News

Cyber Resilience Act: Warum vernetzte Produkte künftig ab Werk sicher sein müssen

Vom smarten Türschloss bis zur Industriesteuerung: Mit dem Cyber Resilience Act zieht die EU erstmals verbindliche Sicherheitsregeln für nahezu alle Produkte mit digitalen Elementen ein. Für Hersteller und Mittelstand beginnt der Countdown bereits 2026.

Von Anton · · 3 Min. Lesezeit

Ein Gesetz für die vernetzte Welt

Lange galt für viele digitale Produkte eine stille Übereinkunft: Verkauft wird, was funktioniert – ob es auch sicher ist, blieb oft zweitrangig. Mit dem Cyber Resilience Act (CRA) zieht die Europäische Union nun eine Grenze. Die Verordnung verpflichtet Hersteller, Importeure und Händler dazu, Produkte mit digitalen Elementen über ihren gesamten Lebenszyklus hinweg gegen Cyberangriffe abzusichern. Gemeint ist damit nahezu alles, was Software enthält und sich vernetzen lässt – vom smarten Türschloss über Router und Saugroboter bis hin zu industriellen Steuerungen und Apps.

Der CRA wurde am 20. November 2024 im Amtsblatt der EU veröffentlicht und trat zwanzig Tage später, am 10. Dezember 2024, in Kraft. Als Verordnung gilt er unmittelbar in allen Mitgliedstaaten, ohne dass nationale Gesetze ihn erst umsetzen müssten. Für Unternehmen bedeutet das: Es gibt keinen deutschen Sonderweg und keine regionalen Schlupflöcher, sondern einen einheitlichen Rahmen für den gesamten Binnenmarkt.

Der Zeitplan läuft gestaffelt

Anders als bei einem Stichtag, an dem alles auf einmal greift, hat der Gesetzgeber die Pflichten zeitlich gestaffelt. Ein zentraler Termin ist der 11. September 2026: Ab diesem Tag müssen Hersteller aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle melden. Vorgesehen ist ein mehrstufiges Verfahren – eine erste Frühwarnung binnen 24 Stunden, ergänzende Angaben innerhalb von 72 Stunden und ein Abschlussbericht zu einem späteren Zeitpunkt. Diese kurzen Reaktionszeiten dürften für manches Unternehmen die spürbarste Neuerung sein, weil sie organisatorische Vorkehrungen verlangen, die heute vielfach noch fehlen.

Die vollständige Anwendung der Verordnung folgt zum 11. Dezember 2027. Ab dann müssen Produkte die grundlegenden Cybersicherheitsanforderungen bereits erfüllen, bevor sie überhaupt in den Verkauf gelangen. Dazwischen liegen weitere Etappen, etwa der Aufbau benannter Stellen für Konformitätsbewertungen bis Ende 2026. Wer früh plant, hat also Zeit – aber eben nicht beliebig viel.

Was auf den Mittelstand zukommt

Für große Technologiekonzerne sind dokumentierte Sicherheitsprozesse oft schon Alltag. Schwieriger wird es für kleinere und mittlere Hersteller, die Geräte mit digitalen Funktionen anbieten, ohne sich bislang als Software-Unternehmen zu verstehen. Der CRA verlangt unter anderem ein durchgängiges Schwachstellenmanagement, Sicherheitsupdates über einen definierten Zeitraum und transparente Informationen für Nutzerinnen und Nutzer. Das berührt nicht nur die Entwicklung, sondern auch Einkauf, Vertrieb und Kundendienst.

Beobachterinnen und Beobachter weisen darauf hin, dass die Anforderungen zugleich eine Chance sein können: Wer Sicherheit nachweisbar mitliefert, verschafft sich im Wettbewerb ein Argument, das über den reinen Preis hinausgeht. Gerade in Branchen, in denen Vertrauen zählt, dürfte ein belastbares Sicherheitsversprechen an Bedeutung gewinnen. Kritisch diskutiert wird hingegen der Aufwand, vor allem für Betriebe mit schmalen Entwicklungsabteilungen.

Frühzeitig vorbereiten lohnt sich

Klar ist: Der CRA ist kein abstraktes Brüsseler Papier, sondern wird den Alltag vieler Produkthersteller verändern. Wer jetzt eine Bestandsaufnahme macht – welche Produkte fallen unter die Verordnung, wer ist intern verantwortlich, wie werden Meldewege organisiert –, vermeidet später Hektik. Das Bundesamt für Sicherheit in der Informationstechnik und die Industrie- und Handelskammern bieten dazu erste Orientierung an. Die kommenden Monate eignen sich, um Strukturen aufzubauen, bevor die Fristen zur Pflicht werden.


Dieser Beitrag ist eine redaktionelle Einordnung und ersetzt keine Rechtsberatung. Für die konkrete Bewertung, ob und in welchem Umfang ein Produkt unter den Cyber Resilience Act fällt, sollten betroffene Unternehmen fachkundigen Rat einholen.

Mehr zum Thema

  • Vom Papier zur Pflicht: Wie die E-Rechnung den Mittelstand zum Umdenken zwingt
  • Der Mensch als Sicherheitslücke: Warum NIS2 die IT allein nicht absichert
  • Pflicht ohne Aufschub: Was das NIS-2-Gesetz jetzt von Zehntausenden Unternehmen verlangt
  • Vom Papier zum Datensatz: Warum die E-Rechnung den Mittelstand unter Zugzwang setzt
  • Cybersicherheit per Gesetz: Was die NIS2-Pflichten für den Mittelstand bedeuten
  • Der digitale Nachlass: Was mit Online-Konten nach dem Tod geschieht