Cyber Resilience Act (CRA)

Wegweisend: Unser Engagement für die CRA-Konformität

Der Inhalt dieser Webseite ist auch in weiteren Sprachen verfügbar:
English | Französisch | Spanisch | Italienisch | Vereinfachtes Chinesisch | Traditionelles Chinesisch | Japanisch

Wir verpflichten uns zur Einhaltung
der CRA-Vorschriften

Seit über 35 Jahren entwickelt Moxa Lösungen für die weltweit anspruchsvollsten und geschäftskritischsten Industrieumgebungen. Lange vor dem Cyber Resilience Act (CRA) haben wir uns bereits der Cybersicherheit verschrieben und gehören seitdem zu den ersten führenden Anbietern, die die IEC 62443-4-1-Zertifizierung erhielten - den Standard für industrielle Cybersicherheit.
Unser Fokus auf sichere, zuverlässige und resiliente Produkte war schon immer Teil unseres Designs und wurde nicht erst durch eine neue Gesetzgebung getrieben.

Systematische Sicherheit

Unser nach IEC 62443-4-1 zertifizierter Secure Development Lifecycle (SDL) ist mit den CRA Anforderungen abgestimmt.

Verifiziertes Vertrauen

Wir stellen unseren Kunden erforderliche Sicherheitsupdates und ein wirksames Schwachstellenmanagement bereit.

Zukunftssichere Lösungen

Wir betreiben ein proaktive Ausrichtung an regulatorischen Vorgaben und sich weiterentwickelnden EU Normen.

Unser strategisches Verständnis
des Cyber Resilience Act

Der durch die Verordnung (EU) 2024/2847 definierte Cyber Resilience Act (CRA) ist ein Meilenstein der EU-Gesetzgebung. Er definiert übergreifende Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (PmDE), die auf dem EU-Markt bereitgestellt werden.

CRA in Kurzfassung

Der CRA etabliert klare, übergreifende Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (PmDE) über deren gesamten Lebenszyklus. Hersteller müssen diese Sicherheitsanforderungen erfüllen, um die begehrte CE-Kennzeichnung zu erhalten—ohne sie dürfen Produkte nicht auf dem EU-Markt in Verkehr gebracht werden.
Kurz gesagt, die Hauptziele des CRA sind:

  • Stärkung der Widerstandsfähigkeit des europäischen digitalen Marktes;
  • Erhöhung der Transparenz der Cybersicherheit für Nutzer;
  • Gewährleistung von weniger Schwachstellen in digitalen Produkte (PmDE).

Ein eingehender Blick auf die Anforderungen des CRA

Grundlegende Anforderungen an die Cybersicherheit gemäß Anhang I:

A. Wesentliche Anforderungen an Produkteigenschaften (Teil I): Vom Designprozess bis zur Produktion müssen Hersteller auf Basis identifizierter Risiken eine angemessene Cybersicherheit gewährleisten. Zentrale Anforderungen sind u. a. Sicherheit per Design, Sicherheit als Standard und Zugriffskontrolle.

B. Wesentliche Anforderungen für den Umgang mit Schwachstellen (Teil II): Hersteller müssen sicherstellen, dass Schwachstellen während des gesamten Supportzeitraums (Zeitraum der erwartenden Nutzung) wirksam behoben werden.

CRA: Zeitplan und Fristen

Die CRA wird schrittweise umgesetzt, um Herstellern Zeit zur Anpassung zu geben. Seit dem 10. Dezember 2024 ist die Verordnung in Kraft und befindet sich seither in einer mehrjährigen Übergangsphase. Ein wichtiger Zwischentermin ist der 11. September 2026, ab dem Meldungen über Sicherheitslücken verpflichtend werden. Ein entscheidender Stichtag für die Einhaltung der Vorschriften ist der 11. Dezember 2027. Bis dahin müssen alle betroffenen Produkte (PmDE), die auf dem EU-Markt in Verkehr gebracht werden, alle Anforderungen der CRA erfüllen.

