Cyber Resilience Act

Cyber Resilience Act: Neue Pflichten für Hersteller und Auswirkungen auf Sophos Firewall

Der Cyber Resilience Act verändert ab 2027 die Regeln für Hersteller digitaler Produkte. Man muss Sicherheitsupdates kostenlos bereitstellen, Supportzeiträume klar definieren und Sicherheit schon beim Design nachweisen. Für IT-Administratoren bringt das mehr Transparenz, für Anbieter wie Sophos Anpassungen bei ihrer Update-Strategie.

Kurzüberblick

  • EU-Verordnung gilt ab 11.12.2027
  • Mindestens fünf Jahre kostenlose Sicherheitsupdates gefordert
  • Pflicht zu sicherem Design, Dokumentation und Meldeprozessen
  • Sophos muss Update-Politik anpassen
  • IT-Administratoren erhalten mehr Planungssicherheit

Warum das Thema jetzt relevant ist

Der Cyber Resilience Act ist seit Ende 2024 in Kraft. Hersteller und Kunden haben bis Dezember 2027 Zeit, ihre Prozesse umzustellen. Für die IT-Sicherheit in Europa bedeutet dies einen verbindlichen Standard: Produkte ohne Security-Updates und unklare Lifecycle-Informationen sollen verschwinden.

Was sich ändert oder was neu ist

  • Sicherheitsupdates kostenlos: Hersteller dürfen kritische Patches nicht mehr hinter eine Paywall stellen.
  • Supportzeiträume transparent: Mindestens fünf Jahre Updates oder explizite Angabe kürzerer Laufzeiten.
  • CE-Kennzeichnung: Ab 2027 bestätigt das CE-Zeichen auch Cybersicherheitskonformität.
  • Meldepflichten: Sicherheitsvorfälle müssen binnen 24 Stunden an Behörden gemeldet werden. Um genau zu sein: Frühwarnung binnen 24 Stunden, weitere Meldung binnen 72 Stunden; Adressaten sind das benannte CSIRT (Koordinator) und ENISA über die zentrale Plattform.
  • Hohe Strafen: Bis zu 15 Mio. Euro oder 2,5 % Umsatz bei Verstössen.

Technischer Überblick

Der Cyber Resilience Act richtet sich an alle „Produkte mit digitalen Elementen“. Dazu gehören klassische Unternehmenssysteme wie Firewalls, Router und Betriebssysteme, aber auch IoT-Geräte im Consumer-Bereich sowie sicherheitskritische Software. Die Anforderungen betreffen somit praktisch das gesamte Ökosystem vernetzter Produkte. Hersteller müssen im Rahmen des Cyber Resilience Act folgende Pflichten erfüllen:

  • Security by Design nachweisen (z. B. sichere Standardeinstellungen, Verschlüsselung, geprüfte Protokolle, Härtung gegen DoS-Angriffe).
  • Eine Software Bill of Materials (SBOM) führen, die alle relevanten Komponenten, Bibliotheken und Abhängigkeiten detailliert aufführt, um Transparenz bei Updates und Schwachstellen-Management zu schaffen.
  • Auto-Update-Optionen anbieten, zumindest für sicherheitskritische Fixes, und dabei sicherstellen, dass diese Updates ohne nennenswerte Unterbrechung oder Beeinträchtigung installiert werden können. Für professionelle Umgebungen muss zusätzlich eine Option zur kontrollierten, zeitgesteuerten Installation bestehen.
  • Dokumentation zehn Jahre lang vorhalten, einschliesslich Risikobewertungen, Testberichten und Konformitätserklärungen, damit bei einer Prüfung jederzeit nachvollzogen werden kann, wie die Sicherheit sichergestellt wurde.
  • Einen Prozess zum Schwachstellen-Management und eine Meldestelle für Sicherheitsprobleme einrichten, damit externe Forscher oder Kunden entdeckte Lücken sofort mitteilen können.
  • Mechanismen für sichere Updates (z. B. Signierung, Verifikation) implementieren, sodass Manipulationen während der Verteilung ausgeschlossen werden.

Durch diese detaillierten Anforderungen wird deutlich, dass der Cyber Resilience Act nicht nur Mindeststandards setzt, sondern ein umfassendes Sicherheitsmanagement von der Entwicklung über den Betrieb bis zum Supportzeitraum verlangt.

Praxisleitfaden für IT-Administratoren

Vorbereitung:

  • Beschaffungsprozesse prüfen: künftig nur noch CRA-konforme Produkte einkaufen.
  • Lifecycle-Informationen dokumentieren und im Asset-Management ergänzen.
  • Zuständigkeiten im IT-Team klären und Rollen für Update-Management definieren.
  • Interne Richtlinien mit CRA-Anforderungen abgleichen und fehlende Prozesse ergänzen.

