Cyber Resilience Act und Altsysteme

Eine der häufigsten Fragen zum Cyber Resilience Act (CRA) betrifft die Handhabe von Altsystemen. Hersteller aus verschiedenen Branchen fragen, ob sie Produkte, die sie vor Jahren entwickelt und auf den Markt gebracht haben, nach dem 11. Dezember 2027 weiterhin in der Europäischen Union verkaufen dürfen, ohne sie anzupassen. Dieser Blog beleuchtet die Thematik im Kontext der sich entwickelnden CRA-Standards und der bevorstehenden Compliance-Termine.

Anwendungsbereich des CRA für neue und bestehende Produkte

Der CRA gilt für Produkte, die Unternehmen ab dem 11. Dezember 2027 auf den Markt bringen. Dabei kommt es nicht darauf an, wann ein Produktmodell erstmals veröffentlicht wurde, sondern wann ein Unternehmen eine einzelne Einheit auf den Markt bringt. Nach dem EU-Produktsicherheitsrecht bestimmen die Compliance-Verpflichtungen sich für jede einzelne Einheit, die ein Wirtschaftsakteur zur Verteilung oder Nutzung in der Union bereitstellt. Die Europäischen Kommission bestätigt dieses Prinzip in ihren FAQ und stellt es auch in den Leitlinien des Blue Guide zu EU-Produktvorschriften dar. Anders ausgedrückt: Das EU-Recht regelt Produkte als individuelle Marktereignisse, nicht als abstrakte Produkttypen.

Unter dem CRA beginnt die allgemeine Supportperiode eines Produkts mit dem Datum der „Markteinführung“, also dem ersten Verkauf der einzelnen Einheit. Wie in Abschnitt 2.3 des Blue Guide erläutert, bedeutet „Markteinführung“: „Der Begriff bezieht sich auf jede einzelne Produkteinheit und nicht auf einen Produkttyp, unabhängig davon, ob sie einzeln oder in Serie gefertigt wurde.“

Auswirkungen für bestehende Produkte

Diese Unterscheidung hat große Konsequenzen. Einheiten, die Unternehmen vor dem 11. Dezember 2027 auf den Markt bringen, müssen die wesentlichen Cybersicherheitsanforderungen des CRA nicht nachträglich erfüllen. Unternehmen müssen diese Produkte nicht erneut einer Konformitätsbewertung unterziehen, nicht mit der CE-Kennzeichnung versehen und auch die technische Dokumentation nicht aktualisieren, nur weil der CRA in Kraft tritt.

Es gibt jedoch eine wichtige Ausnahme: Die Meldepflichten nach Artikel 14 gelten ab dem 11. September 2026 für alle Produkte im Anwendungsbereich, einschließlich der bereits auf dem Markt befindlichen. Wenn ein Hersteller von einer aktiv ausgenutzten Sicherheitslücke oder einem schweren Vorfall betroffen wird, besteht unabhängig vom ursprünglichen Markteinführungsdatum eine Meldepflicht.

Neue Produkte ab 11. Dezember 2027

Ab dem 11. Dezember 2027 ändert sich die Situation grundlegend. Jede neue Einheit, die ab diesem Datum auf den Markt gebracht wird, muss vollständig den Anforderungen des CRA entsprechen – selbst wenn das Produktdesign seit 2015 oder früher unverändert ist. Der Hersteller muss sicherstellen, dass das Produkt die wesentlichen Cybersicherheitsanforderungen gemäß Anhang I erfüllt, Prozesse zum Umgang mit Schwachstellen während der Supportperiode implementieren, die passende Konformitätsbewertung durchführen, die technische Dokumentation erstellen, die CE-Kennzeichnung anbringen, eine EU-Konformitätserklärung ausstellen und die Supportperiode bestimmen und dokumentieren. Das Alter der Produktarchitektur stellt keine Ausnahme dar.

„Wesentliche“ Änderungen: Wann Altsysteme unter den CRA fallen

Ein weiterer wichtiger Aspekt betrifft Produktänderungen. Der CRA unterscheidet klar zwischen Anpassungen, kleineren Updates und wesentlichen Änderungen, und diese Unterscheidung beeinflusst direkt die Anwendbarkeit der Verordnung.

Typische kundenspezifische Anpassungen eines Standardprodukts lösen in der Regel keine neue Produktdefinition aus und ändern den vorgesehenen Zweck nicht; daher gelten sie nicht automatisch als CRA-relevant. Auch Sicherheitsupdates oder kleinere Funktionsänderungen, wie optische Verbesserungen oder neue Sprachoptionen, gelten nicht als „wesentliche Änderungen“, insbesondere wenn sie den vorgesehenen Zweck nicht ändern oder das Cybersicherheitsrisiko nicht erhöhen.

