Sicherung Ihrer Produkte gemäß dem EU Cyber Resilience Act (CRA) mit SBOMs

Der EU Cyber Resilience Act (Verordnung (EU) 2024/2847) macht SBOMs für „Produkte mit digitalen Elementen" faktisch zur Pflicht. Hersteller müssen für jedes Produkt eine maschinenlesbare SBOM erstellen, pflegen und als Teil der technischen Dokumentation für die Marktaufsichtsbehörden bereithalten. Damit werden SBOMs vom „Nice-to-have" zum zentralen Baustein, um Transparenz, Schwachstellenmanagement und Konformität über den gesamten Produktlebenszyklus nachzuweisen.

In diesem Artikel erfahren Sie, welche Anforderungen der CRA an SBOMs stellt, wer zur Einhaltung verpflichtet ist und wie Sie Ihre Produkte sowie Prozesse rechtzeitig auf die neuen Vorgaben vorbereiten können.

Warum sind SBOMs für die Einhaltung der CRA entscheidend?

Der CRA verlangt von Herstellern, dass sie Schwachstellen und Komponenten ihrer Produkte systematisch identifizieren und dokumentieren, einschließlich der Erstellung einer Software Bill of Materials in einem gängigen maschinenlesbaren Format. Ohne eine SBOM fehlt die Transparenz darüber, welche Versionen und Bibliotheken tatsächlich verwendet werden. Dies erschwert die Durchführung konformer Risikoanalysen, Sicherheitsupdates und Meldungen erheblich.

Die Rolle von SBOMs in der Produktsicherheit

SBOMs listen alle Softwarekomponenten eines Produkts einschließlich ihrer Abhängigkeiten auf und verknüpfen diese mit bekannten Schwachstellen sowie Lizenzen. Dadurch können Hersteller:

• gezielt prüfen, ob neue CVEs ihre Produkte betreffen,

• betroffene Versionen identifizieren und priorisierte Maßnahmen planen,

• Compliance-Nachweise für Behörden und Marktaufsicht erbringen,

• die Lieferkettenkontrolle ausüben und nachvollziehen, welche Komponenten von welchen Zulieferern stammen.

Dies ist ein zentraler Bestandteil der CRA-Pflichten im Schwachstellenmanagement.

Vorteile für Hersteller und Entwickler

Für Entwicklungs- und Sicherheitsteams bieten SBOMs eine einheitliche „Single Source of Truth" über die in Firmware, Software und vernetzten Geräten verwendeten Komponenten. Dadurch ergeben sich folgende Vorteile:

• Schnellere Incident Response: Bei neuen Schwachstellen ist sofort ersichtlich, welche Produkte betroffen sind.

• Reduzierte Audit-Aufwände: Die strukturierte Dokumentation beschleunigt Konformitätsbewertungen und Anfragen von Behörden.

• Verbesserte Produktqualität: Die Transparenz über Abhängigkeiten erleichtert die Identifikation technischer Schulden.

• Wettbewerbsvorteil: Kunden und Partner verlangen zunehmend Nachweise über die Softwaretransparenz.

Diese Vorteile unterstützen Teams dabei, effizienter zu arbeiten und die Sicherheit sowie Qualität ihrer Produkte nachhaltig zu verbessern.

Wer muss die CRA einhalten?

Der Cyber Resilience Act (CRA) gilt für alle Wirtschaftsakteure, die Produkte mit digitalen Elementen in der Europäischen Union bereitstellen, unabhängig vom Sitz ihres Unternehmens. Neben den klassischen Herstellern sind auch Importeure und Händler verantwortlich, wenn sie Produkte unter eigenem Namen vermarkten.

