Cyber Resilience Act: EU-Regulation für digitale Produkte erklärt

01.07.2025 | J. Morelli – Online Redaktion, Forum Verlag Herkert GmbH

articleimage
KI-generiert

Mit der rasanten Digitalisierung steigen die Risiken für Cyberangriffe drastisch. Der EU Cyber Resilience Act (CRA) ist Europas Antwort darauf – eine Verordnung, die erstmals verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt. Hersteller, Importeure und Händler müssen handeln – und zwar schnell: Bis 2027 gelten neue Pflichten.

Inhaltsverzeichnis

  1. Was ist der EU Cyber Resilience Act (CRA)?
  2. Ziele des CRA: Was verfolgt die EU damit?
  3. Welche Produkte sind betroffen?
  4. Fristen: Zeitplan und Umsetzung
  5. Die zentralen Anforderungen des CRA
  6. Welche Unternehmen sind betroffen?
  7. CRA vs. NIS2 vs. AI Act
  8. Kritik und Herausforderungen
  9. FAQ
  10. Fazit: Der CRA kommt, Vorbereitung ist Pflicht

Was ist der Cyber Resilience Act (CRA)?

Der Cyber Resilience Act ist eine EU-Verordnung, die im Dezember 2024 in Kraft trat und ab 2027 verpflichtend gilt. Ziel ist es, ein einheitliches Cybersicherheitsniveau für alle digitalen Produkte in der EU zu etablieren – vom Smart-TV über industrielle Software bis hin zu IoT-Geräten.

Ziele des CRA: Was verfolgt die EU damit?

  • Schutz der Verbraucher vor unsicheren Geräten
  • Transparenzpflichten gegenüber Kunden und Behörden
  • Reduktion von Sicherheitslücken durch „Security by Design“
  • Bessere Reaktion auf Schwachstellen und Cyberbedrohungen
  • Senkung wirtschaftlicher Schäden durch Cyberangriffe in der EU

Der Cyber Resilience Act verfolgt das übergeordnete Ziel, das Cybersicherheitsniveau in der EU nachhaltig zu erhöhen. Dafür verpflichtet er Hersteller digitaler Produkte, Sicherheitsmaßnahmen konsequent in Design, Entwicklung und Lebenszyklus zu integrieren. Der Fokus liegt auf Verbraucherschutz, Transparenz, der Vermeidung von Sicherheitslücken und einer besseren Reaktionsfähigkeit bei Cyberbedrohungen. Gleichzeitig soll der CRA wirtschaftliche Schäden durch Hackerangriffe reduzieren und das Vertrauen in digitale Technologien stärken.

Schutz der Verbraucher vor unsicheren Geräten

Ein zentrales Ziel des CRA ist es, Verbraucher vor unsicheren oder manipulierbaren Geräten zu schützen. Digitale Produkte müssen künftig nachweislich grundlegende Sicherheitsanforderungen erfüllen – und das bereits vor Markteintritt. Damit sollen ungeschützte Schnittstellen, unverschlüsselte Datenübertragungen und mangelhafte Zugangskontrollen der Vergangenheit angehören.

Transparenzpflichten gegenüber Kunden und Behörden

Der CRA fordert klare, verständliche Informationen zu Sicherheitsfunktionen, Updatezyklen und Risiken digitaler Produkte. Hersteller müssen sowohl Kunden als auch zuständigen Behörden umfassende technische Dokumentationen zur Verfügung stellen. Diese Transparenz schafft Vertrauen, ermöglicht gezielte Risikoabschätzung und unterstützt Behörden bei der Marktüberwachung.

Reduktion von Sicherheitslücken durch „Security by Design“

„Security by Design“ bedeutet, dass Sicherheitsaspekte nicht nachträglich, sondern von Anfang an integraler Bestandteil der Produktentwicklung sind. Der CRA verpflichtet Unternehmen zur systematischen Risikoanalyse, sicheren Konfigurationen und kontinuierlicher Prüfung, um Schwachstellen frühzeitig zu vermeiden und die Gesamtresilienz zu stärken.

Bessere Reaktion auf Schwachstellen und Cyberbedrohungen

Mit dem CRA wird ein verpflichtendes Schwachstellenmanagement eingeführt. Hersteller müssen erkannte Sicherheitslücken innerhalb von 24 Stunden melden und kurzfristige Maßnahmen zur Eindämmung einleiten. Das fördert eine schnelle, koordinierte Reaktion auf Cyberbedrohungen und minimiert potenzielle Schäden für Nutzer und Infrastrukturen.

