Cyber Resilience Act – mehr Cybersicherheit in Europa

Der Cyber Resilience Act (CRA) ist eine neue EU-Verordnung, die die Cybersicherheit digitaler Produkte europaweit verbindlich regelt. Er gilt auch in Deutschland und betrifft alle Unternehmen, die Software, digitale Geräte oder vernetzte Produkte entwickeln, herstellen oder vertreiben. Ziel ist es, Sicherheitslücken zu reduzieren und ein einheitlich hohes Sicherheitsniveau im EU-Binnenmarkt zu schaffen.

Der CRA ist seit Dezember 2024 in Kraft. Erste Pflichten, insbesondere Meldepflichten bei aktiv ausgenutzten Schwachstellen, greifen ab September 2026. Ab dem 11. Dezember 2027 dürfen nur noch Produkte in der EU angeboten werden, die vollständig den CRA-Anforderungen entsprechen und entsprechend gekennzeichnet sind. Für Unternehmen bedeutet das vor allem, dass Cybersicherheit bereits bei der Produktentwicklung berücksichtigt werden muss. Produkte müssen sicher konzipiert sein, bekannte Risiken minimieren und über mehrere Jahre mit Sicherheitsupdates versorgt werden. Zudem sind technische Dokumentationen und klare Prozesse für den Umgang mit Sicherheitsvorfällen verpflichtend.

Für welche digitalen Produkte gelten die Neuregelungen?

Der CRA gilt für Produkte, die digitale Elemente enthalten und auf dem EU-Markt verkauft werden. Dazu gehören:

• Smartphones, Laptops, Tablets
• Softwareprogramme und Apps Smarthome-Geräte (z. B. intelligente Thermostate oder Kameras)
• Industrie- und vernetzte Maschinen
• Netzwerkgeräte und IoT-Tools

Ausgenommen sind z. B. bestimmte Spezialbereiche wie Fahrzeuge, Medizinprodukte oder militärische Produkte, die schon durch andere EU-Regeln geregelt werden.

Welche Rolle spielt die NIS2-Richtlinie dabei?

Ergänzend zum Cyber Resilience Act spielt die NIS-2-Richtlinie oder zweite Netzwerk- und Informationssicherheitsrichtlinie eine wichtige Rolle. NIS2 ist bereits auf EU-Ebene in Kraft und richtet sich an Unternehmen und Organisationen, insbesondere in kritischen und wichtigen Branchen. Während NIS2 regelt, wie Unternehmen ihre IT-Systeme betreiben und absichern müssen, sorgt der CRA dafür, dass die eingesetzten Produkte selbst sicher sind. Beide Regelwerke greifen damit ineinander.

In Deutschland erfolgt die Umsetzung über das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz. Die Pflichten gelten faktisch bereits, auch wenn sich das nationale Gesetzgebungsverfahren verzögert hat. Unternehmen können sich daher nicht darauf berufen, dass NIS2 „noch nicht gilt“.

Was bedeutet das für die Unternehmen in Zukunft?

Für viele Unternehmen in Deutschland ist das besonders relevant: CRA-konforme Produkte reduzieren Sicherheitsrisiken und erleichtern gleichzeitig die Einhaltung der NIS2-Pflichten, etwa beim Risikomanagement oder bei Meldepflichten.

Wer frühzeitig in sichere Produkte und klare Prozesse investiert, profitiert von höherer Rechtssicherheit, mehr Vertrauen bei Kunden und einem klaren Wettbewerbsvorteil.

Natürlich bringt der Cyber Resilience Act auch Herausforderungen mit sich. Der Aufwand für Entwicklung, Dokumentation und Wartung steigt. Gleichzeitig sinkt jedoch das Risiko teurer Sicherheitsvorfälle, Bußgelder und Reputationsschäden deutlich.

Für viele Unternehmen heißt das: Doppelte Vorbereitung ist nötig.

• Hersteller & Softwareanbieter müssen den Cyber Resilience Act umsetzen.
• Betreiber & größere Unternehmen müssen zusätzlich die NIS2-Anforderungen erfüllen.
• Firmen mit beiden Rollen (z. B. Softwareanbieter für kritische Infrastrukturen) sind von beiden Regelwerken gleichzeitig betroffen.

Weitere Informationen finden Sie unter:

• Europäische Kommission – Cyber Resilience Act (offizielle Übersicht)
• Europäische Kommission – NIS2-Richtlinie (Übersicht)
• Europäische Kommission – Fragen & Antworten zum CRA