Immer mehr Geräte verbinden wir mit dem Internet: etwa unsere Smartphones und Laptops, aber auch smarte Glühlampen, Saugroboter oder Fernseher. Damit steigt das Risiko, Opfer von Cyberangriffen oder Cyberkriminalität zu werden.

Für viele Menschen ist es beim Kauf vernetzter Produkte jedoch schwer zu erkennen, wie gut geschützt und damit sicher das jeweilige Gerät ist. Darauf hat die Europäische Union (EU) reagiert und den Cyber Resilience Act (CRA) ins Leben gerufen.

Zukünftig müssen alle Produkte mit sogenannten digitalen Elementen ein Mindestmaß an Cybersicherheit bieten, um auf dem EU-Markt verkauft werden zu dürfen. Das gilt unabhängig davon, ob die Produkte für Verbraucherinnen und Verbraucher oder für Unternehmen gedacht sind.

Hinweis: Die hier gegebenen Ausführungen sollen Verbraucherinnen und Verbraucher dabei unterstützen, die wichtigsten Änderungen einzuordnen. Konkrete Details lassen sich im Rechtstext des CRA selbst nachlesen. Dieser hat Vorrang vor den hier gegebenen Erläuterungen.

 

Was ist der CRA?

Der CRA ist eine europäische Verordnung. Sie legt erstmals einheitliche und verbindliche Cybersicherheitsanforderungen z. B. für vernetzte Geräte fest. Insbesondere Hersteller und Händler müssen zukünftig sicherstellen, dass die von ihnen in den Verkehr gebrachten Produkte die im CRA festgelegten Cybersicherheitsanforderungen erfüllen.

Der CRA ist also ein wichtiger Schritt hin zu mehr Cybersicherheit. Dadurch sollen Verbraucherinnen und Verbraucher, aber auch beispielsweise Unternehmen, darunter auch etwa Handwerksbetriebe, in der EU besser vor Risiken wie Hackerangriffen oder Datenlecks geschützt werden. Außerdem sollen sie mehr Informationen über die Cybersicherheit ihrer Produkte erhalten.

 

Betrifft mich das als Verbraucherin oder Verbraucher?

Verbraucherinnen und Verbraucher betrifft der CRA insofern, dass er für viele Produkte gilt, die wir im Alltag nutzen: Dazu zählen etwa Smartphones, Laptops und Smarthome-Geräte, z. B. Waschmaschinen mit App-Steuerung. Der CRA schreibt Anforderungen an die Cybersicherheit solcher Produkte vor. So soll auch der digitale Alltag von Verbraucherinnen und Verbrauchern sicherer werden.

Informationen für Unternehmen und Organisationen stellt das BSI auf einer gesonderten Seite zur Verfügung.

 

Welche Produkte fallen unter den CRA?

Unter den CRA fallen alle Produkte, die in der EU verkauft werden und „digitale Elemente“ enthalten. Dazu zählen zahlreiche Produkte für Verbraucherinnen und Verbraucher.

Der CRA gilt zudem auch für Produkte, die in Unternehmen und in der Industrie zum Einsatz kommen. Nicht-kommerzielle Open Source-Softwareprodukte fallen jedoch nicht darunter.

Produkte, die unter den CRA fallen, müssen in Zukunft mit einer CE-Kennzeichnung versehen werden. Die CE-Kennzeichnung gewährleistet bislang, dass ein Produkt die grundlegenden Gesundheits-, Sicherheits- und Umweltanforderungen der EU erfüllt. Mit dem CRA wird die CE-Kennzeichnung auch auf den Bereich Cybersicherheit ausgeweitet.

 

Was bringt mir der CRA als Verbraucherin oder Verbraucher?

Um auf dem EU-Markt verkauft werden zu dürfen, müssen Produkte mit digitalen Elementen in Zukunft ein Mindestmaß an Cybersicherheit vorweisen können.

Zu den Anforderungen des CRAs zählt etwa, dass Hersteller Cybersicherheit schon von der Produktentwicklung an mitdenken: Geräte und Anwendungen müssen also so konzipiert sein, dass sie möglichst sicher genutzt werden können. Zudem müssen sie mit Standardeinstellungen ausgeliefert werden, die dies unterstützen. Schwachstellen, die zum Beispiel Cyberkriminelle ausnutzen könnten, dürfen bei der Auslieferung keine bekannt sein.

Auch später müssen aktiv ausgenutzte Schwachstellen offengelegt und Updates, die solche Schwachstellen schließen, über den gesamten Supportzeitraum zur Verfügung gestellt werden. Nur so können Verbraucherinnen und Verbraucher schließlich mögliche Sicherheitslücken ihrer eigenen Produkte schließen. Der Supportzeitraum umfasst in der Regel fünf Jahre. Er wird so festgelegt, dass er der voraussichtlichen Nutzungsdauer des Produktes entspricht. Die Hersteller sollen hierbei auch die berechtigten Erwartungen der Nutzerinnen und Nutzer sowie die Art des Produktes berücksichtigen. Ein Produkt, von dem ausgegangen werden kann, dass es länger als fünf Jahre in Betrieb sein wird, wird dementsprechend auch einen längeren Supportzeitraum haben.

 

Wo und ab wann gilt der CRA?

Der CRA gilt in allen EU-Mitgliedsstaaten. Dabei betrifft er auch außereuropäische Hersteller, die Produkte auf den EU-Markt bringen. Er wurde im Oktober 2024 verabschiedet und wird anschließend schrittweise umgesetzt. Ab dem 11. Dezember 2027 müssen neue Produkte alle Anforderungen einhalten.

 

Was kann ich noch für meine eigene Sicherheit tun?

Neben der Entscheidung für ein möglichst sicheres Produkt können Sie selbst noch etwas für Ihre Sicherheit im digitalen Alltag tun: zum Beispiel starke Passwörter in Kombination mit der Zwei-Faktor-Authentisierung oder Passkeys verwenden, Links und Anhänge vor dem Öffnen genau prüfen und den eigenen Router absichern. Das BSI stellt dafür umfassende Informationen bereit.

Übrigens: Nicht nur Smartphones und Laptops gilt es abzusichern. Auch Smarthome-Geräte, also etwa smarte Glühlampen, Saugroboter und Fernseher, können u.a. zum Einfallstor für Cyberkriminelle werden. Daher müssen auch Smarthome-Geräte entsprechend geschützt werden.