cetecom advanced
  • CERT
  • Akkreditierungen
  • Newsletter
  • Karriere
  • Kontakt
cetecom advanced Knowledge Center Fachartikel Der EU Cyber Resilience Act – Ein Leitfaden für Hersteller und Wirtschaftsakteure

Der EU Cyber Resilience Act – Ein Leitfaden für Hersteller und Wirtschaftsakteure

Der Cyber Resilience Act (CRA) ist eine der bedeutendsten regulatorischen Entwicklungen im Bereich der IT-Sicherheit in der Europäischen Union. Ziel des CRA ist es, die digitale Resilienz innerhalb des Binnenmarkts zu stärken und einheitliche Sicherheitsstandards für Produkte mit digitalen Elementen zu schaffen. Im Unterschied zu bisherigen sektorspezifischen Regelungen wie der NIS2-Richtlinie oder der RED (Radio Equipment Directive), ist der CRA horizontal ausgerichtet und betrifft eine breite Produktpalette. Insbesondere Hersteller, aber auch Importeure, Händler und Softwareentwickler müssen sich nun umfassend mit den Anforderungen des CRA vertraut machen. Es geht nicht nur um die Einhaltung gesetzlicher Vorgaben, sondern auch darum, Vertrauen bei Kunden und Partnern durch sichere Produkte aufzubauen.
Techno-stilisiertes Logo der Europäischen Union mit "CRA"-Schriftzug inmitten der Sterne
Inhalte
Inhaltsverzeichnis

Anwendungsbereich des CRA

Der CRA gilt für alle Produkte mit digitalen Komponenten, die direkt oder indirekt mit anderen Geräten oder Netzwerken verbunden sind. Besonders betroffen sind Hersteller von Produkten mit Funktechnologien wie WLAN, Bluetooth, Zigbee, LoRaWAN oder Mobilfunk. Diese Produkte fallen nicht nur unter den CRA, sondern auch unter die Radio Equipment Directive (RED), was eine doppelte regulatorische Betrachtung erforderlich macht.

Für folgende Beispiel-Geräte ist der Cyber Resilience Act relevant:

  • Smart-Home-Geräte mit WLAN/Bluetooth (z. B. Thermostate, Alarmanlagen, Kameras)
  • Wearables und Consumer-Elektronik
  • Industrielle IoT-Komponenten mit drahtloser Kommunikation
  • Kommunikationsmodule in Maschinen, Fahrzeugen oder medizinischen Geräten
  • Gateways und Router mit Funktechnologie

Produktkategorien im EU Cyber Resilience Act

Produkte werden im CRA in zwei Hauptkategorien eingeteilt: „klassische Produkte“ und „kritische Produkte“. Letztere umfassen etwa Betriebssysteme, Netzwerkgateways oder Produkte, die sicherheitskritische Kommunikationsschnittstellen enthalten.

Hersteller von Funkprodukten sollten besonders prüfen, ob ihre Produkte aufgrund ihrer Funktionen (z. B. Fernsteuerung, Update-Fähigkeit, Zugriffskontrolle) als kritisch eingestuft werden.

Zeitplan und Fristen

Nach der formellen Verabschiedung im Jahr 2024 wird der CRA im August 2025 in Kraft treten.

  • Die Verordnung sieht eine Übergangsfrist von 36 Monaten für die Umsetzung der produktbezogenen Anforderungen vor.
  • Für das Schwachstellenmanagement gilt hingegen eine kürzere Frist von 21 Monaten.

Unternehmen sollten diese Zeit nutzen, um bestehende Prozesse zu evaluieren und erforderliche Anpassungen vorzunehmen.

Verpflichtungen für Hersteller und andere Wirtschaftsakteure

Hersteller sind verpflichtet, bereits vor dem Inverkehrbringen eines Produkts sicherzustellen, dass dieses den Anforderungen des CRA entspricht. Dies ist besonders relevant für Hersteller von Funkprodukten, da diese Geräte oft komplexe Softwarefunktionen, drahtlose Schnittstellen und potenziell sicherheitskritische Kommunikationspfade enthalten.

