägliche Situation, über die Sie sich keine Gedanken machen. Es ist ja nur ein Gerät, eine kleine Annehmlichkeit.

Für einen Angreifer jedoch ist eben dieser Saugroboter nicht einfach nur ein Alltagshelfer, sondern der Einstiegspunkt in Ihr Netzwerk. Eben dieses Szenario beschäftigt die EU-Gesetzgeber, weshalb sie den Cyber Resilience Act (CRA) entworfen haben. Dieses Gesetz betrifft auch Schweizer Unternehmen, die Produkte mit digitalen Elementen EU-weit verkaufen, importieren oder vertreiben.

Was ist der Cyber Resilience Act?

Schwachstellen, die Angreifer im Netzwerk finden, sind in den meisten Fällen keine ausgeklügelten Zero-Day-Lücken – es sind üblicherweise fest codierte Passwörter, Standard-Benutzernamen oder Update-Funktionen ohne Signaturprüfung.

Wer im Bereich Cybersicherheit arbeitet, kennt diese Realität nur zu gut. Die meisten Sicherheitsverletzungen sind nicht das Ergebnis ausgeklügelter Angriffe. Es ist häufig schlicht die Zeit, die einem im Weg steht, oder eine Entscheidung, die jemand im Produktdesign vor Jahren getroffen hat – sei es bewusst oder schlichtweg, weil der Fokus in der Entwicklung nicht auf Sicherheit lag.

Fallbeispiel

Nun wird es noch etwas komplexer: Nehmen wir wieder unser fiktives Fallbespiel des Saugroboters. Das nachfolgende Bild zeigt, was grob in Ihrem von RoboClean hergestellten Saugroboter steckt:

Nicht ein einzelnes Unternehmen hat dieses Gerät gebaut – es ist das Ergebnis vieler unabhängiger Entscheidungen. Und in der Vergangenheit konnten sich diese individuellen Entscheidungsträger folgenlos aus der Verantwortung ziehen. Bei Vorfällen traf der Schaden erschreckend oft den Händler oder sogar den Nutzer, obwohl sie an den Entscheidungsprozessen nicht beteiligt waren.

Hier soll der CRA Änderungen bewirken. Ab Dezember 2027 müssen Hersteller mit der CE-Kennzeichnung gegenüber ihren Nutzern nachweisen, dass ihr Produkt die wesentlichen Cybersicherheitsanforderungen des CRA erfüllt. Die CE-Kennzeichnung steht dabei für die Konformität mit mehreren EU-Verordnungen.

Die nachfolgende Grafik verdeutlicht, wie sich die Haftung mit der Einführung des CRA verändert:

Was beinhaltet der Cyber Resilience Act?

Der CRA gilt für jedes Produkt mit digitalen Elementen (PDE), das auf dem EU-Binnenmarkt verkauft wird. Dabei gilt die Voraussetzung, dass der bestimmungsgemässe Zweck oder die vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netzwerk einschliesst (Artikel 2 CRA).

Kurz: Der CRA betrifft Produkte, die Daten über ein Netzwerk oder Gerät austauschen können.

Damit sind alle Daten gemeint, die über Netzwerkschnittstellen, Cloud-Verbindungen, drahtlose Protokolle (WLAN, Bluetooth etc.) oder andere digitale Kommunikationskanäle ausgetauscht werden (z. B. personenbezogene Daten, Konfigurationsdaten, Sensor- und Telemetriedaten, Cloud-synchronisierte Daten).

Der CRA unterliegt dem New Legislative Framework (NLF), das auch für Sonnenbrillen, Spielzeuge und Druckbehälter gilt. Demnach benötigt es ein Zusammenspiel von fünf Voraussetzungen, damit die CE-Kennzeichnung anerkannt werden kann:

