Den ersten CRA Meilenstein gemeinsam meistern

Der EU Cyber Resilience Act (CRA) markiert eine Zäsur für die Sicherheit vernetzter Produkte in Europa. Während die vollständige Konformität erst für Ende 2027 gefordert ist, rückt ein kritischer Termin unaufhaltsam näher: Ab September 2026 treten weitreichende Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle in Kraft. Hersteller, Importeure und Distributoren müssen bis dahin nicht nur technische Lösungen implementieren, sondern vor allem organisatorische Prozesse zur Identifikation, Bewertung und Meldung von Sicherheitsrisiken etablieren. Die Zeit für die prozessuale Vorbereitung ist knapp, da die geforderten Reaktionszeiten von 24 Stunden keine manuellen Ad-hoc-Entscheidungen erlauben.

In dieser Expertenrunde diskutiert Moderator Dirk Leopold (itemis AG) die operativen Herausforderungen der neuen Regulierung mit erfahrenen Praktikern. Tim Scherer steuert als Verantwortlicher für die CRA-Implementierung bei Microchip Technology die Perspektive eines globalen Halbleiterherstellers bei. Janine Funke, Strategic Area Lead Cybersecurity bei UL Solutions, beleuchtet die Anforderungen aus Sicht der künftigen Benannten Stellen (Notified Bodies). Hauke Petersen von der IAV Ingenieurgesellschaft Auto und Verkehr bringt tiefgehende Expertise im Aufbau von Product Security Operation Centers (PSOC) ein, während Michael Happ als unabhängiger Berater die prozessuale Transformation und die Rolle eines “Katalysators” zwischen Recht und Technik übernimmt.

Zentrale Erkenntnisse der CRA-Meldepflichten

• Striktes Zeitregime: Nach Kenntnisnahme einer aktiv ausgenutzten Schwachstelle verbleiben Herstellern lediglich 24 Stunden für die Erstmeldung an die ENISA.
• Erweiterte Vorfallsdefinition: Neben direkten Produktschwachstellen sind auch Severe Incidents meldepflichtig, etwa Angriffe auf die Build-Infrastruktur oder geleakte Signaturschlüssel.
• Umfangreiches Haftungsrisiko: Bei Missachtung der Reporting Obligations drohen Bußgelder von bis zu 15 Millionen Euro oder ein empfindlicher Prozentsatz des weltweiten Jahresumsatzes.
• Industrieübergreifende Kollaboration: Mit der Gründung der CRAIG (CRA Implementation Group) steht eine Non-Profit-Plattform für den Austausch von Best Practices und die Klärung von Edge Cases bereit.

Regulatorischer Zeitdruck: Die 24-Stunden-Herausforderung ab 2026

Die Meldepflichten im September 2026 bilden die erste scharfe Kante des CRA. Die Frist von 24 Stunden für die Erstmeldung beginnt mit dem Moment der “Kenntnisnahme” (Becoming Aware). Dies setzt voraus, dass Unternehmen bereits über etablierte Triage-Fähigkeiten verfügen, um eingehende Informationen von Sicherheitsforschern oder Kunden sofort fachlich bewerten zu können. Eine rein theoretische Dokumentation von Prozessen reicht hier nicht aus; die Handlungsfähigkeit muss durch Simulationen und Übungen – etwa Pen-and-Paper-Spiele für Incident Response – im Vorfeld validiert werden.

Differenzierung der Meldeereignisse

Der CRA unterscheidet klar zwischen zwei Szenarien, die unterschiedliche Reporting-Inhalte erfordern. Bei aktiv ausnutzbaren Schwachstellen liegt der Fokus auf der technischen Lücke im Produkt selbst. Im Gegensatz dazu betreffen “Severe Incidents” oft die Prozessumgebung. Ein kompromittierter Schlüssel in der Cloud, der für Software-Updates genutzt wird, macht ein Produkt unsicher, ohne dass der Code selbst verändert wurde. Solche Vorfälle haben massive Auswirkungen auf die gesamte Flotte und unterliegen einer doppelten Relevanz, da sie oft auch die NIS-2-Richtlinie tangieren.

Aufbau resilienter Strukturen: PSOC und Triage-Prozesse

Die Implementierung eines Product Security Operation Centers (PSOC) wird für viele Hersteller zur Notwendigkeit. Das PSOC dient als zentrale Schnittstelle, die nicht nur neue Produkte überwacht, sondern den gesamten Bestand im Markt. Da der CRA keine rückwirkende Ablauffrist für Produkte im Feld vorsieht, müssen auch Legacy-Systeme in das Monitoring einbezogen werden, sofern sie noch aktiv genutzt werden. Die organisatorische Herausforderung liegt darin, die Reaktionsfähigkeit der Entwicklungsteams mit den regulatorischen Meldefristen zu synchronisieren, um innerhalb von 72 Stunden detaillierte Folgeberichte und innerhalb von 14 Tagen finale Lösungskonzepte vorzulegen.

Gemeinsame Compliance: Die Rolle der CRA Implementation Group (CRAIG)

Angesichts der Komplexität und der teils noch vagen Auslegungsvorschriften bietet die neu gegründete Organisation CRAIG eine neutrale Plattform für den Wissensaustausch. Als gemeinnützige Institution nach belgischem Recht bündelt sie Expertisen aus verschiedenen Branchen wie Automotive, Bahnindustrie und Landwirtschaft.

Austausch in Local Chapters und Working Groups

Um die Interpretation des Gesetzestextes zu harmonisieren und Best Practices für die Industrie nutzbar zu machen, setzt CRAIG auf eine zweigeteilte Struktur:

1. Local Chapters: Regionale Treffen (z.B. in Böblingen oder Dortmund) fördern den persönlichen Austausch bei “Pizza und Bier”, um lokale Netzwerke von Security-Experten zu stärken.
2. Working Groups: Spezialisierte Arbeitsgruppen widmen sich fachlichen Schwerpunkten wie der “CRA Betroffenheitsanalyse” oder den technischen Details der Meldewege an die ENISA-Plattform.

Ziel ist es, von den Erfahrungen anderer Sektoren zu lernen – insbesondere vom Automotive-Bereich, der bereits seit Jahren ähnliche Anforderungen (UN R155/R156) erfüllt.