Cyber Resilience Act: Neuer Rechtsrahmen und Handlungsempfehlungen für Unternehmen

Einleitung und Überblick zum Cyber Resilience Act

Mit dem Gesetz zur Cyber-Resilienz, abgekürzt als CRA, führt die EU erstmals eine verbindliche Regelung ein, die grundlegende Anforderungen an die IT-Sicherheit vernetzter Produkte festlegt. Ziel ist es, sowohl Verbraucher als auch Unternehmen besser gegen digitale Bedrohungen zu schützen. Hersteller sind künftig verpflichtet, Sicherheitsaspekte bereits in der Produktentwicklung zu berücksichtigen und über den gesamten Lebenszyklus hinweg für Aktualisierungen und technischen Support zu sorgen. Im Folgenden geben wir einen Überblick über die aktuellen Entwicklungen rund um das CRA und stellen eine praxisorientierte Checkliste bereit, mit der Unternehmen prüfen können, ob sie betroffen sind – und welche Maßnahmen bis wann umzusetzen sind.

Worum geht es beim Gesetz zur Cyber-Resilienz?

Der CRA ist eine EU-weite Regelung, die sich auf sogenannte „digitale Produkte“ bezieht – also auf Geräte und Softwarelösungen, die mit Netzwerken oder anderen Systemen verbunden werden können. Ziel ist es, einheitliche Standards für die IT-Sicherheit in der Europäischen Union zu etablieren und Risiken in digitalen Produkten systematisch zu reduzieren. Dadurch soll über den gesamten Lebenszyklus eines Produkts hinweg – von der Konzeption bis zur endgültigen Außerbetriebnahme – ein verbindliches Sicherheitsniveau gewährleistet werden.

Bislang fehlten in vielen Fällen klare Vorgaben für Sicherheitsmaßnahmen oder regelmäßige Aktualisierungen, was zu vermeidbaren Schwachstellen führte. Diese Lücke schließt der CRA, indem er verpflichtende Sicherheitsanforderungen definiert und die Verantwortung eindeutig den Herstellern zuweist.

Aktueller Stand und zeitlicher Ablauf

Seit dem Jahr 2022 durchlief der CRA das europäische Gesetzgebungsverfahren und wurde Ende 2023 politisch verabschiedet. Nach intensiven Diskussionen – insbesondere im Hinblick auf die Behandlung von Open-Source-Software – wurde beschlossen, nicht-kommerzielle Open-Source-Projekte von den Verpflichtungen auszunehmen. Die endgültige Fassung wurde im März 2024 vom EU-Parlament angenommen und am 10.10.2024 erfolgte die offizielle Zustimmung durch den EU-Rat. Die Veröffentlichung im Amtsblatt der EU fand am 20.10.2024 statt und am 10.12.2024 trat das Gesetz in Kraft. Gleichzeitig wurden Übergangsfristen bis ins Jahr 2027 eingeräumt, um Unternehmen ausreichend Zeit zur Umsetzung zu geben.

Wichtige Termine im Überblick:

• 10. Dezember 2024 – Inkrafttreten: Ab diesem Tag gilt das Gesetz offiziell. Unternehmen können nun mit der Anpassung ihrer Prozesse beginnen.
• 11. Juni 2026 – Benannte Prüfstellen verfügbar: Ab diesem Zeitpunkt dürfen akkreditierte Konformitätsbewertungsstellen Produkte nach den Vorgaben des CRA prüfen und zertifizieren. Hersteller sicherheitskritischer Produkte sollten sich frühzeitig über geeignete Prüfstellen informieren.
• 11. September 2026 – Beginn der Meldepflichten: Ab diesem Datum müssen ausgenutzte Sicherheitslücken oder Cybervorfälle innerhalb von 24 Stunden an die zuständigen Behörden (z. B. ENISA oder nationale Stellen) gemeldet werden. Unternehmen müssen bis dahin ein funktionierendes Schwachstellen- und Vorfallmanagement etabliert haben.
• 11. Dezember 2027 – Vollständige Anwendung: Ab diesem Stichtag dürfen nur noch Produkte in der EU vertrieben werden, die den Anforderungen des CRA vollständig entsprechen. Die Übergangsfrist endet – das Gesetz ist dann in vollem Umfang verbindlich.

Wichtig: Für betroffene Produkte bedeutet dies, dass spätestens Ende 2027 die vollständige Konformität erreicht sein muss. Einzelne Pflichten – wie etwa die Meldepflicht bei Sicherheitsvorfällen – greifen jedoch bereits früher. Bei Verstößen drohen Sanktionen wie Verkaufsverbote oder empfindliche Bußgelder von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes.

Anwendungsbereich: Welche Unternehmen und Produkte sind betroffen?

Das Gesetz zur Cyber-Resilienz gilt grundsätzlich für alle neuen digitalen Produkte, die ab dem 11. Dezember 2027 in der Europäischen Union in Verkehr gebracht werden. Dazu zählen sowohl vernetzte Hardware – etwa Geräte mit Internet- oder Netzwerkzugang – als auch Softwarelösungen, wie Betriebssysteme, Anwendungen oder IoT-Komponenten im Smart-Home-Bereich. Entscheidend ist, dass das Produkt in irgendeiner Weise mit anderen Geräten oder Netzwerken kommunizieren kann.