1. Harmonisierte Anforderungen sind die Grundlage für EU-weite Regeln, die alle Produkte einer bestimmten Kategorie erfüllen müssen.
2. Europäische Normungsorganisationen (CEN, CENELEC, ETSI) entwickeln harmonisierte europäische Normen, um diese Anforderungen zu konkretisieren.
3. Wirtschaftsakteure, also alle, die Produkte herstellen, welche in der EU verkauft werden sollen, müssen eine Konformitätsbewertung (intern/extern) durchführen, eine Konformitätserklärung erstellen, eine technische Dokumentation ausarbeiten und die CE-Kennzeichnung anbringen.
4. Benannte Stellen (z. B. der TÜV) führen Drittpartei-Konformitätsbewertungen durch, wenn dies erforderlich ist.
5. Marktüberwachungsbehörden führen Stichprobenkontrollen durch und untersuchen Vorfälle. Darunter fällt auch das Anordnen von Produktrückrufen sowie das Verhängen von Bussgeldern.

Wer ist vom CRA betroffen?

Nachfolgend findet sich eine kurze Übersicht darüber, welche Verantwortlichkeiten die jeweiligen Wirtschaftsakteure tragen:

Wirtschaftsakteur	Definition gemäss CRA	Kritische Verantwortung
Hersteller	Natürliche oder juristische Person, die ein PDE entwickelt oder entwickeln lässt und unter eigenem Namen vermarktet.	Sichere Konzeption & Entwicklung gewährleisten (Anhang I des CRA), Risikoanalyse durchführen, Schwachstellenmanagement während Support-Zeitraum sicherstellen, aktiv ausgenutzte Schwachstellen innerhalb von 24 h melden, Nutzer informieren, technische Dokumentation erstellen, CE-Kennzeichnung anbringen, EU-Konformitätserklärung ausstellen
Importeur	Jede in der EU ansässige juristische Person, die ein Produkt aus einem Drittland auf den Markt bringt.	Hersteller-Compliance überprüfen, Konformität vor dem Inverkehrbringen prüfen, erforderliche Dokumentation vom Hersteller bereitstellen
Händler	Jede Person in der Lieferkette, die ein Produkt bereitstellt, ausgenommen Hersteller oder Importeur.	CE-Kennzeichnung prüfen, Begleitdokumente und Nutzerinformationen sicherstellen, vor Bereitstellung auf dem Markt überprüfen
Open-Source-Steward	Juristische Person, die dauerhafte Unterstützung für die Entwicklung bestimmter FOSS-Produkte (Free and Open Source Software) leistet.	Schwachstellenmanagement für Software gewährleisten, Security-Fixes erleichtern; Open-Source-Stewards müssen KEINE CE-Kennzeichnung anbringen

Welche Produkte sind betroffen?

Alles von Hardware bis Software – der Anwendungsbereich des CRA umfasst praktisch die gesamte IT, das IoT, industrielle Steuerungssysteme sowie eingebettete Geräte und Maschinen.

Reine SaaS-Dienste, die ausschliesslich in der Cloud betrieben werden, fallen zwar nicht unter den CRA, es gilt jedoch: Auch Remote-Datenverarbeitungslösungen beziehungsweise Cloud-Komponenten, die für die Kernfunktion eines Produkts notwendig sind, werden erfasst. Beispiel: Bei einem Saugroboter, der ohne seine Cloud-Anbindung nicht funktionsfähig ist, fällt diese Verbindung auch in den Geltungsbereich des CRA (Artikel 3 Absatz 2 CRA).

Gelten für alle Produkte die gleichen Anforderungen?

Gemäss CRA gelten für verschiedene Produkte unterschiedlich strenge Anforderungen. Die grosse Mehrheit aller vernetzten Produkte fällt in die Standardkategorie und muss lediglich die allgemeinen Grundanforderungen des CRA erfüllen.

Für besonders kritische Produkte, welche in Anhang III und IV des CRA definiert sind, gelten die strengsten Anforderungen, allen voran die zwingende Prüfung durch eine externe Stelle wie den TÜV. Darunter fallen:

• IT-Basisinfrastruktur: Browser, Betriebssysteme, Router, Modems, Firewalls
• Produkte mit Sicherheitsfunktionen: Authentifizierungssysteme, Passwortmanager, VPN, SIEM, Smart-Home-Sicherheitsgeräte
• Produkte, die personenbezogene Daten von Kindern oder Gesundheitsdaten erfassen können: Spielzeuge und Babyphones mit Internetverbindung, Wearables mit Gesundheitsfunktionen

Wie können Hersteller herausfinden, ob der CRA für ihr Produkt gilt?