Hersteller

Hersteller tragen die Hauptverantwortung für die Einhaltung der grundlegenden Sicherheitsanforderungen. Sie müssen:

• Produkte nach dem aktuellen Stand der Technik entwickeln („Security by Design")

• Die Konformitätsbewertung durchführen und eine technische Dokumentation inklusive Software-Bill of Materials (SBOM) erstellen

• Nachweisen, dass die Produkte über den gesamten Lebenszyklus überwacht werden

• Sicherheitsupdates für mindestens fünf Jahre oder die erwartete Produktlebensdauer bereitstellen

• Sicherheitsvorfälle und aktiv ausgenutzte Schwachstellen an die Europäische Agentur für Cybersicherheit (ENISA) melden

Importeure

Importeure müssen sicherstellen, dass nur konforme Produkte aus Drittstaaten in den EU-Markt gelangen und dass die vom Hersteller bereitgestellte Dokumentation, einschließlich der SBOM, vollständig vorliegt. Fehlen Nachweise oder bestehen Hinweise auf eine Nichtkonformität, sind sie verpflichtet, die Produkte zurückzuhalten oder geeignete Korrekturmaßnahmen zu ergreifen.

Händler

Händler müssen überprüfen, ob die Produkte korrekt gekennzeichnet sind, alle erforderlichen Informationen beiliegen und keine offensichtlichen Verstöße vorliegen. Werden Sicherheitsmängel festgestellt, sind sie verpflichtet, mit Herstellern und Behörden zusammenzuarbeiten. Bei Verstößen können auch sie zur Verantwortung gezogen werden.

PSIRT-Manager

PSIRT-Manager (Product Security Incident Response Teams) nutzen SBOMs, um bei neuen Schwachstellen und Sicherheitsvorfällen schnell zu erkennen, welche Produkte und Versionen betroffen sind. So können sie fristgerecht reagieren, wie es die CRA für das Vulnerability Handling und die Meldung aktiv ausgenutzter Schwachstellen vorschreibt.

Compliance-Manager

Compliance-Manager koordinieren, dass alle CRA-Pflichten – von Security-by-Design über Schwachstellenmanagement bis hin zu Dokumentation und Meldeprozessen – in den internen Verfahren und Nachweisen abgebildet sind. SBOMs dienen ihnen als zentrales Instrument, um technische Inhalte mit rechtlichen Anforderungen zu verknüpfen.

Wichtige CRA-Anforderungen

Der CRA legt wesentliche Anforderungen an Sicherheit, Schwachstellenmanagement, Dokumentation und Marktüberwachung für Produkte mit digitalen Elementen fest. Dabei sind SBOMs ausdrücklich als Teil der technischen Dokumentation vorgesehen. Die genaue Ausgestaltung dieser Dokumente wird durch Durchführungsrechtsakte und Normen konkretisiert.

SBOM-Anforderungen

Hersteller müssen für jedes Produkt eine SBOM in einem „allgemein gebräuchlichen, maschinenlesbaren Format" erstellen. Diese SBOM muss mindestens folgende Angaben enthalten:

• Alle Komponenten auf oberster Ebene (Top-Level Dependencies)

• Open-Source- und Drittanbieter-Bibliotheken

• Komponentennamen, Versionen und eindeutige Identifikatoren

• Lieferanten- und Lizenzinformationen

Die SBOM ist stets aktuell zu halten, als Bestandteil der technischen Dokumentation vorzuhalten und auf Anfrage den Marktüberwachungsbehörden zugänglich zu machen. Eine Veröffentlichung ist nicht zwingend erforderlich. Empfohlen werden Standardformate wie SPDX oder CycloneDX. Die BSI-Richtlinie TR-03183-2 definiert Mindestanforderungen an Inhalt, Format, Integritätsprüfung und Aktualität von SBOMs und gilt als wichtiger Referenzrahmen für die Umsetzung des CRA.

Anforderungen an Schwachstellen

Der CRA verlangt ein durchgängiges Schwachstellenmanagement über den gesamten Produktlebenszyklus:

• Identifikation: Systematische Erkennung von Schwachstellen in eigenen und zugelieferten Komponenten.

• Bewertung: Risikobasierte Priorisierung unter Berücksichtigung von Ausnutzbarkeit und Auswirkungen.