Wichtige Anforderungen nach CRA:

  • Integration von Sicherheitsfunktionen bereits in der Designphase („security by design“)
  • Berücksichtigung von Funkprotokollen und deren Schwachstellen in der Risikoanalyse
  • Bereitstellung von regelmäßigen Sicherheitsupdates für Funkmodule und eingebettete Software
  • Führung einer umfassenden technischen Dokumentation, inkl. Beschreibung aller drahtlosen Schnittstellen und deren Absicherung
  • Gewährleistung, dass die drahtlose Kommunikation gegen Manipulation, Abhören und Replay-Attacken geschützt ist

Importeure und Vertreiber sind verpflichtet, nur konforme Produkte auf den Markt zu bringen. Sie müssen in der Lage sein, technische Unterlagen auf Anfrage bereitzustellen und mit den zuständigen Behörden zusammenzuarbeiten.

Sicherheitstechnische Anforderungen im Detail

Für Hersteller von Funkprodukten sind insbesondere folgende Aspekte entscheidend:

  • Authentifizierung von Endpunkten: Vermeidung unautorisierter Verbindungen zu drahtlosen Netzwerken
  • Datenverschlüsselung über Funk: Schutz der Kommunikation über WLAN, Bluetooth & Co.
  • Absicherung von Over-the-Air-Updates: Updates müssen authentifiziert und integritätsgeschützt sein
  • Minimierung der Angriffsfläche: Deaktivierung nicht benötigter Funk-Schnittstellen und Dienste
  • Hardening der Firmware: Schutz vor Manipulation der Funk-Firmware durch Secure Boot und Signierung

Schwachstellenmanagement und Meldepflichten

Hersteller müssen ein Schwachstellenmanagement etablieren, das explizit auch drahtlose Komponenten umfasst. Funktechnologien sind besonders anfällig für Angriffe wie Spoofing, Jamming oder Man-in-the-Middle. Daher müssen Hersteller sicherstellen, dass sie diese Risiken laufend beobachten und in ihre Meldepflichten gegenüber ENISA einbeziehen.

Konformitätsbewertungsverfahren

Viele Funkprodukte können unter bestimmten Voraussetzungen durch eine Selbstbewertung in den Markt gebracht werden. Dies ist jedoch nur möglich, wenn:

  • Alle relevanten harmonisierten Normen (z. B. EN 303 645, ETSI EN 301 489) eingehalten werden
  • Das Produkt nicht als kritisch eingestuft wurde

In komplexeren Fällen (z. B. bei sicherheitskritischer Funkkommunikation) ist eine Bewertung durch eine benannte Stelle wie die bei der cetecom advanced erforderlich.

Technische Umsetzung des CRA in der Praxis

Für Funkprodukte ist die technische Umsetzung besonders herausfordernd, da sowohl Hardware- als auch Softwarekomponenten betroffen sind. Hersteller sollten folgende Schritte in ihre Entwicklungsprozesse integrieren:

  • Nutzung sicherer Funkprotokolle (z. B. WPA3, BLE Secure Connections);
  • Anwendung von Threat Modeling speziell für drahtlose Kommunikationspfade;
  • Erstellung einer Software-Stückliste (SBOM) auch für vorintegrierte Funk-Stacks;
  • Validierung der Sicherheitsanforderungen durch Penetrationstests auf Funkebene;
  • Integration von Firmware-Update-Mechanismen mit Signaturprüfung.