Vorerst muss geprüft werden, welche der eigenen Produkte im Anhang III oder IV des CRA aufgeführt sind. Für diese ist eine externe Konformitätsbewertung erforderlich. Für alle anderen Produkte mit digitalen Elementen gilt eine vereinfachte Selbstbewertung.

Als praktische Orientierungshilfe gilt: Wenn Ihr Produkt Daten mit einem anderen Gerät oder Netzwerk austauscht, ob per WLAN, Bluetooth, Mobilfunk oder Kabel, fällt es in den Prüfbereich des CRA.

Ab wann tritt der CRA in Kraft

The Der CRA ist bereits im Dezember 2024 in Kraft getreten, die verpflichtende Umsetzung erfolgt jedoch gestaffelt. Ab September 2026 gilt die Meldepflicht für Schwachstellen und Vorfälle. Bei aktiv ausgenutzten Schwachstellen gilt gemäss Artikel 14 Absatz 1–4 CRA dann folgendes dreistufiges Melderegime:

• Frühwarnung innerhalb von 24 Stunden an ENISA und nationale CSIRTs
• Vollständige Meldung innerhalb von 72 Stunden mit weiteren Angaben zur Schwachstelle
• Abschlussbericht nach 14 Tagen bzw. bei schwerwiegenden Sicherheitsvorfällen nach 1 Monat

Ab Dezember 2027 tritt der CRA voraussichtlich in vollem Umfang in Kraft.

Was sind die wesentlichen Anforderungen des CRA?

Die wesentlichen Anforderungen an betroffene Produkte sind in Anhang I des CRA aufgeführt:

• Prävention im Design: sichere Standards, minimierte Angriffsflächen, keine Standard-Passwörter, minimale Zugriffsrechte (Principle of Least Privilege)
• Bereitschaft zur Transparenz: Protokollierung, Monitoring, Fähigkeiten zur Folgenminimierung
• Mindestdauer der Sicherheitsunterstützung: Hersteller müssen Sicherheitsupdates mindestens 5 Jahre lang bereitstellen bzw. länger, wenn das Produkt länger genutzt wird. Kürzere Zeiträume sind nur bei Produkten mit kurzer Lebensdauer oder Abonnement-Modellen zulässig (Artikel 14 Absatz 60 CRA).

Da der CRA auch verschärfte Anforderungen an Produktkategorien mit kritischen Funktionen stellt, ist die Einordnung für Unternehmen sicher ein guter erster Schritt. Hierbei muss der bestimmungsgemässe Verwendungszweck (intended purpose) laut Artikel 3 Absatz 23 CRA erarbeitet und dokumentiert werden.

Pflichtdokumente für Hersteller

Weiterhin gibt es drei Pflichtdokumente, die jeder Hersteller für seine Produkte erstellen muss:

• EU-Konformitätserklärung (formale Compliance-Aussage)
• Technische Dokumentation (nichtöffentliches Dossier mit Designdetails, Risikoanalyse und Testberichten); diese technische Dokumentation muss noch 10 Jahre nach Inverkehrbringen verfügbar sein
• Nutzerinformationen (eine Art Sicherheitshandbuch für Endnutzer)

Der CRA am Beispiel des Saugroboters von RoboClean

Betrachten wir die Details des Cyber Resilience Act wieder am Beispiel des Saugroboters von RoboClean.

Der Saugroboter gilt nicht als kritisches Produkt gemäss Anhang III oder IV des CRA. Trotzdem unterliegt er den grundlegenden CRA-Anforderungen. Bereits vor dem Markteintritt muss der Hersteller systematisch Risiken identifizieren und dokumentieren:

• Was passiert, wenn Angreifer die Kamera übernehmen und Live-Bilder streamen?
• Was passiert, wenn die Cloud-Verbindung kompromittiert wird und der Roboter ferngesteuert werden kann?
• Was passiert, wenn eine Schwachstelle in der App das Heimnetzwerk gefährdet?

