Digitale Produkte sind längst Teil kritischer Geschäftsprozesse. Gleichzeitig steigen die Risiken durch Sicherheitslücken, fehlende Updates und unzureichend abgesicherte Software- und Hardwarekomponenten kontinuierlich an. Genau an diesem Punkt setzt der Cyber Resilience Act (CRA) der Europäischen Union an. Ziel der Verordnung ist es, verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen zu schaffen – über den gesamten Lebenszyklus hinweg.
Der CRA betrifft dabei nicht nur große Technologieunternehmen. Auch Hersteller, Importeure, Händler und teilweise Anbieter von Open-Source-Komponenten müssen sich künftig mit neuen organisatorischen, technischen und dokumentationsbezogenen Pflichten auseinandersetzen.
Was ist der Cyber Resilience Act?
Der Cyber Resilience Act ist eine EU-Verordnung über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen. Anders als sektorbezogene Spezialregelungen verfolgt der CRA einen umfassenden Ansatz: Sicherheitsanforderungen sollen bereits in der Entwicklung berücksichtigt und während des gesamten Produktlebenszyklus eingehalten werden.
Der CRA ergänzt damit bestehende europäische Regelwerke wie:
- die NIS-2-Richtlinie,
- die DSGVO,
- die KI-Verordnung (AI Act),
- sowie neue Produkthaftungsregelungen.
Wichtig ist dabei die Abgrenzung: Der CRA ist primär eine Regelung der Cybersicherheit von Produkten. Datenschutzrechtliche Anforderungen der DSGVO bleiben daneben weiterhin eigenständig bestehen.
Welche Produkte sind betroffen?
Der CRA verwendet den Begriff „Produkte mit digitalen Elementen“. Gemeint sind Software- oder Hardwareprodukte einschließlich ihrer Datenfernverarbeitungslösungen und Komponenten.
Darunter fallen unter anderem:
- Softwareprodukte,
- Computerhardware,
- Smart-Home-Geräte,
- Passwortmanager,
- Browser,
- Smartwatches,
- IoT-Geräte,
- Sicherheitskomponenten und Firewalls.
Die Verordnung unterscheidet zudem zwischen:
- normalen Produkten,
- wichtigen Produkten (Klasse I und II),
- sowie kritischen Produkten mit erhöhtem Risiko.
Je nach Produktklasse unterscheiden sich Umfang und Tiefe der Konformitätsanforderungen.
Cybersicherheit über den gesamten Lebenszyklus
Ein zentraler Gedanke des CRA ist „Cybersecurity by Design“. Sicherheitsanforderungen sollen nicht erst nach einem Sicherheitsvorfall betrachtet werden, sondern bereits in Planung und Entwicklung einfließen.
Der CRA betrachtet deshalb den gesamten Produktprozess:
- Planung und Entwicklung,
- Herstellung,
- Vertrieb,
- Wartung,
- Update-Management,
- Schwachstellenbehandlung.
Hersteller müssen bereits zu Beginn eine Risikobewertung durchführen und dokumentieren. Zudem dürfen Produkte grundsätzlich keine bekannten ausnutzbaren Schwachstellen enthalten und müssen mit sicheren Standardeinstellungen ausgeliefert werden.
Damit verschiebt sich Cybersicherheit stärker von einer rein technischen Aufgabe hin zu einer organisatorischen Dauerpflicht.
Dokumentations- und Nachweispflichten
Der CRA enthält umfangreiche Dokumentationspflichten. Hersteller müssen technische Unterlagen erstellen, mit denen die Konformität des Produkts nachvollziehbar bewertet werden kann. Dazu gehören unter anderem:
- Produktbeschreibungen,
- technische Zeichnungen,
- Angaben zur Funktionsweise,
- verwendete Normen,
- Prüfberichte,
- Risikobewertungen.
Hinzu kommt die Pflicht zur EU-Konformitätserklärung sowie zur CE-Kennzeichnung.
Besonders relevant ist dabei: Die Dokumentation bezieht sich nicht nur auf selbst entwickelte Bestandteile, sondern auch auf integrierte Komponenten Dritter.
Gerade für Unternehmen mit komplexen Lieferketten oder eingesetzten Open-Source-Komponenten kann dies erhebliche organisatorische Auswirkungen haben.
Schwachstellenmanagement und Meldepflichten
Der CRA endet nicht mit dem Verkauf eines Produkts. Hersteller bleiben auch nach dem Inverkehrbringen verpflichtet, Schwachstellen zu überwachen und Sicherheitsupdates bereitzustellen. Diese Verpflichtung gilt grundsätzlich über fünf Jahre oder über die gesamte erwartete Produktlebensdauer hinweg.