Unsere OT-Expertise und Secure-by-Design-Praktiken als Fundament des CRA

Unsere solide Grundlage basiert auf mehreren Säulen, die darauf ausgelegt sind, die wesentlichen Sicherheitsanforderungen der CRA zu erfüllen, wobei wir auf unsere bestehende Expertise zurückgreifen, einschließlich des IEC 62443-Rahmenwerks.

Internationale Normen nutzen

Wir sind uns bewusst, dass die Einhaltung regulatorischer Bestimmungen am besten durch die Anwendung anerkannter internationaler Rahmenwerke erreicht wird. Unsere Strategie stützt sich auf die grundlegenden Anforderungen des Cyber Resilience Act (CRA) und harmonisierte europäische Standards.

  • IEC 62443-Ausrichtung: Unser sicherer Entwicklungsprozess und unsere funktionalen Spezifikationen sind auf IEC 62443-4-1 und -4-2 ausgerichtet und decken grundlegende Sicherheitsanforderungen ab.
  • Harmonisierte Normen: Wir stimmen uns aktiv mit europäischen Organisationen (CEN/CENELEC/ETSI) ab, um horizontale Standards für allgemeine Cyber-Resilienz und vertikale Standards für spezifische Produkte zu verabschieden.

 

Einführung eines sicheren Lebenszyklus-Managements

Wir verfolgen einen prozessunabhängigen, risikobasierten Ansatz, um „Secure by Design“ über den gesamten Produktlebenszyklus hinweg sicherzustellen.

  • Kontinuierliche Bewertung: Produkte durchlaufen in den Phasen Planung, Design, Produktion und Wartung dokumentierte Cybersicherheits-Risikobewertungen.
  • Sicherheit in der Lieferkette: Bei der Integration von Drittanbieter- und Open-Source-Komponenten wenden wir strenge Sorgfaltspflichten an, um Kompromittierungen zu verhindern.
  • Nachhaltiger Support: Wir stellen sichere Update-Mechanismen bereit und liefern Sicherheitsupdates ohne Verzögerung innerhalb des definierten Supportzeitraums.

Schnelle Reaktion auf Schwachstellen

Um den Anforderungen der CRA an die schnelle Meldung von Sicherheitsvorfällen gerecht zu werden, haben wir ein eigenes Product Security Incident Response Team (PSIRT) eingerichtet, das die langfristigen Gegebenheiten von industriellem Equipment berücksichtigt.

  • Globale Frameworks: Wir arbeiten nach den Normen ISO 29147 (Offenlegung) und ISO 30111 (Handhabung), die auch vom CRA übernommen wurden.
  • Koordinierte Reaktion: Wir nutzen das FIRST Service Rahmenwerk, um gemeldete Schwachstellen zuverlässig zu bearbeiten und Sicherheitshinweise zu veröffentlichen.
  • Langfristiger Fokus: Unsere Prozesse unterstützen industrielles Equipment, das über Jahrzehnte hinweg sicher betrieben werden soll.

Sicherheitskontrollen und Dokumentation

Wir verfügen über eine umfassende, revisionssichere Dokumentation unserer Sicherheitsmaßnahmen und stellen sicher, dass unsere Produkte mit Funktionen ausgestattet sind, die einen sicheren Betrieb für unsere Kunden gewährleisten.

Transparenz für Nutzer: Unsere Produkte enthalten klare Informationen zum Verwendungszweck, zum Supportende und zu Ansprechpartnern für die Meldung von Sicherheitslücken.

Integrierter Schutz: Unsere Geräte bieten eine robuste Authentifizierung, sichere Standardkonfigurationen und Tools für die zeitnahe Bereitstellung von Patches.

Häufig gestellte Fragen

Der EU Cyber Resilience Act (CRA) ist eine Verordnung der Europäischen Union, die verbindliche Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen (einschließlich Hardware und Software) festlegt, die auf dem EU‑Markt verkauft werden. Ziel ist es, sicherzustellen, dass diese Produkte über ihren gesamten Lebenszyklus hinweg ein hohes Sicherheitsniveau aufrechterhalten.