Diese Risikoanalyse ist verpflichtend und muss dokumentiert, aktuell gehalten und ständig überprüft werden.

Klingt komplex? Ist es auch! Doch keine Sorge: Mit dem Security Consulting von Oneconsult unterstützen wir Sie im Compliance-Dschungel.

Was unterscheidet den CRA von bestehenden Standards?

Im Unterschied zu Standards wie IEC 62443 oder ISO 27001 ist der CRA verbindlich. Ohne Konformität erhält RoboClean somit keinen Zugang zum EU-Markt.

Bestehende Sicherheitsstandards bleiben dennoch relevant: Die von CEN/CENELEC entwickelten harmonisierten Normen, insbesondere IEC 62443-4-2, werden voraussichtlich eine Konformitätsvermutung begründen. Hersteller mit bestehenden Zertifizierungen sind deshalb klar im Vorteil.

Ausserdem gilt für den Saugroboter von RoboClean gemäss CRA die Anforderung «Secure by Design». Unter anderem bedeutet dies, dass der Roboter ohne bekannte Sicherheitslücken auf den Markt kommen muss. Kameraaufnahmen und Raumdaten müssen verschlüsselt übertragen und gespeichert werden. Auch die Robo-App darf nur Zugriff auf die Funktionen haben, die sie benötigt. Unnötige Schnittstellen müssen deaktiviert sein. Der Nutzer muss alle Daten permanent kryptographisch vernichten können. Hinzu kommt, dass auch die Cloud-Anbindung als Komponente unter den CRA fällt, sodass der Hersteller auch dafür verantwortlich ist.

Wie verhält sich der CRA in Bezug auf andere Regulierungen?

Nun stellt sich für RoboClean folgende Frage: Der Saugroboter ist eine Maschine, also gilt die Maschinenverordnung. Wird zusätzlich KI genutzt, fällt das Produkt zudem unter den EU AI Act. Und möglicherweise greift sogar die NIS2-Richtlinie zur Aufrechterhaltung der Cybersicherheit. Bin ich damit denn nicht schon ausreichend reguliert?

Leider lautet die Antwort darauf nein. Genau das ist einer der grössten Irrtümer im europäischen Compliance-Dschungel.

Grund dafür ist, dass der CRA Produkte mit digitalen Elementen betrifft. NIS2 bezieht sich jedoch auf Unternehmen, der AI Act auf KI-Systeme und die Maschinenverordnung auf Maschinen. Alle Regelwerke betrachten demnach unterschiedliche Risiken aus unterschiedlichen Perspektiven. Es gibt dabei keine einfache Vorrangregel. RoboClean könnte also theoretisch unter alle vier Regelwerke fallen  – und muss entsprechend auch alle Anforderungen erfüllen.

Wie muss mit Schwachstellen umgegangen werden?

Wird beim Saugroboter von RoboClean eine kritische Schwachstelle entdeckt, bleiben nach dem CRA nur 24 Stunden für eine Frühwarnung an ENISA und die zuständigen nationalen Behörden.

Doch damit RoboClean überhaupt weiss, wo mögliche Schwachstellen liegen, wird eine Software Bill of Materials (SBOM) benötigt. Diese dokumentiert idealerweise alle Softwarekomponenten des Produkts. Dazu gehört nicht nur die App selbst, sondern auch alle verwendeten Bibliotheken und deren weitere Abhängigkeiten. Die SBOM bildet also das gesamte Netz der Software-Abhängigkeiten ab, muss maschinenlesbar sein, etwa im SPDX- oder CycloneDX-Format, und muss laufend aktualisiert werden.

Noch vor dem Markteintritt muss RoboClean zudem die technische Dokumentation erstellen. Dazu gehören neben der SBOM unter anderem eine Produktbeschreibung, Architektur- und Bedrohungsmodelle, angewandte Normen mit Bezug zu Anhang I des CRA, die EU-Konformitätserklärung sowie Nachweise zum Schwachstellenmanagement. Behörden können diese Unterlagen sowie Prozessnachweise – wie etwa Design-Reviews, Berichte zu Penetration Tests oder Patch-Protokolle – bis zu zehn Jahre lang einfordern. Dadurch soll es möglich sein, nachzuvollziehen, ob der Hersteller sein Produkt tatsächlich sicher entwickelt hat.