Zusätzlich bestehen Meldepflichten:
- Sicherheitsvorfälle und aktiv ausgenutzte Schwachstellen müssen innerhalb von 24 Stunden gemeldet werden,
- Nutzer müssen unverzüglich informiert werden,
- freiwillige Meldungen zu Cyberbedrohungen bleiben möglich.
Damit entsteht faktisch die Notwendigkeit eines strukturierten Vulnerability-Managements – einschließlich klarer Prozesse für Bewertung, Eskalation, Kommunikation und Dokumentation.
Auch Händler und Importeure stehen in der Verantwortung
Der CRA adressiert nicht ausschließlich Hersteller. Auch Importeure und Händler erhalten eigene Prüfpflichten. Produkte dürfen nur dann auf dem Markt bereitgestellt werden, wenn die Anforderungen des CRA eingehalten werden.
Damit erweitert sich die Verantwortung innerhalb der Lieferkette deutlich. Unternehmen können sich künftig weniger darauf verlassen, dass Sicherheitsanforderungen ausschließlich Aufgabe des Herstellers seien.
Zeitplan der Umsetzung
Der CRA wurde Ende 2024 veröffentlicht und ist als EU-Verordnung unmittelbar anwendbar.
Die Umsetzung erfolgt stufenweise:
- ab Juni 2026: Aufbau der Konformitätsbewertungsstellen,
- ab September 2026: verpflichtende Meldung von Schwachstellen und Vorfällen,
- ab Dezember 2027: vollständige Geltung aller Anforderungen.
Unternehmen sollten diese Übergangsfristen nicht mit einem Aufschub verwechseln. Viele organisatorische Anforderungen benötigen Vorlaufzeit – insbesondere dort, wo bisher keine strukturierten Sicherheits- und Dokumentationsprozesse bestehen.
Was bedeutet der Cyber Resilience Act konkret für Unternehmen?
Für viele Unternehmen bedeutet der CRA vor allem eines: Cybersicherheit wird künftig stärker prüfbar, dokumentierbar und nachweispflichtig.
Besonders relevant sind dabei folgende Fragen:
- Welche digitalen Produkte werden entwickelt, vertrieben oder integriert?
- Gibt es bereits dokumentierte Sicherheits- und Updateprozesse?
- Wie werden Schwachstellen erkannt und bewertet?
- Welche Nachweise können gegenüber Behörden oder Geschäftspartnern erbracht werden?
- Welche Drittkomponenten oder Open-Source-Bestandteile werden eingesetzt?
Der CRA betrifft damit nicht nur technische Entwicklungsabteilungen. Auch Compliance, Informationssicherheit, Einkauf, Produktmanagement und Geschäftsleitung werden organisatorisch eingebunden werden müssen.
Gleichzeitig zeigt die Verordnung deutlich die europäische Entwicklung: Cybersicherheit soll nicht erst nach Sicherheitsvorfällen betrachtet werden, sondern als fester Bestandteil von Produktverantwortung etabliert werden.
Kritik und praktische Herausforderungen
In der Praxis wird der CRA bereits jetzt kritisch diskutiert. Häufig genannte Punkte sind:
- hoher Dokumentationsaufwand,
- steigender Ressourcenbedarf,
- Fachkräftemangel,
- zusätzliche Bürokratie,
- erhebliche Eigenverantwortung der Unternehmen.
Gleichzeitig dürfte der CRA den Druck auf Hersteller und Lieferketten erhöhen, Sicherheitsanforderungen nachvollziehbar umzusetzen. Auch die vorgesehenen Sanktionen sind erheblich und orientieren sich in ihrer Struktur an bekannten europäischen Regulierungssystemen wie der DSGVO.
Fazit
Der Cyber Resilience Act verändert die Anforderungen an digitale Produkte grundlegend. Cybersicherheit wird nicht mehr nur als technische Zusatzfunktion betrachtet, sondern als verbindlicher Bestandteil von Entwicklung, Vertrieb und Wartung.
Unternehmen sollten den CRA deshalb nicht ausschließlich als regulatorische Belastung betrachten. Die Verordnung zwingt dazu, Verantwortlichkeiten, Sicherheitsprozesse und Dokumentation klarer zu strukturieren – insbesondere im Umgang mit Schwachstellen, Updates und Lieferketten.
Gerade vor dem Hintergrund zunehmender Vernetzung und wachsender Abhängigkeiten digitaler Systeme dürfte der CRA die Anforderungen an organisatorische Cybersicherheit in den kommenden Jahren deutlich prägen.
Ein strukturierter Umgang mit Cybersicherheit, Dokumentation und Produktverantwortung schafft langfristig Orientierung, Nachvollziehbarkeit und Rechtssicherheit.
Der Projekt86-Newsletter informiert etwa alle zwei Wochen über neue Fachbeiträge:
Projekt86-Newsletter