Wenn jedoch ein Software- oder Feature-Update den vorgesehenen Zweck des Produkts verändert, neue Gefahren einführt oder das Cybersicherheitsrisiko über das ursprünglich bewertete Niveau hinaus erhöht, kann dies als wesentliche Änderung gemäß Artikel 3(30) und Erwägungsgrund 39 CRA eingestuft werden. In diesem Fall können selbst Produkte, die ursprünglich vor dem 11. Dezember 2027 auf den Markt gebracht wurden, unter den CRA fallen, wenn die wesentlich geänderte Version anschließend auf den Markt gebracht wird.

Cybersicherheit als kontinuierliche Verpflichtung

Der CRA betrachtet Cybersicherheit nicht als statische Zertifizierung zum Zeitpunkt der Erstveröffentlichung, sondern als laufende Verpflichtung über den gesamten Lebenszyklus eines Produkts. Ein Unternehmen konnte vor zehn Jahren einen Router so entwickeln, dass er den damaligen Sicherheitsanforderungen entsprach. Bringt das Unternehmen jedoch 2028 neue Einheiten auf den Markt, muss es sicherstellen, dass diese den aktuellen Standards genügen. Die FAQ der Kommission macht deutlich: Alte Produkttypen oder Modelle sind nicht ausgenommen, wenn ein Unternehmen neue Einheiten nach dem Anwendungsdatum bereitstellt.

Praktisch entsteht dadurch ein Compliance-Horizont. Hersteller müssen entscheiden, ob sie Altsysteme konform machen oder den Verkauf neuer Einheiten vor dem Stichtag einstellen. Die technische Umsetzung kann Anpassungen wie sichere Standardkonfigurationen, stärkere Authentifizierung, sichere Updateprozesse oder Firmware-Redesign zur Schwachstellenbehebung über die Supportperiode erfordern. Bei älteren Produkten mit Hardware- oder Architekturgrenzen kann die Nachrüstung wirtschaftlich oder praktisch unmöglich sein. Hier ist ein geplanter kontrollierter Auslauf bis Dezember 2027 realistischer.

Vorbereitung für Kunden und Vertrieb

Auch Kunden und Vertriebspartner sollten sich vorbereiten. Unternehmen sollten von den Herstellern Klarheit über ihre CRA-Compliance-Roadmaps und Supportverpflichtungen einholen, insbesondere für Produkte, die sie über 2027 hinaus vermarkten. Hersteller können Produkte, die sie vor dem Stichtag auf den Markt gebracht haben, weiterhin im Umlauf halten. Neu hergestellte oder neue Einheiten nach dem Stichtag müssen jedoch vollständig konform sein. Diese Unterscheidung ist entscheidend für Beschaffungsplanung, langfristige Wartungsstrategien und Risikomanagement in der Lieferkette.

Fazit: Keine automatische Ausnahme für Altsysteme

Der CRA reguliert die Markteinführung. Ab dem 11. Dezember 2027 muss jede neue Einheit auf dem EU-Markt den aktuellen Cybersicherheitsanforderungen entsprechen – unabhängig vom Designalter. Hersteller langjähriger Produktlinien müssen daher jetzt handeln, entweder um die Produkte CRA-konform zu machen oder die Marktstrategie anzupassen.

Das Fehlen einer automatischen Ausnahme für Altsysteme macht SBOMs (Software Bill of Materials) und Software Composition Analysis (SCA) zu unverzichtbaren Werkzeugen. Hersteller, die neue Einheiten älterer Produkte nach dem 11. Dezember 2027 auf den Markt bringen, müssen die Einhaltung der wesentlichen Cybersicherheitsanforderungen nachweisen, einschließlich Schwachstellenmanagement über die gesamte Supportperiode.

Eine gut gepflegte SBOM verschafft Transparenz über integrierte Komponenten, deren Versionen und Supportstatus, während SCA-Tools kontinuierliches Monitoring neu entdeckter Schwachstellen ermöglichen. Gerade bei Altsystemen ist diese Transparenz entscheidend: Ohne strukturiertes SBOM und fortlaufende SCA-Prozesse kann es für Hersteller schwierig werden, einzuschätzen, ob ältere Architekturen, Abhängigkeiten oder nicht unterstützte Komponenten die Compliance unter den fortlaufenden Risikomanagement- und Schwachstellenpflichten des CRA gefährden.

Bitsea unterstützt Unternehmen bei der Umsetzung

Bei Bitsea helfen wir Organisationen, sich in diesem sich wandelnden Umfeld zurechtzufinden. Wir unterstützen bei der Erstellung der detaillierten SBOM, kontinuierlicher Schwachstellenanalyse und beraten zur Umsetzung des CRA.