Die Regelung betrifft nicht nur europäische Hersteller, sondern auch Importeure, die entsprechende Produkte aus Drittstaaten in den EU-Markt einführen. Damit erfasst das Gesetz ein breites Spektrum – von einfachen Konsumgütern bis hin zu komplexen industriellen IT-Systemen.

Ausnahmen vom Geltungsbereich
Das Gesetz sieht jedoch auch gezielte Ausnahmen vor. Nicht unter den CRA fallen unter anderem:

• Produkte, die bereits durch spezifische EU-Vorschriften zur IT-Sicherheit reguliert sind – etwa medizinische Geräte, In-vitro-Diagnostika, bestimmte Fahrzeugkomponenten, zertifizierte Luftfahrttechnik oder Schiffsausrüstungen.
• Ersatzteile, die exakt nach den Vorgaben eines Originalprodukts gefertigt wurden.
• Produkte, die ausschließlich militärischen oder sicherheitsbehördlichen Zwecken dienen.
• Nicht-kommerzielle Open-Source-Software, die unentgeltlich bereitgestellt wird und nicht auf Gewinnerzielung abzielt.

Unternehmen sollten den Anwendungsbereich sorgfältig prüfen, da das Gesetz eine Vielzahl von Produkten erfasst – von günstigen Endverbraucherartikeln bis hin zu hochspezialisierten B2B-Lösungen – und nur wenige, klar definierte Ausnahmen zulässt.

Zentrale IT-Sicherheitsanforderungen des CRA

Das Gesetz zur Cyber-Resilienz verpflichtet Hersteller dazu, eine Reihe von grundlegenden Maßnahmen zur IT-Sicherheit umzusetzen. Ziel ist es, digitale Risiken frühzeitig zu erkennen und systematisch zu kontrollieren, um die Sicherheit von Produkten über deren gesamten Lebenszyklus hinweg zu gewährleisten.

Die wichtigsten Pflichten im Überblick:

• Sicherheit von Anfang an („Security by Design & Default“):
  Bereits in der Entwicklungsphase müssen Hersteller eine Risikoanalyse durchführen und geeignete Schutzmechanismen integrieren. Das Produktdesign soll von Beginn an auf Sicherheit ausgelegt sein – etwa durch Verschlüsselung sensibler Daten oder die Vermeidung voreingestellter Standardpasswörter. Auch die Standardeinstellungen müssen sicher konfiguriert sein. Zudem sind externe Komponenten wie Open-Source-Bibliotheken auf ihre Sicherheit hin zu prüfen und zu dokumentieren.
• Kontinuierliches Schwachstellenmanagement & Updates:
  Während der gesamten Nutzungsdauer eines Produkts sind Sicherheitslücken aktiv zu identifizieren, zu beheben und transparent zu kommunizieren. Ein strukturierter Prozess zur koordinierten Offenlegung von Schwachstellen (CVD) ist verpflichtend. Kritische Lücken, die aktiv ausgenutzt werden, müssen innerhalb von 24 Stunden an die zuständigen Behörden (z. B. ENISA oder nationale Stellen) gemeldet werden. Darüber hinaus sind Sicherheitsupdates für mindestens fünf Jahre nach Markteinführung bereitzustellen.
• Technische Dokumentation & Software-Stückliste (SBOM):
  Für jedes digitale Produkt ist eine umfassende technische Dokumentation zu erstellen. Diese muss eine aktuelle Software Bill of Materials (SBOM) enthalten – also eine vollständige Liste aller eingesetzten Softwarekomponenten wie Bibliotheken oder Module. Die Veröffentlichung der SBOM ist nicht vorgeschrieben, ihre Erstellung jedoch verpflichtend.
• Nachweis der Konformität & CE-Kennzeichnung:
  Vor dem Inverkehrbringen muss der Hersteller die Einhaltung der CRA-Vorgaben belegen – entweder durch eine Selbstbewertung (für die Mehrheit der Produkte) oder durch eine Prüfung durch unabhängige Stellen, sofern es sich um besonders risikobehaftete Produkte handelt. Produkte, die alle Anforderungen erfüllen, erhalten das CE-Kennzeichen, das künftig auch die IT-Sicherheitsanforderungen einschließt.
  Diese Vorgaben erfordern unter Umständen Anpassungen in Entwicklungsprozessen, Produktstrategie und Supportstrukturen. Besonders empfohlen wird die Einrichtung eines Product Security Incident Response Teams (PSIRT) sowie die Einführung eines geregelten Schwachstellenmanagements. Auch die Sicherstellung der IT-Sicherheit entlang der Lieferkette ist essenziell – selbst wenn Komponenten von Dritten stammen, bleibt die Gesamtverantwortung beim Hersteller.