• Behebung: Zeitnahe Bereitstellung von Sicherheitsupdates, bei kritischen Schwachstellen ohne schuldhaftes Zögern.

• Kommunikation: Koordinierte Offenlegung gemäß etablierten Standards („Coordinated Vulnerability Disclosure").

Die SBOM ist dabei das zentrale Werkzeug, um neue Schwachstellen in der Komponentenlandschaft zu prüfen und betroffene Produkte zu identifizieren.

Meldung von Vorfällen und Risikodokumentation

Der CRA führt verbindliche Meldepflichten ein:

• Frühwarnung: Innerhalb von 24 Stunden nach Kenntnis einer aktiv ausgenutzten Schwachstelle oder eines schwerwiegenden Vorfalls.

• Vollständige Meldung: Innerhalb von 72 Stunden mit Details zu Ursache, Auswirkungen und Gegenmaßnahmen.

• Abschlussbericht: Nach Behebung mit Lessons Learned und präventiven Maßnahmen.

Technische Unterlagen – einschließlich SBOM, Risikoanalysen und Patch-Historie – dienen als Nachweis dafür, dass angemessen reagiert und informiert wurde. Die Dokumentation muss zehn Jahre lang aufbewahrt werden.

Vorbereitung auf die Einhaltung der CRA-Vorschriften mit SBOMs

Die Umsetzung der CRA-Anforderungen beginnt nicht erst kurz vor dem Markteintritt, sondern sollte frühzeitig in bestehende Produkt- und Entwicklungsprozesse integriert werden. Wer Risikobewertungen, die Erstellung von SBOMs und Security-Checks systematisch verankert, vermeidet spätere Nacharbeiten und ist optimal auf Audits vorbereitet.

Durchführung von Produktrisikobewertungen

Ein CRA-konformer Ansatz beginnt mit einer systematischen Risikoanalyse für jedes Produkt. Zunächst wird das Produkt kategorisiert, um festzustellen, ob es als „Standard", „wichtig" (Klasse I/II) oder „kritisch" eingestuft wird. Diese Einstufung bestimmt, welche Konformitätsbewertung erforderlich ist.

Im nächsten Schritt erfolgt die Bedrohungsanalyse: Welche Angriffswege sind für das jeweilige Produkt relevant? Die SBOM (Software Bill of Materials) dient dabei als Grundlage für die Analyse der einzelnen Komponenten, um zu prüfen, welche Bausteine bekannte Schwachstellen oder Risiken aufweisen. Abschließend zeigt eine Gap-Analyse auf, welche Anforderungen bereits erfüllt sind und wo konkreter Handlungsbedarf besteht.

SBOMs bilden somit die Basis für diese Bewertungen und unterstützen dabei, Risiken sowohl auf Bauteil- als auch auf Systemebene nachvollziehbar zu machen.

Effektive Implementierung von SBOMs

Für praxistaugliche und CRA-konforme SBOM-Prozesse empfiehlt sich:

• Automatisierte Erstellung: SBOMs in der CI/CD-Pipeline generieren, um manuelle Fehler zu vermeiden

• Kontinuierliche Aktualisierung: Die SBOM bei jeder Code-Änderung oder jedem Abhängigkeits-Update aktualisieren

• Zentrales Management: Alle SBOMs in einer Plattform verwalten, die Versionierung und Zugriffskontrolle ermöglicht

• CVE-Monitoring: Automatisierter Abgleich mit Schwachstellendatenbanken wie NVD und CVE

• Integritätsprüfung: Sicherstellen, dass SBOMs nicht manipuliert wurden.

Das ONEKEY SBOM Management Tool erstellt SBOMs automatisiert aus Binärdateien, auch ohne Quellcodezugang, und überwacht kontinuierlich neue Schwachstellen.

