52 DSD 4 | 2025 IT- UND CYBERSICHERHEIT Neue Spielregeln für Sicherheitstechnik Welche Bedeutung der Cyber Resilience Act für die Branche hat Von Andreas Albrecht Freier Fachredakteur und Journalist Die Erstveröffentlichung des Beitrages erfolgte in der Fachzeitschrift Security Insight, Ausgabe 5/2025. www.prosecurity.de Wir bedanken uns für die Abdruckgenehmigung. Andreas Albrecht Mit dem Cyber Resilience Act (CRA) zieht die EU die Schrauben an: Ab 2027 dürfen unsichere Produkte nicht mehr auf den Markt. Für die Sicherheitstechnik-Branche bedeutet das einerseits Chancen für mehr Resilienz, aber auch Risiken, wenn Betreiber ihre Systeme nicht rechtzeitig anpassen. Der von der EU beschlossene Cyber Resilience Act (CRA) hat es in sich. Nach der Verabschiedung des Gesetzes im vergangenen Jahr dürfen in der Europäischen Union nach einer dreijährigen Übergangsfrist ab Dezember 2027 keine digitalen Produkte mehr in den Markt gebracht und – was noch entscheidender ist – auch nicht weiterbetrieben werden, wenn sie nicht den Regeln des CRA entsprechen. Das BSI betont, dies gelte für alle Produkte mit„digitalen Elementen“ und umfasse preisgünstige Verbraucherprodukte ebenso wie B2B-Software oder komplexe High-End-Industriesysteme.1 Selbstverständlich sind also auch große Teile der Sicherheitstechnik-Branche vom CRA betroffen. Zutrittskontrollsysteme, Alarmanlagen, Videoüberwachung oder Leitstellenlösungen sind längst vernetzt, mit Cloud-Anwendungen verbunden und über mobile Endgeräte steuerbar. Was der CRA regelt Ziel des Gesetzes ist ein einheitliches Sicherheitsniveau innerhalb der EU. Dazu schreibt der CRA vor, dass Cybersicherheit bereits bei der Entwicklung berücksichtigt werden muss („Security by Design“), dass Produkte ab Werk mit sicheren Grundeinstellungen ausgeliefert werden („Security by Default“) und dass Hersteller verpflichtet sind, während der gesamten Lebensdauer eines Produkts Sicherheitsupdates bereitzustellen.2 Nur Produkte, die diese Anforderungen erfüllen, dürfen künftig das CE-Kennzeichen tragen und in der EU vertrieben werden. Nach Ablauf der Übergangsfrist wird die Einhaltung verbindlich. Verstöße können empfindliche Sanktionen nach 1 BSI: Cyber Resilience Act: Cybersicherheit EU-weit gedacht: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Cyber_Resilience_Act/cyber_resilience_act_node.html 2 Fraunhofer Academy: Cyber Resilience Act (CRA) – sind Sie bereit?: https://www.cybersicherheit.fraunhofer.de/de/Fokusthemen/cra.html 3 BMI: CE-Kennzeichen weist künftig auch auf die Cybersicherheit hin: https://www.bmi.bund.de/SharedDocs/pressemitteilungen/DE/2024/10/cyber-resilience-act.html sich ziehen und im schlimmsten Fall dazu führen, dass Produkte vom Markt genommen werden.3 Auswirkungen auf die Sicherheitstechnik Die Folgen für die Sicherheitstechnik-Branche sind weitreichend. Viele Betreiber nutzen Systeme, die seit Jahren zuverlässig arbeiten und tief in die Gebäudestrukturen eingebunden wurden. Wenn einzelne Komponenten nicht CRA-konform sind, können Hersteller sie künftig nicht mehr liefern. Ersatzteile oder Nachrüstungen könnten kurzfristig fehlen – mit erheblichen Auswirkungen auf den laufenden Betrieb. Besonders deutlich zeigt sich das an zentralen Komponenten. Fällt ein Zutrittskontrollserver aus und ist kein CRA-konformer Ersatz mehr erhältlich, kann die Zugangssicherheit eines gesamten Gebäudes gefährdet sein. Ähnlich kritisch ist es bei Videomanagement- und Videoüberwachungssystemen. IP-Kameras sind vernetzte Produkte und fallen somit natürlich unter die Anforderungen des CRA. Für Betreiber großer Anlagen wie Flughäfen, Industrieparks oder öffentliche Einrichtungen kann dies bedeuten, dass nicht konforme Modelle ausgetauscht werden müssen, obwohl sie technisch noch einwandfrei funktionieren. Herausforderungen für Errichter und Betreiber Eine der größten Herausforderungen aber liegt in der Verfügbarkeit. Produkte, die heute problemlos im Einsatz sind, könnten bald nicht mehr zulässig sein. Errichter sollten sich daher verstärkt als Berater positionieren und ihren Kunden Orientierung geben. Denn sie sind die Schnittstelle zwischen Herstellern, die ihre Portfolios anpassen, und Betreibern, die Planungssicherheit benötigen. Für Betreiber stellt sich eine ganze Reihe von Fragen. Welche Systeme sind bereits heute CRA-
RkJQdWJsaXNoZXIy Mjc4MQ==