Wer haftet bei einem Vorfall?

Die grosse Frage ist jedoch: Wer haftet, wenn die Schwachstelle in einer Drittkomponente steckt? Genau hier wird es für RoboClean heikel, denn die Hauptverantwortung liegt beim Hersteller. Gewerbliche Komponentenlieferanten können zwar ebenfalls als Hersteller gelten, Open-Source-Maintainer sind dagegen weitgehend ausgenommen. Das ist politisch durchaus gewollt, weil die EU die Open-Source-Community nicht überlasten möchte. Unternehmen, die Open-Source-Komponenten kommerziell nutzen oder in eigene Produkte integrieren, tragen demnach die volle Compliance-Verantwortung.

Zusätzlich muss RoboClean einen Unterstützungszeitraum von mindestens fünf Jahren definieren. Während dieser Zeit müssen Sicherheitsupdates bereitgestellt werden. Ausserdem braucht es eine zentrale Kontaktstelle für Sicherheitsmeldungen sowie eine verständliche Dokumentation zur sicheren Nutzung des Produkts.

Welche Konsequenzen können drohen?

Verstösse können teuer werden:

• bis zu 15 Mio. Euro oder 2,5 % des weltweiten Jahresumsatzes bei Verstössen gegen Anhang I des CRA
• bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes bei sonstigen Pflichtverletzungen
• bis zu 5 Mio. Euro oder 1 % des weltweiten Jahresumsatzes bei falschen Angaben

Inwiefern sind Schweizer Unternehmen vom CRA betroffen?

Die Schweiz passt ihre regulatorischen Rahmenbedingungen meist den EU-Standards an, insbesondere in Bereichen, die den grenzüberschreitenden Handel betreffen. Ein aufschlussreiches Beispiel bieten die deutsche DSGVO und das nDSG der Schweiz (revidiertes Bundesgesetz über den Datenschutz): Die Schweiz beobachtete, adaptierte und implementierte ihre eigene Version in Anlehnung an die DSGVO.

Dementsprechend verfolgt die Schweizer Regierung den CRA aktuell sehr aktiv. Das Bundesamt für Cybersicherheit (BACS) hat Leitlinien veröffentlicht, die die Bedeutung des CRA anerkennen und sich in die Fachdebatte einbringen. Das bestehende Informationssicherheitsgesetz (ISG) der Schweiz sowie die breitere Cybersicherheitsstrategie spiegeln bereits ähnliche Grundsätze wider.

Was ist im richtigen Umgang mit dem CRA zu beachten?

Der Cyber Resilience Act führt also zu deutlich komplexeren Richtlinien und Prozessen. Um die internen Prozesse zu entlasten, empfiehlt es sich, auf Security Consulting zu setzen. Die Cybersecurity-Experten von Oneconsult fungieren dabei als Übersetzer und schaffen Klarheit auf verschiedenen Ebenen:

1. Gegenüber der Geschäftsführung: Unsere Experten berichten über das Restrisiko und übersetzen technische Lücken in finanzielle Haftungsrisiken. 
2. Gegenüber dem CISO: Unsere Experten pflegen die Evidence Pipeline und sorgen dafür, dass die Software Bill of Materials aktuell bleibt.
3. Gegenüber dem Product Owner: Unsere Experten unterstützen den Security-Architekten und helfen dabei, automatisierte Scans und Penetration Tests so in den Bauprozess zu integrieren, dass die Sicherheit die Innovation nicht ausbremst.

Unterstützung benötigt?

Sind Sie vom Cyber Resilience Act betroffen und möchten die Anforderungen effizient umsetzen? Dann sichern Sie sich jetzt gezielte Unterstützung in den folgenden Bereichen:

• Produktportfolio auf EU-Exposition kartieren
• Aktuellen Sicherheitsstatus prüfen (Gap-Analyse)
• Operative Unterstützung in Hinsicht auf Schwachstellenmanagement, Threat Modelling, Risk Management
• Compliance-Roadmap mit realistischen Zeitplänen erstellen