Senkung wirtschaftlicher Schäden durch Cyberangriffe in der EU

Cyberangriffe verursachen jährlich immense finanzielle Verluste in Europa. Der CRA zielt darauf ab, diese Schäden durch präventive Sicherheitsmaßnahmen und einheitliche EU-Vorgaben zu minimieren. Durch verpflichtende Standards soll die Verwundbarkeit digitaler Produkte sinken und damit auch die wirtschaftliche Belastung für Unternehmen, Verbraucher und Institutionen.

Welche Produkte sind betroffen?

Der CRA gilt für „Produkte mit digitalen Elementen“, also:

  • Hardware mit „vernetzten Funktionen“ (z. B. Router, Kameras, Smart-Home-Produkte, Smartphones, Laptops, Smartwatches etc.)
  • reine Software (z. B. Apps, Betriebssysteme, SaaS, z.B. Buchhaltungssoftware, oder auch Computerspiele)
  • eingebettete Systeme und IoT-Geräte
  • Entwicklerlösungen wie DevOps-Tools

Ausnahmen: Medizinprodukte, Kfz-spezifische Geräte, Luftfahrt-Software, kostenlose Open-Source-Software (nicht kommerziell).

Ziel des Cyber Resilience Acts ist darüber hinaus ein umfassender Schutz digitaler Produkte, Dienstleistungen und Lieferketten.

Fristen: Zeitplan der Umsetzung

Die Umsetzung des CRA erfolgt in drei Phasen: Ab Dezember 2024 tritt die Verordnung offiziell in Kraft. In den Jahren 2025 und 2026 können Unternehmen ihr Portfolio bereits auf die CRA-konforme Umstellung vorbereiten und freiwillig Anpassungen vornehmen. Ab Dezember 2027 wird die Einhaltung verbindlich.

  • 11.12.2024: Inkrafttreten des Cyber Resilience Acts (CRA)
  • 2025–2026: Vorbereitung & freiwillige Umsetzung
    • Konformitätsbewertungsstellen können zum Stichtag 11. Juni 2026 die Erfüllung der Anforderungen an den CRA bewerten
    • 11. September 2026 (Meldepflicht für Schwachstellen und Sicherheitsvorfälle: Meldungen müssen innerhalb von 24 Stunden nach Bekanntwerden gemacht werden)
  • 11.12.2027: Stichtag zur Vollumfängliche CRA-Konformitätspflicht, bzw. alle CRA-Anforderungen sind bei neuen Produkten gewährleistet.

Die zentralen Anforderungen des CRA

Die CRA-Verordnung definiert fünf Kernanforderungen: Erstens müssen Produkte „Security by Design & Default“ aufweisen, also bereits ab Werk sicher konfiguriert sein. Zweitens ist ein systematisches Schwachstellenmanagement Pflicht. Drittens müssen Hersteller Sicherheits-Updates während der gesamten Produktlebensdauer bereitstellen. Viertens verlangt der CRA eine detaillierte Software-Stückliste (SBOM), um Risiken durch Drittanbieter-Komponenten zu minimieren. Fünftens müssen Unternehmen je nach Risikoklasse ein passendes Konformitätsbewertungsverfahren durchlaufen – inklusive CE-Kennzeichnung.

1. Cyber-Security von Konzeption bis Produktion mitdenken (Security by Design & Default)

Vor Produktion sollten Hersteller bereits eine Risikobewertung für ihre Produkte durchführen. Produkte müssen ab Werk sichere Konfigurationen aufweisen. Soll heißen: Verschlüsselung von gespeicherten und übertragenen Daten sowie sichere Standardeinstellung (Verbot schwacher Passwärter, Installation von Sicherheitsupdates etc.)

2. Schwachstellenmanagement (Vulnerability Handling)

Pflicht zur kontinuierlichen Überwachung & Meldung von Risiken. Dafür wird eine neue Meldeplattform etabliert (s. Umsetzung zwischen 2025-2026)

3. Sicherheits-Updates und -Support

Transparente Updates während der gesamten Lebensdauer. Das umfasst auch Software-/Sicherheitsupdates und soll einer der Kern- und Angelpunkte für den cyber-sicheren Betrieb/Verwendung von vernetzten Produkten darstellen. Der Zeitraum für den gesetzlich vorgeschriebenen Support beträgt i. d. R. 5 Jahre und muss bei den Herstellerangaben genannt sein.