Umsetzungsleitfaden: Checkliste für Unternehmen

Nutzen Sie die folgende Übersicht, um zu prüfen, ob Ihr Produkt oder Ihre Organisation vom CRA betroffen ist – und welche Schritte zur Einhaltung erforderlich sind:

1. Trifft das Gesetz auf Ihr Produkt zu?
Beantworten Sie dazu folgende Fragen:

• Digitale Funktionalität: Verfügt Ihr Produkt über Hardware oder Software mit Netzwerk- oder Internetverbindung?
  Beispiel: Ein IoT-Gerät oder eine Anwendung mit Online-Update-Funktion.
• Markteinführung ab Ende 2027: Soll das Produkt nach dem 11. Dezember 2027 neu in der EU eingeführt werden?
• Keine branchenspezifische Sonderregelung: Unterliegt das Produkt nicht bereits anderen spezialgesetzlichen EU-Vorgaben zur IT-Sicherheit (z. B. für Medizinprodukte, Fahrzeugtechnik, Luftfahrt)?
• Nicht-kommerzielle Open Source ausgeschlossen: Handelt es sich nicht um unentgeltlich bereitgestellte Open-Source-Software, die keinen kommerziellen Zweck verfolgt?
• Kein Ersatzteil: Ist das Produkt kein identisches Ersatzteil für ein bereits vor dem Stichtag in Verkehr gebrachtes Gerät?

Wenn Sie alle Fragen mit „Ja“ beantworten, fällt Ihr Produkt aller Voraussicht nach unter die Regelungen des CRA.

2. Welche Maßnahmen sind wann umzusetzen?
Wenn Ihr Produkt betroffen ist, sollten Sie folgende Schritte einleiten:

• Sicherheitsprinzipien frühzeitig integrieren (ab sofort):
  Verankern Sie IT-Sicherheit bereits in der Produktentwicklung. Achten Sie auf sichere Voreinstellungen, vermeiden Sie Standardpasswörter und verschlüsseln Sie sensible Daten.
• Risikoanalyse & SBOM etablieren (laufend):
  Führen Sie eine regelmäßige Risikobewertung durch und erstellen Sie eine Software-Stückliste (SBOM), die alle eingesetzten Komponenten dokumentiert.
• Konformitätsnachweis vorbereiten (bis Ende 2027):
  Erstellen Sie eine technische Dokumentation und eine EU-Konformitätserklärung. Prüfen Sie, ob Ihr Produkt in eine Hochrisikokategorie fällt – in diesem Fall ist eine externe Zertifizierung erforderlich.
• Schwachstellenmanagement einführen (bis spätestens 11. September 2026):
  Richten Sie ein Product Security Incident Response Team (PSIRT) ein und etablieren Sie Prozesse zur Meldung von Sicherheitsvorfällen innerhalb von 24 Stunden.
• Langfristige Update-Strategie sicherstellen:
  Planen Sie die Bereitstellung von Sicherheitsupdates für mindestens fünf Jahre nach Markteinführung. Kommunizieren Sie transparent, wie lange und auf welchem Weg Updates erfolgen.

Umsetzungstipps und Ausblick

Lieferanten frühzeitig einbinden
Beziehen Sie Ihre Zulieferer und externen Dienstleister aktiv in Ihre Sicherheitsstrategie ein. Achten Sie darauf, dass auch zugekaufte Komponenten den Anforderungen des CRA entsprechen. Verankern Sie entsprechende Sicherheitskriterien vertraglich, um Schnittstellenrisiken entlang der Lieferkette zu minimieren.

Einordnung im regulatorischen Kontext
Der CRA ist Teil der umfassenden EU-Cybersicherheitsstrategie und ergänzt andere Regelwerke wie die NIS2-Richtlinie. Während NIS2 insbesondere Betreiber kritischer Infrastrukturen zu Maßnahmen wie Meldepflichten verpflichtet, fokussiert sich der CRA auf die Produktsicherheit. Beide Regelwerke sind unmittelbar anwendbar – der CRA als EU-Verordnung direkt, NIS2 nach Umsetzung in nationales Recht – und verfolgen gemeinsam das Ziel, die digitale Sicherheit in Europa zu stärken.

Informationsstand aktuell halten
Verfolgen Sie regelmäßig die Veröffentlichungen der EU-Kommission, der Agentur der Europäischen Union für Cybersicherheit (ENISA) sowie nationaler Behörden wie dem BSI. Dort finden sich praxisnahe Leitfäden, FAQ-Dokumente und branchenspezifische Empfehlungen, die bei der Umsetzung des CRA unterstützen. Ein kontinuierliches Monitoring regulatorischer Entwicklungen hilft, rechtzeitig auf Änderungen zu reagieren.

Fazit:

Das Gesetz zur Cyber-Resilienz markiert einen Wendepunkt: IT-Sicherheit wird zur gesetzlichen Pflicht. Unternehmen, die frühzeitig handeln, können nicht nur Bußgelder vermeiden, sondern durch nachweislich sichere Produkte Vertrauen aufbauen und sich strategisch im Markt positionieren.

Sprechen Sie uns gerne an, falls Sie Fragen zum CRA haben!