Cyber Resilience Act: Neue EU-Pflichten und Chancen für die Sicherheitstechnik-Branche

Mit dem Cyber Resilience Act (CRA) zieht die EU die Schrauben an: Ab 2027 dürfen unsichere Produkte nicht mehr auf den Markt. Für die Sicherheitstechnik-Branche bedeutet das einerseits Chancen für mehr Resilienz, aber auch Risiken, wenn Betreiber ihre Systeme nicht rechtzeitig anpassen.

Der von der EU beschlossene Cyber Resilience Act (CRA) hat es in sich. Nach der Verabschiedung des Gesetzes im vergangenen Jahr dürfen in der Europäischen Union nach einer dreijährigen Übergangsfrist ab Dezember 2027 keine digitalen Produkte mehr in den Markt gebracht und – was noch entscheidender ist – auch nicht weiterbetrieben werden, wenn sie nicht den Regeln des CRA entsprechen. Das BSI betont, dies gelte für alle Produkte mit „digitalen Elementen“ und umfasse preisgünstige Verbraucherprodukte ebenso wie B2B-Software oder komplexe High-End-Industriesysteme.1

Selbstverständlich sind also auch große Teile der Sicherheitstechnik-Branche vom CRA betroffen. Zutrittskontrollsysteme, Alarmanlagen, Videoüberwachung oder Leitstellenlösungen sind längst vernetzt, mit Cloud-Anwendungen verbunden und über mobile Endgeräte steuerbar. 

Was der CRA regelt

Ziel des Gesetzes ist ein einheitliches Sicherheitsniveau innerhalb der EU. Dazu schreibt der CRA vor, dass Cybersicherheit bereits bei der Entwicklung berücksichtigt werden muss („Security by Design“), dass Produkte ab Werk mit sicheren Grundeinstellungen ausgeliefert werden („Security by Default“) und dass Hersteller verpflichtet sind, während der gesamten Lebensdauer eines Produkts Sicherheitsupdates bereitzustellen.2 Nur Produkte, die diese Anforderungen erfüllen, dürfen künftig das CE-Kennzeichen tragen und in der EU vertrieben werden. Nach Ablauf der Übergangsfrist wird die Einhaltung verbindlich. Verstöße können empfindliche Sanktionen nach sich ziehen und im schlimmsten Fall dazu führen, dass Produkte vom Markt genommen werden.3

Auswirkungen auf die Sicherheitstechnik

Die Folgen für die Sicherheitstechnik-Branche sind weitreichend. Viele Betreiber nutzen Systeme, die seit Jahren zuverlässig arbeiten und tief in die Gebäudestrukturen eingebunden wurden. Wenn einzelne Komponenten nicht CRA-konform sind, können Hersteller sie künftig nicht mehr liefern. Ersatzteile oder Nachrüstungen könnten kurzfristig fehlen – mit erheblichen Auswirkungen auf den laufenden Betrieb. Besonders deutlich zeigt sich das an zentralen Komponenten. Fällt ein Zutrittskontrollserver aus und ist kein CRA-konformer Ersatz mehr erhältlich, kann die Zugangssicherheit eines gesamten Gebäudes gefährdet sein. Ähnlich kritisch ist es bei Video-Management- und Videoüberwachungs-Systemen. IP-Kameras sind vernetzte Produkte und fallen somit natürlich unter die Anforderungen des CRA. Für Betreiber großer Anlagen wie Flughäfen, Industrieparks oder öffentliche Einrichtungen kann dies bedeuten, dass nicht konforme Modelle ausgetauscht werden müssen, obwohl sie technisch noch einwandfrei funktionieren.

Herausforderungen für Errichter und Betreiber

Eine der größten Herausforderungen aber liegt in der Verfügbarkeit. Produkte, die heute problemlos im Einsatz sind, könnten bald nicht mehr zulässig sein. Errichter sollten sich daher verstärkt als Berater positionieren und ihren Kunden Orientierung geben. Denn sie sind die Schnittstelle zwischen Herstellern, die ihre Portfolios anpassen, und Betreibern, die Planungssicherheit benötigen.

Für Betreiber stellt sich eine ganze Reihe von Fragen. Welche Systeme sind bereits heute CRA-konform? Welche Produkte laufen in absehbarer Zeit aus? Welche Investitionen sind notwendig, um den Betrieb aufrechtzuerhalten? Hinzu kommt, dass sich einzelne regulatorische Details noch entwickeln. Hersteller können deshalb nicht in allen Fällen verbindliche Zusagen machen, was die Planung zusätzlich erschwert.