Integration der CRA-Anforderungen in Entwicklungsprozesse

CRA-Pflichten sollten frühzeitig in Secure-Development- und DevSecOps-Prozesse integriert werden, anstatt erst kurz vor dem Markteintritt geprüft zu werden. Dies beginnt mit Security by Design: Sicherheitsanforderungen fließen von Anfang an in die Produktarchitektur ein. Die Erstellung der Software-Stückliste (SBOM) wird als fester Bestandteil der CI/CD-Pipeline verankert, sodass bei jedem Build automatisch eine aktuelle Liste entsteht. Ergänzend werden automatisierte CVE-Prüfungen als Security-Checks in die Pipeline eingebunden.

Entscheidend sind dabei klare Verantwortlichkeiten: Wer ist zuständig für das Vulnerability Handling und wer für die technische Dokumentation? Nur wenn diese Rollen eindeutig definiert sind, lässt sich Sicherheit systematisch und kontinuierlich gewährleisten.

Durchsetzung und Auswirkungen auf das Geschäft

Der CRA schließt die Lücke zwischen Softwaresicherheit und Produktverantwortung. Mit klaren Fristen, verbindlichen Meldepflichten und empfindlichen Strafen setzt die Verordnung einen deutlichen Rahmen – bietet aber auch Chancen für Unternehmen, die frühzeitig handeln.

Zeitplan und Strafen

Der CRA ist in Kraft und wird schrittweise umgesetzt:

• 2024: Verabschiedung und Inkrafttreten der Verordnung

• 2026: Inkrafttreten der Meldepflichten für Schwachstellen und Vorfälle

• 2027: Vollständige Anwendung aller Anforderungen

Bei Nichteinhaltung drohen erhebliche Strafen. Für Verstöße gegen wesentliche Anforderungen können Bußgelder von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes verhängt werden, je nachdem, welcher Betrag höher ist.

Bei anderen Verstößen liegt die Obergrenze bei 10 Millionen Euro oder 2 % des Umsatzes. Im schlimmsten Fall können Marktaufsichtsbehörden Vertriebsverbote für nicht konforme Produkte in der gesamten EU aussprechen.

Markt- und Finanzrisiken

Neben direkten Bußgeldern entstehen weitere Risiken, die das Geschäft nachhaltig beeinträchtigen können. Produkte ohne CE-Kennzeichnung dürfen in der EU nicht verkauft werden, was zu einem Verlust des Marktzugangs führen kann und ganze Produktlinien betrifft.

Bei festgestellter Nichtkonformität drohen Rückrufe und Vertriebsverbote. Hinzu kommen Reputationsschäden, da Marktaufsichtsbehörden Verstöße öffentlich bekannt machen können. Auch der Ausschluss von Ausschreibungen gewinnt zunehmend an Bedeutung. Große Kunden, insbesondere aus regulierten Branchen, verlangen belastbare SBOM- und Vulnerability-Prozesse als Vergabekriterium.

Compliance als Wettbewerbsvorteil

Wer die CRA-Anforderungen frühzeitig und konsequent umsetzt, kann Sicherheit und Transparenz aktiv als Verkaufsargument nutzen:

• Differenzierung: Prüffähige SBOMs und nachweisbare Security-by-Design-Praktiken heben Sie von weniger vorbereiteten Wettbewerbern ab.

• Kundenvertrauen: Transparenz über Softwarekomponenten stärkt das Vertrauen bei Kunden, Partnern und Aufsichtsbehörden.

• Prozesseffizienz: Investitionen in Automatisierung und Dokumentation zahlen sich langfristig aus.

• Marktzugang: Uneingeschränkter Zugang zum EU-Binnenmarkt.

Vereinfachung des CRA- und SBOM-Managements

Um CRA-konforme SBOMs und Schwachstellenprozesse skalierbar umzusetzen, benötigen Hersteller integrierte Plattformen, die technische und dokumentarische Anforderungen vereinen. Die ONEKEY Cybersecurity-Plattform bietet eine zentrale Lösung für alle relevanten Aufgaben.