Der CRA gilt für alle Produkte mit digitalen Elementen, einschließlich vernetzter Hardware (z. B. Smartphones, IoT-Geräte, Router) und Software (z. B. Betriebssysteme, Anwendungen, Softwarebibliotheken), sofern diese direkt oder indirekt mit einem Gerät oder Netzwerk verbunden werden können. Vom Geltungsbereich ausgenommen sind bestimmte Produkte, die bereits durch andere Regelwerke abgedeckt sind, wie Medizinprodukte und Kraftfahrzeuge, sowie Open-Source-Software, die für nichtkommerzielle Zwecke entwickelt wurde. Das Portfolio von Moxa an industriellen Kommunikationsgeräten fällt in den Geltungsbereich des CRA und umfasst Schlüsselkategorien wie sichere Industrierouter, Ethernet Switches, Server für serielle Geräte und Netzmanagement-Software.

Die Hersteller müssen vor dem Inverkehrbringen eines Produkts eine Risikobewertung für die Cybersicherheit durchführen, sicherstellen, dass das Produkt die wesentlichen Cybersicherheitsanforderungen erfüllt, und während des gesamten Lebenszyklus des Produkts Sicherheitsupdates und Maßnahmen zur Behebung von Schwachstellen bereitstellen. Außerdem müssen sie technische Unterlagen erstellen, eine Konformitätsbewertung durchführen, die CE-Kennzeichnung anbringen und ausgenutzte Schwachstellen oder schwere Sicherheitsvorfälle an die zuständigen Behörden melden.

Harmonisierte Standards nach dem CRA sind europäische Normen, die von anerkannten europäischen Normungsorganisationen (ESOs) (CEN, CENELEC und ETSI) speziell auf Anfrage der Europäischen Kommission entwickelt werden. Diese Standards sind für die Umsetzung des Cyber Resilience Act (CRA) von entscheidender Bedeutung, da sie die in der Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen in detaillierte technische Spezifikationen umsetzen. Die Normungsarbeit ist im Gange und baut auf bestehenden internationalen und europäischen Normen auf. Die horizontalen Standards werden voraussichtlich im August 2026 und die vertikalen Standards im Oktober 2026 verfügbar sein.  (Quelle: www.cencenelec.eu)

Die Hersteller müssen Schwachstellen und Zwischenfälle ab dem 11. September 2026 melden. Alle anderen Anforderungen des CRA (einschließlich der Einhaltung der Vorschriften vor dem Inverkehrbringen) treten am 11. Dezember 2027 in Kraft.

Unternehmen können bei Nichteinhaltung des CRA mit hohen Geldbußen belegt werden. Bei schwerwiegenden Verstößen können die Strafen bis zu 15 Millionen Euro oder 2,5 % des gesamten weltweiten Jahresumsatzes des Unternehmens betragen, je nachdem, welcher Betrag höher ist. Für andere Verstöße gelten niedrigere Bußgelder.

Die CRA- und die NIS2-Richtlinie zielen beide darauf ab, die Cybersicherheit in Europa zu verbessern, haben aber unterschiedliche Schwerpunkte. Der Schwerpunkt von NIS2 liegt auf der Sicherheit von Netzen und Informationssystemen für kritische Infrastrukturen und Anbieter wesentlicher Dienste. Der CRA legt den Fokus auf die Sicherheit der digitalen Produkte selbst und verankert Sicherheitsaspekte bereits ab der Design-Phase.

Eine SBOM (Software Bill of Materials) ist wie eine Zutatenliste für Software und führt alle in einem Produkt verwendeten Softwarekomponenten und Bibliotheken auf. Der CRA verlangt, dass Hersteller eine SBOM erstellen, um das Schwachstellenmanagement zu erleichtern, schreibt jedoch derzeit nicht vor, dass sie öffentlich zugänglich gemacht werden muss. Die vollständige SBOM muss den benannten Stellen und Marktüberwachungsbehörden auf Anfrage zur Verfügung gestellt werden, um die regulatorische Durchsetzung zu unterstützen.