Umsetzung:

  • Sicherheitsupdates regelmässig einplanen, auch wenn automatische Updates verfügbar sind.
  • Hersteller-Notifications abonnieren und in interne Prozesse integrieren.
  • Testumgebungen einsetzen, um Updates vor dem Rollout auf kritischen Systemen zu prüfen.
  • Schnittstellen zu Ticketing- oder Monitoring-Tools nutzen, um Update-Prozesse automatisch zu dokumentieren.

Validierung:

  • Patches nach Installation testen.
  • Logs auf Anomalien nach Update prüfen.
  • Netzwerk- und Security-Scans durchführen, um sicherzustellen, dass bekannte Schwachstellen geschlossen wurden.
  • Compliance-Reports generieren, die den CRA-Anforderungen entsprechen.

Rollback & Monitoring:

  • Rollback-Pläne für kritische Systeme vorhalten.
  • Monitoring einsetzen, um Ausfälle nach Updates schnell zu erkennen.
  • Alarmierungen definieren, damit kritische Fehler sofort sichtbar sind.
  • Notfall-Checklisten bereitstellen, um im Ernstfall den Betrieb schnell wiederherzustellen.

Empfehlungen und Best Practices

ThemaEmpfehlung
ProduktwahlCRA-konforme Hersteller bevorzugen
SupportdauerGeräte mit mind. 5 Jahren Updatezusagen wählen
Patch-ManagementZentrales Update-Management etablieren
DokumentationSBOM und Lifecycle-Daten ins Inventar aufnehmen
KommunikationHersteller-Sicherheitsmeldungen automatisieren

Auswirkungen auf Sophos und andere Plattformen

Sophos hat 2022 die Firmware-Update-Politik geändert: Updates sind seitdem nur mit gültiger Support-Lizenz erhältlich. Sicherheitsfixes und Signatur-Updates blieben kostenlos, reguläre Firmware jedoch nicht. Der Cyber Resilience Act zwingt Hersteller wie Sophos, diese Trennung neu zu überdenken. Wahrscheinlich wird man künftig zwischen „Feature-Updates“ (kostenpflichtig) und „Security-Fixes“ (kostenlos) unterscheiden müssen.

Für IT-Administratoren bedeutet dies:

  • Mehr Klarheit über Supportzeiträume von Appliances.
  • Verlässlicher Zugang zu sicherheitskritischen Patches, auch ohne Lizenz.
  • Grössere Transparenz über Lifecycle und End-of-Life-Daten.

Häufige Fragen

Gilt der Cyber Resilience Act auch für bestehende Produkte?

Nein, er gilt für Produkte, die ab dem 11.12.2027 neu in Verkehr gebracht werden.

Was passiert mit Altgeräten ohne Updates?

Geräte ohne Sicherheitsunterstützung werden nach Ablauf des Supportzeitraums nicht mehr CRA-konform sein und bergen Risiken.

Müssen Updates automatisch installiert werden?

Für viele Consumer-Geräte ja. Für Firewalls oder kritische Systeme reicht eine manuelle Option mit Benachrichtigung.

Welche Strafen drohen Herstellern?

Bis zu 15 Mio. Euro oder 2,5 % des weltweiten Jahresumsatzes.

Welche Rolle spielt Avanet?

Avanet unterstützt bei Lifecycle-Planung, Update-Strategien und Auswahl Cyber Resilience Act konformer Produkte.

Welche Daten sind für den Cyber Resilience Act relevant?

Die Verordnung ist seit 10.12.2024 in Kraft; die meisten Pflichten gelten ab 11.12.2027. Meldepflichten beginnen bereits am 11.09.2026.“ Quellen: EUR-Lex und mehrere Fachkanzleien

Fazit

Der Cyber Resilience Act schafft ab 2027 einen verbindlichen Rahmen für IT-Sicherheit. Für Sophos und andere Hersteller bedeutet er Anpassungen bei Update-Strategien und Supportzeiträumen. Für Administratoren bringt er mehr Verlässlichkeit bei Updates und Lifecycle-Planung. Jetzt ist der richtige Zeitpunkt, Beschaffungsprozesse und Update-Strategien auf CRA-Anforderungen auszurichten.

Patrizio
Patrizio

Patrizio ist ein erfahrener Netzwerk-Spezialist mit dem Schwerpunkt auf Sophos Firewalls, Switches und Access Points. Er unterstützt Kunden oder deren IT-Abteilung bei der Konfiguration und Migration von Sophos Firewalls und sorgt für eine optimale Netzwerksicherheit durch saubere Segmentierung und Firewall-Regelmanagement.

Newsletter abonnieren

Wir versenden monatlich einen Newsletter mit allen Blogbeiträgen des jeweiligen Monats.