Der EU Cyber Resilience Act (EU CRA) schafft in der EU einen einheitlichen Rechtsrahmen für Cybersicherheit von Produkten mit digitalen Elementen . Mit CRA werden Hersteller zur sicheren Entwicklung von digitalen Produkten und zum Support über den gesamten Lebenszyklus für Cybersicherheit dieser Produkte verpflichtet. EU CRA wurde im Oktober 2024 vom Europäischen Rat verabschiedet und tritt in Stufen bis Dezember 2027 in kraft. EU CRA kann als Ergänzung zur EU NIS2 Richtlinie gesehen werden, welche umfassende Anforderungen an Cybersecurity bei Betreibern in der EU macht, jedoch keine Anforderungen an Sicherheit von Produkten enthält. Dies soll der CRA ergänzen. Hersteller regulierter Produkte müssen Cybersecurity-Pflichten umsetzen, Cybersecurity-Risiken bewerten und viel dokumentieren und bewerten (lassen). Regulierte Unternehmen und Betreiber nach NIS2 und KRITIS sind indirekt von CRA betroffen – bei der Beschaffung regulierter Produkten und Überschneidungen mit kritischen Komponenten . Gruppe CRA Anforderung Produkte Annex I Part I Cybersecurity in Produkten Hersteller Art. 13 Art. 14 Annex I Part II Art. 31 Annex VII Cybersecurity bei Herstellern Meldepflichten Schwachstellenmanagement Technische Dokumentation Detaillierte Technische Dokumentation Einfuhr und Handel Art. 19 Art. 20 Pflichten in der Einfuhr Pflichten im Handel Konformität Art. 32 Annex VIII Art. 28 Konformitätsbewertung Bewertungsschema (Modul A, B, C, H) Konformitätserklärung Betreiber und Einrichtungen - §41 BSIG-E Art. 8 (2) Einkauf und Beschaffung Kritische Komponenten Kritische Produkte