Die Plattform erstellt SBOMs automatisiert aus Firmware und Binärdateien, auch ohne Zugriff auf den Quellcode. Ein kontinuierliches Schwachstellenmonitoring gleicht alle Komponenten automatisch mit den CVE- und NVD-Datenbanken ab und informiert sofort über neue Risiken.

Für die CRA-Konformität prüft der ONEKEY Compliance Wizard Produkte anhand der regulatorischen Anforderungen und liefert konkrete Handlungsempfehlungen. Das integrierte Schwachstellenmanagement ermöglicht die Risikobewertung, Priorisierung und Nachverfolgung aller Maßnahmen. Auditfähige Berichte für Behörden und Zertifizierungen runden die Dokumentation ab.

So laufen SBOM-Erzeugung, Schwachstellenabgleich, Risikobewertung und Nachweisführung in einem konsistenten Workflow zusammen. Dadurch können Sie sich auf Ihre Kernkompetenz konzentrieren: sichere Produkte zu entwickeln.

Häufig gestellte Fragen

Was ist das EU Cyber Resilience Act (CRA)?

Der Cyber Resilience Act (Verordnung (EU) 2024/2847) ist eine EU-Verordnung, die einheitliche und verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt. Diese Anforderungen gelten für eine breite Palette von Produkten, von Consumer-IoT-Geräten über industrielle Komponenten bis hin zu Softwareprodukten. Die Verordnung schreibt unter anderem Security-by-Design, ein kontinuierliches Schwachstellenmanagement, Meldepflichten sowie eine transparente technische Dokumentation, einschließlich der Software-Bestandteilliste (SBOM), vor.

Welche Produkte fallen unter den Geltungsbereich der CRA?

Der CRA gilt grundsätzlich für „Produkte mit digitalen Elementen", also für Hardware oder Software, die direkt oder indirekt mit Daten oder Netzwerken interagieren. Ausgenommen sind bereits regulierte Sektoren wie Medizinprodukte, Fahrzeuge und bestimmte Luftfahrtprodukte. Innerhalb des CRA werden Produkte in „wichtige" (Klasse I und II) und „kritische" Kategorien eingeteilt. Für besonders sicherheitsrelevante Produkte gelten zusätzliche Anforderungen an die Konformitätsbewertung.

Wie wirkt sich die CRA auf die Sicherheit der Geräte-Firmware aus?

Firmware wird ausdrücklich als Teil der digitalen Komponenten eines Produkts betrachtet und unterliegt daher denselben Anforderungen hinsichtlich Sicherheit, Schwachstellenmanagement und Updates. Hersteller müssen Firmware-Komponenten in SBOMs erfassen, Risiken bewerten und sicherstellen, dass über die gesamte Lebensdauer des Produkts Sicherheitsupdates bereitgestellt und dokumentiert werden können.

Wie hilft die Transparenz von SBOMs beim Management von Sicherheitslücken im Rahmen der CRA?

SBOMs ermöglichen es, neu gemeldete Schwachstellen schnell und präzise bestimmten Produkten, Versionen und Komponenten zuzuordnen und diese priorisiert zu bearbeiten. Sie bilden ein zentrales Bindeglied zwischen Informationen zu Schwachstellen, technischen Maßnahmen sowie der für den CRA erforderlichen Nachweis- und Berichtspflicht. Ohne SBOM müssten Hersteller bei jeder neuen Schwachstelle manuell alle betroffenen Produkte analysieren, was zeitaufwändig und fehleranfällig wäre.

Warum sind SBOMs für die Produktsicherheit wichtig?

SBOMs schaffen Transparenz darüber, „woraus" ein Produkt digital besteht, und bilden damit die Grundlage, um Sicherheitsrisiken, Lizenzfragen und Abhängigkeiten in der Lieferkette fundiert zu steuern. Im Kontext des CRA entwickeln sie sich vom freiwilligen Best-Practice-Element zu einer verpflichtenden Voraussetzung, ohne die eine langfristige Marktteilnahme in der EU kaum möglich sein wird.

‍