Ab Dezember 2027 treten EU-weit verbindliche Cybersicherheitsanforderungen für „vernetzte Produkte mit digitalen Elementen“ in Kraft, wozu auch netzwerkfähige Schlösser zählen. Die neuen Vorgaben sollen die Cybersicherheit während des gesamten Produktlebenszyklus gewährleisten, die Verbreitung sicherer Technologien fördern, Verbraucherinnen und Verbraucher schützen und das Vertrauen in digitale Produkte stärken. Mit der Cybersicherheit unserer Lösungen unterstützen wir unsere Kunden bei der Umsetzung dieser regulatorischen Vorgaben.
Die Europäische Union schafft mit dem Cyber Resilience Act (CRA) erstmals eine allgemein anwendbare Sicherheitsverordnung für digitale Produkte. Ziel ist es, ein einheitliches Mindestniveau an Cybersicherheit im gesamten EU-Binnenmarkt zu etablieren. Betroffen sind nahezu alle Produkte mit digitalen Schnittstellen. Dazu zählen auch netzwerkfähige Hochsicherheitsschlösser sowie Schlösser mit einer digitalen Konfigurationsschnittstelle zu einem PC. Hersteller sind künftig verpflichtet, umfassende Anforderungen an sichere Produktentwicklung, Schwachstellenmanagement und die Bereitstellung von Sicherheitsupdates zu erfüllen. Auch Importeure und Händler werden in die regulatorische Verantwortung einbezogen. Der Cyber Resilience Act (CRA) erweitert die bisherige CE-Kennzeichnung, die bislang vor allem auf funktionale Sicherheit (Safety) ausgerichtet war, um verbindliche Anforderungen an die Cybersicherheit (Security). Künftig wird nicht nur bewertet, ob ein Produkt mechanische oder elektrische Risiken birgt, sondern auch, ob es ausreichend gegen Cyberangriffe geschützt ist.
Was bedeutet der CRA konkret?
Der Cyber Resilience Act verpflichtet Hersteller dazu, ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte mit digitalen Elementen sicherzustellen. Die Umsetzung der Anforderungen muss nachvollziehbar dokumentiert und nachgewiesen werden. Konkret bedeutet das:
Security by Design
Vernetzte Produkte müssen von Beginn an cybersicher konzipiert sein, z.B. durch verschlüsselte Firmware-Updates.
Security by Default
Sichere Standardeinstellungen wie automatische Sicherheitsupdates oder der Verzicht auf Standardpasswörter sind verpflichtend.
Konformitätserklärung
Hersteller müssen belegen, dass ihr Produkt alle Anforderungen des CRA erfüllt; etwa durch harmonisierte Normen oder gleichwertige interne Verfahren mit entsprechender Auditfähigkeit.
Schwachstellenmanagement
Erkannte Schwachstellen müssen über den gesamten Produktlebenszyklus gemeldet, dokumentiert und behoben werden.
Software Bill of Materials (SBOM)
Bereits in der Entwicklungsphase muss eine SBOM („Zutatenliste“ aller Softwarekomponenten) erstellt werden. Die Veröffentlichung ist nicht erforderlich.
Security Updates
Während des gesamten Supportzeitraums müssen Sicherheitsupdates bereitgestellt werden.
Wer ist davon betroffen?
Die Anforderungen des Cyber Resilience Act betreffen eine breite Gruppe von Akteuren entlang des Lebenszyklus digitaler Produkte. Insbesondere folgende Zielgruppen müssen sich auf die neuen Cybersicherheitsvorgaben einstellen:
Was ist zu tun bis wann?
Die Verordnung trat im Dezember 2024 in Kraft und muss bis 11. Dezember 2027 umgesetzt werden. Neu in Verkehr gebrachte Produkte müssen zu diesem Zeitpunkt alle Anforderungen erfüllen.
Aufgrund der Komplexität der Vorgaben ist frühzeitiges Handeln erforderlich. Unternehmen in kritischen Infrastrukturen und industriellen Anwendungen sollten bereits jetzt ihre Produktstrategie, Sicherheitsarchitektur und Wartungsprozesse auf die Anforderungen des Cyber Resilience Act ausrichten, um spätere Umrüstkosten, Lieferverzögerungen und regulatorische Risiken zu vermeiden.
Zeitplan Cyber Resilience Act
11. Dezember 2024
CRA tritt in Kraft
11. Juni 2026
KBS* können Erfüllung der CRA-Anforderungen bewerten
11. September 2026
Meldepflicht für Schwachstellen und Vorfälle
11. Dezember 2027
Geltungsbeginn der CRA-Anforderungen
* KBS = Konformitätsbewertungsstellen
Unsere Lösungskompetenz
Sichere Gerätearchitektur
CRA-konforme Schloss-Architekturen mit sicherer Firmware.
Protokollierung
Zentrale Dokumentation aller Konfigurationsänderungen und Zugriffe.
CVE-Monitoring
Unterstützung im Schwachstellenmanagement durch systematisches CVE-Monitoring.
Die INSYS locks Produkte bieten eine technisch abgesicherte Architektur für digitale Schlösser und Zugangsmanagementsysteme. Durch Funktionen wie verschlüsselte Kommunikation, lückenlose Zutrittsprotokollierung und nachvollziehbare Berechtigungsverwaltung unterstützen wir Auditfähigkeit, Betriebssicherheit und regulatorische Konformität im europäischen Binnenmarkt.
Noch Fragen? Wir beraten Sie gerne.