Mit dem Cyber Resilience Act (Verordnung (EU) 2024/2847) führt die Europäische Union verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen ein, die auf dem EU-Markt in Verkehr gebracht werden.
Die Verordnung richtet sich in erster Linie an Hersteller. Cybersicherheit muss nachweisbar in das Produktdesign, die Update-Architektur sowie das Schwachstellenmanagement über den gesamten Lebenszyklus hinweg integriert sein.
Für biometrische Zutrittskontrollsysteme bedeutet dies, dass Architekturentscheidungen entscheidend werden. Netzwerkkonnektivität, Remote-Management und Cloud-Integration erhöhen sowohl die technische als auch die rechtliche Komplexität im Rahmen des CRA. Systeme mit einer begrenzten Angriffsfläche, lokaler Entscheidungslogik und kontrollierten Updateprozessen entsprechen in der Regel besser den wesentlichen Cybersicherheitsanforderungen aus Anhang I der Verordnung.
Darüber hinaus beeinflusst der CRA indirekt Ausschreibungen und Lieferantenbewertungen. Organisationen, die unter die NIS2-Richtlinie fallen, müssen ihre Lieferkette aktiv auf Cyberrisiken bewerten. Produktarchitektur und Lifecycle-Management werden damit zu expliziten Bewertungskriterien.
Unter dem CRA wird Cybersicherheit zu einer Architekturfrage: Entscheidungen im Systemdesign, bei Schnittstellen und bei der Updatekontrolle bestimmen das Compliance-Profil eines Produkts.
Auf Grundlage der oben genannten Punkte kommen wir zu fünf Fragen, die wir beantworten werden.
Die 5 häufigsten Fragen zum Cyber Resilience Act (CRA) bei biometrischer Zutrittskontrolle
Wer muss den CRA einhalten?
Der Cyber Resilience Act richtet sich in erster Linie an Hersteller von Produkten mit digitalen Elementen, die auf dem EU-Markt in Verkehr gebracht werden. Dazu gehören Hersteller von Hardware und Software, einschließlich Anbieter von Zutrittskontrollsystemen, Controllern und Embedded-Systemen. Die formale Compliance-Verpflichtung liegt daher beim Hersteller.
Wir produzieren nichts. Was hat das mit uns zu tun?
Der CRA legt die Compliance-Verpflichtung bei den Herstellern fest. Für Ihre Organisation bedeutet dies, dass die Cybersicherheitsqualität der eingekauften Produkte nicht mehr unverbindlich ist. Die Art und Weise, wie ein Produkt entworfen und gewartet wird, bestimmt maßgeblich Ihr operatives und sicherheitstechnisches Risiko.
Für Organisationen, die unter NIS2 fallen, ist das Lieferantenrisiko ein gesetzlicher Bestandteil der Sorgfaltspflicht. Für andere Organisationen wird dies zunehmend Teil von Governance-Anforderungen, Versicherungsbedingungen und vertraglichen Vereinbarungen.
Wir fallen nicht unter NIS2. Warum ist das trotzdem relevant für uns?
Die Cybersicherheitsqualität der Produkte, die Sie einkaufen, bestimmt unmittelbar Ihr operatives Risiko. Ein Zutrittskontrollsystem ohne strukturiertes Wartungskonzept, ohne kontrollierte Updatepolitik oder mit unnötiger Netzwerkexposition kann zu Störungen von Geschäftsprozessen, Datenverlust und Reputationsschäden führen. Bei der Verarbeitung biometrischer Daten kann dies zudem Auswirkungen im Rahmen der DSGVO (GDPR) haben.
Wie kann ich beurteilen, ob ein Lieferant seine CRA-Verantwortung ernst nimmt?
Fordern Sie eine konkrete technische Begründung an: Einblick in die Produktarchitektur, die Updatepolitik und den Umgang mit Schwachstellen. Die CRA-Verantwortung und die dazugehörige Dokumentation bilden die Grundlage, um ein Produkt inhaltlich beurteilen zu können. Bleiben die Antworten vage oder beschränken sie sich auf allgemeine Aussagen ohne technische Unterlegung, fehlt die notwendige Transparenz.
Warum hat ein Hersteller dies möglicherweise nicht vollständig umgesetzt?
Viele digitale Produkte wurden vor Jahren in einem anderen technischen und regulatorischen Kontext entwickelt. Architekturen mit breitem Netzwerkzugang, Remote-Management oder eingeschränkter Updatekontrolle waren damals üblich. Wenn solche Systeme nicht von Anfang an mit Lifecycle-Security und kontrolliertem Update-Management als Ausgangspunkt entwickelt wurden, kann eine nachträgliche Anpassung technisch komplex oder kostspielig sein.
Was bedeutet das für Sie als Anwender?
Wenn eine bestehende Architektur nur schwer anpassbar ist, kann dies Auswirkungen auf Updates, Sicherheitsverbesserungen und zukünftige Unterstützung haben. Die technische Grundlage eines Systems bestimmt unmittelbar, wie sicher und zukunftsfähig es ist.
Statement of Compliance – Palm-ID Card
Für Organisationen, die die technische Grundlage bewerten möchten, steht ein formelles Statement of Compliance in Bezug auf den Cyber Resilience Act zur Verfügung. Dieses Dokument beschreibt unter anderem die geschlossene Systemarchitektur der Palm-ID Card, die minimale Angriffsfläche sowie die Begründung der Produktklassifizierung unter dem CRA.
Das Statement of Compliance wird auf Anfrage Organisationen zur Verfügung gestellt, die das Produkt im Rahmen von Regulierung oder Risikobewertung evaluieren möchten. Antragsteller werden gebeten, ihre Organisationsdaten anzugeben. Die bereitgestellten Informationen werden ausschließlich für die Zusendung des Dokuments verwendet.
Geben Sie unten Ihre Daten ein und laden Sie die Konformitätserklärung für die Palm-ID-Karte direkt herunter.