Harmonisierung mit bestehenden Standards

Zur Umsetzung der Anforderungen des CRA können Hersteller von Funkprodukten u. a. auf folgende Normen zurückgreifen:

  • ETSI EN 303 645: Cybersicherheitsanforderungen für IoT-Geräte
  • ISO/IEC 27001: Informationssicherheitsmanagement
  • IEC 62443: Industrielle IT-Sicherheit
  • Common Criteria für sicherheitskritische Komponenten (Die EUCC-Zertifizierung, die auf den internationalen Common Criteria basiert, kann als Nachweis für die Einhaltung der Anforderungen des CRA dienen)

Typische Herausforderungen und Fallstricke

Funkprodukte verwenden häufig vorgefertigte Module oder Drittanbieter-Stacks. Hersteller müssen daher sicherstellen, dass diese Komponenten dokumentiert, getestet und gewartet werden. Eine große Herausforderung besteht darin, sicherzustellen, dass Sicherheitsupdates auch für vorintegrierte Funkmodule rechtzeitig verfügbar gemacht werden.

Praktische Empfehlungen für die Vorbereitung

Zur gezielten Vorbereitung auf die Anforderungen des Cyber Resilience Act sollten Hersteller von Funkprodukten insbesondere ihre Entwicklungs- und Dokumentationsprozesse überprüfen und systematisch anpassen. Ein zentraler Schritt ist die vollständige Erfassung und Dokumentation aller in den Produkten verwendeten Funkkomponenten, einschließlich der eingesetzten Firmware-Versionen. Diese Transparenz ist nicht nur für die Konformitätsbewertung essenziell, sondern auch für eine spätere Aktualisierung und Sicherheitsanalyse unerlässlich.

Ein weiterer wichtiger Punkt ist die umfassende sicherheitstechnische Bewertung der verwendeten Funkprotokolle. Hersteller müssen nachweisen können, dass beispielsweise WLAN-, Bluetooth- oder proprietäre Protokolle hinsichtlich ihrer aktuellen Sicherheitseigenschaften bewertet und bei Bedarf durch stärkere Alternativen ersetzt wurden.

Darüber hinaus sollte sorgfältig überprüft werden, ob vorhandene Over-the-Air-Update-Funktionen (OTA) den Anforderungen des CRA entsprechen – insbesondere in Bezug auf Authentifizierung, Integritätsschutz und Ausfallsicherheit. Sichere Update-Mechanismen sind ein zentraler Bestandteil der fortlaufenden Produktpflege und einer der wichtigsten Pfeiler der Cyberresilienz.

Abschließend empfiehlt sich die Durchführung einer umfassenden Funksicherheits-Gap-Analyse durch eine akkreditierte Prüfstelle. Dabei werden technische, organisatorische und dokumentationsbezogene Aspekte gezielt auf ihre Übereinstimmung mit den Anforderungen des Cyber Resilience Acts der EU geprüft. Eine solche Analyse bietet Unternehmen einen fundierten Überblick über bestehende Defizite und ermöglicht die frühzeitige Planung notwendiger Maßnahmen.

Fazit

Der Cyber Resilience Act stellt Hersteller von Funkprodukten vor besondere Herausforderungen. Sie müssen nicht nur die regulatorischen Anforderungen des CRA, sondern auch die technischen Besonderheiten drahtloser Kommunikation berücksichtigen. Wer rechtzeitig handelt und seine Produkte sicher und nachvollziehbar gestaltet, sichert sich nicht nur den Marktzugang, sondern auch das Vertrauen von Kunden und Partnern.

Wie cetecom advanced Sie unterstützen kann

Als international anerkannte benannte Stelle und unabhängige Prüf- und Zertifizierungsorganisation verfügt cetecom advanced über umfassende Expertise in der Bewertung von Produkten mit digitalen und drahtlosen Komponenten. Unsere Dienstleistungen erstrecken sich von der frühzeitigen Beratung über normkonforme Sicherheitsarchitekturen bis hin zur Durchführung von Konformitätsbewertungen im Rahmen des Cyber Resilience Act (CRA) sowie der Radio Equipment Directive (RED).