4. Software Bill of Materials (SBOM)

Lieferanten müssen eine Liste aller eingesetzten Software-Komponenten bereitstellen.

5. CE-Kennzeichnung & Konformitätsverfahren

Neue Risikoklassen bestimmen, ob eine Selbstbewertung reicht oder eine unabhängige Stelle („Notified Body“) einbezogen werden muss.

Welche Unternehmen sind betroffen?

  • Hersteller: Hauptverantwortlich für Sicherheitsfunktionen und Compliance
  • Importeure & Händler: Kontrollpflicht über CRA-Konformität der Produkte
  • Softwareanbieter & Cloud-Services: Nur, wenn sie Produkte mit digitalen Elementen liefern

Wie können sich Unternehmen vorbereiten? 

Schritt-für-Schritt-Anleitung zur CRA-Compliance

  1. Ist-Analyse: Welche Produkte sind betroffen?
  2. SBOM etablieren: Software-Komponenten vollständig dokumentieren
  3. Incident Response vorbereiten: Prozesse zur Schwachstellenmeldung aufbauen
  4. Update-Management organisieren: Sicherheits-Patches rechtzeitig ausrollen
  5. Zertifizierung prüfen

CRA vs. NIS2 vs. AI Act: Wo liegen die Unterschiede?

Verordnung Fokus Zielgruppe
CRA Produkte mit digitalen Elementen Hersteller, Entwickler
NIS2 Kritische Infrastrukturen Betreiber, Behörden
AI Act Künstliche Intelligenz Entwickler, Anbieter

Kritik und Herausforderungen

Trotz seines positiven Ziels stößt der CRA auf Kritik. Vor allem die Open-Source-Community befürchtet, dass freiwillige, nicht-kommerzielle Softwareprojekte in die Haftung geraten könnten (Stand jetzt, kein Bestandteil des Cyber-Resilience-Acts, bzw. von diesem ausgeschlossen).

Kleine und mittlere Unternehmen (KMU) beklagen hohe Umsetzungskosten und Ressourcenengpässe. Genau für diese Anwendungsfälle ist eine Unterstützung im CRA vorgesehen (Leitlinien zur Umsetzung wurden bereits vom BSI veröffentlich, zukünftig soll zusätzlich ein Helpdesk etabliert werden). Im Speziellen könnte dies für KMU bedeuten, dass die technische Dokumentation vereinfacht wird. 

→ Die „Technical Guidelines“ sind dennoch äußerst komplex, weshalb geraten wir einzelne Mitarbeitende für die Umsetzung des CRA zu schulen.

Zudem bleibt offen, wie eine EU-weite Kontrolle und Durchsetzung der Regelungen in der Praxis gewährleistet werden kann – insbesondere bei der Masse an Produkten und Herstellern.

FAQ: Häufig gestellte Fragen zum CRA

Was ist der Unterschied zwischen CRA und NIS2?
→ NIS2 betrifft Betreiber kritischer Dienste, CRA betrifft Produkte mit digitalen Komponenten.

Ab wann muss ich CRA-konform sein?
→ Bis spätestens Dezember 2027, idealerweise bereits vorher.

Was passiert bei Nicht-Einhaltung?
→ Es drohen Bußgelder bis zu 15 Mio. € oder 2,5 % des Jahresumsatzes.

Gilt CRA auch für Software?
→ Ja, wenn sie mit Hardware ausgeliefert wird oder eigenständig verkauft wird.

Fazit: Der CRA kommt – Vorbereitung ist Pflicht

Die Zeit läuft. Der CRA wird zum neuen Maßstab für Cybersicherheit in der EU. Wer jetzt handelt, sichert sich Wettbewerbsvorteile, minimiert Risiken und stärkt das Vertrauen der Kunden. Mit einem strukturierten Fahrplan, technischen Audits und professioneller Beratung ist die Umsetzung problemlos möglich.

Quellen: Welche Strafen sieht der Cyber Resilience Act vor?, BSI - Cyber Resilience Act - Cyber Resilience Act, BSI - Technische Richtlinie BSI TR-03183