Ein weiteres Problem ist die Lebensdauer sicherheitstechnischer Systeme. Während IT-Produkte oft in kurzen Zyklen ersetzt werden, laufen Zutritts- oder Videosysteme häufig zehn Jahre oder länger. Der CRA zwingt Hersteller dazu, längere Supportzeiten zu garantieren. Betreiber müssen ihre Erwartungen an Produktlebenszyklen anpassen und stärker berücksichtigen, wie lange Updates und Ersatzteile verfügbar sind.

Die politische Dimension des CRA

Neben den technischen und organisatorischen Aspekten hat der CRA auch eine politische Komponente. Kritiker sehen in der Regulierung nicht nur einen Beitrag zur Cybersicherheit, sondern auch ein Instrument zur Marktsteuerung. Tatsächlich könnte der CRA dazu führen, dass Hersteller aus Drittstaaten größere Hürden beim Zugang zum europäischen Markt überwinden müssen.4

Offiziell geht es um ein einheitliches Sicherheitsniveau für alle Produkte. In der Praxis betrifft das aber vor allem Anbieter aus Ländern, in denen Cybersicherheit und Transparenzanforderungen nicht denselben Stellenwert haben wie in der EU. Häufig genannt werden chinesische Unternehmen, darunter große Netzwerkausrüster, aber auch Hersteller von Videoüberwachungstechnik, die zwar seit Jahren stark auf dem europäischen Markt präsent sind, aber immer wieder auch in der Kritik stehen, etwa wegen Sicherheitslücken, fehlender Transparenz oder geopolitischer Spannungen.

Der CRA könnte damit zweierlei bewirken: Zum einen stärkt er die Sicherheit von Produkten in Europa, zum anderen verschärft er indirekt die Bedingungen für Anbieter außerhalb der EU. Ob dies bewusst als industriepolitisches Instrument eingesetzt wird oder lediglich ein Nebeneffekt ist, wird derzeit kontrovers diskutiert. 

Chancen für die Branche

Trotz aller Herausforderungen eröffnet der CRA auch Chancen. Errichter können ihre Beratungskompetenz ausbauen und sich als langfristige Partner positionieren. Wer seine Kunden rechtzeitig informiert, Bestandsaufnahmen anbietet und Migrationsstrategien entwickelt, schafft Vertrauen und bindet Kunden über Jahre hinweg. Für Betreiber entsteht mehr Transparenz. Sie können künftig verlässlicher einschätzen, wie lange Produkte mit Updates versorgt werden und wann Ersatz geplant werden muss. Das erleichtert Budgetierungen und macht die langfristige Planung von Sicherheitsarchitekturen einfacher. Und auch die Hersteller könnten indirekt profitieren, denn wahrscheinlich wird der CRA einen Innovationsschub in Gang setzen. Produkte müssen von Anfang an sicherer entwickelt werden, Sicherheitsupdates werden verbindlich, und Schwachstellenmanagement wird zum Standard. Das stärkt das Vertrauen in digitale Sicherheitstechnik insgesamt. 

Wer sich rechtzeitig mit den neuen Vorgaben auseinandersetzt, kann mögliche Risiken minimieren und gleichzeitig von den Chancen profitieren, die der CRA eröffnet. Für die Branche entsteht die Möglichkeit, Cyber- und physische Sicherheit enger zu verzahnen und die Widerstandskraft gegenüber künftigen Bedrohungen nachhaltig zu stärken.

Fakten zum Cyber Resilience Act (CRA)

• Inkrafttreten: Verabschiedet 2024, Übergangsfrist bis 27. Dezember 2027.
• Geltungsbereich: Alle „Produkte mit digitalen Elementen“ – von IoT-Geräten bis hin zu komplexen Industrie- und Sicherheitssystemen.
• Kernprinzipien: „Security by Design“ und „Security by Default“ – sichere Entwicklung und sichere Grundeinstellungen ab Werk.
• Pflichten der Hersteller: Verpflichtung zu Sicherheitsupdates während der gesamten Lebensdauer des Produkts.
• Marktzugang: Nur konforme Produkte dürfen künftig die CE-Kennzeichnung tragen und in der EU vertrieben werden.
• Sanktionen: Bußgelder bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes.
• Verzahnung: Ergänzt andere EU-Regelwerke wie die NIS2-Richtlinie.

Quellen:

1 BSI: Cyber Resilience Act: Cybersicherheit EU-weit gedacht: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Cyber_Resilience_Act/cyber_resilience_act_node.html

2 Fraunhofer Academy: Cyber Resilience Act (CRA) - sind Sie bereit?: https://www.cybersicherheit.fraunhofer.de/de/Fokusthemen/cra.html

3 BMI: CE-Kennzeichen weist künftig auch auf Cybersicherheit hin: https://www.bmi.bund.de/SharedDocs/pressemitteilungen/DE/2024/10/cyber-resilience-act.html

4 Wikipedia: Cyberresilienz-Verordnung: https://de.wikipedia.org/wiki/Cyberresilienz-Verordnung