Besonderes Augenmerk legen wir auf die Unterstützung unserer Kunden bei der Umsetzung der Cybersicherheitsanforderungen gemäß Artikel 3.3 (d), (e) und (f) der RED. Diese fordern u. a. den Schutz personenbezogener Daten, Schutz vor betrügerischen Zugriffen sowie Maßnahmen zur Sicherstellung von Netz- und Diensteintegrität. Seit 2024 sind diese Anforderungen durch die harmonisierte Norm ETSI EN 18031 konkretisiert worden, die detaillierte technische Vorgaben für Funkprodukte enthält. Die EN 18031 ist ein zentraler Baustein für Hersteller, um sowohl die RED-Cybersicherheitsanforderungen als auch Teile des CRA effektiv nachzuweisen.

Durch unsere gezielte Beratung zur Anwendung der EN 18031 sowie weiterer relevanter Normen wie EN 303 645 oder ETSI TS 103 701 unterstützen wir Sie dabei, Synergien zwischen RED und CRA zu nutzen. Unser Ansatz kombiniert technische Sicherheitsprüfungen (z. B. Penetrationstests, Funkprotokollanalyse, OTA-Validierung), strukturierte Risikoanalysen und fundierte Dokumentationsbegleitung. Auf Wunsch begleiten wir Sie bis zur formellen CE-Kennzeichnung effizient, praxistauglich und regulatorisch abgesichert.

Über den Autor und diesen Artikel

cetecom advanced ist ein global agierender Test- und Zertifizierungsdienstleister sowie Teil der RWTÜV-Gruppe.

Wir sind eine staatlich anerkannte Prüfstelle, deren Labore weltweit für verschiedenste Prüfungen akkreditiert sind. Mit unseren Prüfleistungen nach internationalen Regularien helfen wir dabei, elektrische/elektronische Produkte international sicher auf den Markt zu bringen. Zudem übernehmen wir Produktzulassungen in über 180 Ländern. Renommierte Marken aller Branchen vertrauen seit 1993 auf unsere Kompetenzen.

Dieser Fachartikel wurde nach strengen redaktionellen Standards verfasst. Sämtliche im Artikel enthaltenen Informationen sind das Resultat sorgfältiger Recherchen zum Thema. Alle Fachartikel wurden abschließend durch die zuständigen Fachabteilungen unserer Labore geprüft, die sich täglich um Tests und Zulassungen unterschiedlichster Funkprodukte kümmern.

Offiziell akkreditiert von unter anderem:
Qi
Qi
WiFi
Bluetooth®
PTCRB
PTCRB
Zur Liste aller 75+ Akkreditierungen Zur Über uns Seite
Ähnliche Beiträge
20. Juni 2023
Mexiko widerruft Einfuhrgenehmigungen und stellt normale Zulassungsverfahren wieder her
Fahnenmast und die Metropolitankathedrale Mariä Himmelfahrt in Mexiko-Stadt, der Hauptstadt Mexikos
Mexiko | Zertifizierung
12. Juli 2023
Radio Equipment Directive (RED) – Richtlinie für Funkanlagen im EWR
Technisches Gerät auf einem Tisch
Radio Equipment Directive | RED
24. März 2020
Aktualisierte eCall Spezifikation ETSI TS 103 412 Version 1.3.1 veröffentlicht
ecall
Automotive | eCall
16. Mai 2018
Die Marktzulassung für Kolumbien
Colombia
Cellular | FCC | Kolumbien
25. April 2018
NCA Zulassung für den Markteintritt in Ghana
Ghana
CE | Ghana | Notified Body
16. April 2025
NCA in Ghana führt verpflichtende Mustereinreichung für alle Typgenehmigungsanträge ein
Elmina Castle in Ghana, West Africa
Ghana
Bleiben Sie auf dem Laufenden.
Der cetecom advanced Newsletter wird ca. 1x monatlich versendet. Keine ständigen Follow-up Mails.
Nur ausgewählte Inhalte von unseren Experten.