Was besagt der Cyber Resilience Act? Anforderungen, Fristen und Auswirkungen für Unternehmen

Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen einführt. Betroffen sind Hersteller von Hardware- und Softwareprodukten, die innerhalb der Europäischen Union verkauft werden. Der CRA verpflichtet Unternehmen dazu, Sicherheitsrisiken bereits bei der Entwicklung zu berücksichtigen, Schwachstellen zu beheben, Sicherheitsupdates bereitzustellen und bestimmte Sicherheitsvorfälle zu melden. Die ersten Pflichten greifen ab September 2026, die vollständige Anwendung erfolgt 2027. Ziel der Verordnung ist es, die Cybersicherheit von Produkten zu verbessern und die Cyberresilienz in Europa nachhaltig zu stärken.

Das Wichtigste zum Cyber Resilience Act zusammengefasst

• Der Cyber Resilience Act schafft erstmals einheitliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen.
• Hersteller müssen Sicherheit über den gesamten Lebenszyklus ihrer Produkte gewährleisten.
• Sicherheitsupdates, Schwachstellenmanagement und Meldepflichten werden verpflichtend.
• Die ersten Anforderungen gelten ab September 2026, die vollständige Umsetzung folgt 2027.
• Verstöße können mit Bußgeldern von bis zu 15 Millionen Euro geahndet werden.

Warum Unternehmen sich jetzt mit dem CRA beschäftigen sollten

Viele Unternehmen investieren bereits in Firewalls, Endpoint-Schutz oder Security-Awareness-Schulungen. Dennoch entstehen die größten Risiken häufig direkt in den eingesetzten Produkten und Anwendungen. Genau hier setzt der EU Cyber Resilience Act an.

Die neuen Regelungen verpflichten Hersteller dazu, Sicherheit bereits während der Entwicklung zu berücksichtigen und während der gesamten Nutzungsdauer ihrer Produkte sicherzustellen. Dadurch wird Cybersicherheit von einer freiwilligen Maßnahme zu einer regulatorischen Pflicht.

Für Unternehmen bedeutet das: Wer digitale Produkte entwickelt, vertreibt oder importiert, sollte sich frühzeitig auf die Anforderungen des CRA vorbereiten.

keepbit unterstützt Unternehmen dabei, regulatorische Anforderungen wie CRA, NIS2, ISO 27001 oder TISAX effizient umzusetzen. Mit ISMS-Einführungen, MDR- und XDR-Services, Schwachstellenmanagement sowie IT-Notfallplanung schaffen wir die Grundlage für nachhaltige Compliance und belastbare Cyber Security.

Was ist der Cyber Resilience Act?

Der Cyber Resilience Act ist eine Verordnung der Europäischen Union, die im Dezember 2024 im Amtsblatt veröffentlicht wurde. Die sogenannte Cyberresilienz-Verordnung schafft erstmals horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen, die innerhalb der Europäischen Union auf den Markt gebracht werden.

Das Ziel der Verordnung besteht darin, die Cybersicherheit von Produkten mit digitalen Funktionen deutlich zu verbessern. Gleichzeitig sollen Verbraucher, Unternehmen und Betreiber kritischer Systeme besser vor Cyberangriffen geschützt werden.

Der CRA gehört zu den wichtigsten Maßnahmen zur Stärkung der Cybersicherheit in der EU und soll langfristig für mehr Vertrauen in digitale Produkte sorgen.

Welche Produkte sind vom CRA betroffen?

Grundsätzlich betrifft der CRA nahezu alle Produkte mit digitalen Elementen.

Dazu gehören beispielsweise:

• Softwareprodukte
• Cloud-Anwendungen
• Mobile Apps
• IoT-Geräte
• Router und Netzwerkkomponenten
• Industriesteuerungen
• Smart-Home-Produkte
• Vernetzte Geräte und Systeme

Betroffen sind sowohl Hardware- und Softwareprodukte als auch kombinierte Lösungen. Hersteller von Produkten mit digitalen Funktionen müssen künftig nachweisen, dass ihre Produkte den Anforderungen entsprechen.

Für einzelne Bereiche wie bestimmte Medizinprodukt-Regulierungen gelten teilweise bereits eigene Sicherheitsvorschriften.

Die wichtigsten Anforderungen des CRA

Die Anforderungen des CRA konzentrieren sich auf die Sicherheit von Produkten über deren gesamten Lebenszyklus hinweg.

Security by Design wird verpflichtend

Eine zentrale Sicherheitsanforderung des CRA besteht darin, Sicherheit bereits während der Entwicklung zu berücksichtigen.

Produkte müssen so entwickelt werden, dass bekannte Risiken minimiert werden. Dazu gehören beispielsweise:

• sichere Standardkonfigurationen
• starke Authentifizierung
• Schutz sensibler Daten
• Reduzierung potenzieller Angriffsflächen

Die Cybersicherheit von Produkten mit digitalen Funktionen darf künftig nicht erst nach der Markteinführung berücksichtigt werden.

Schwachstellenmanagement und Sicherheitsupdates

Jeder Hersteller muss Prozesse etablieren, um Sicherheitslücken systematisch zu erkennen, zu bewerten und zu beheben.

Sicherheitsupdates müssen über einen angemessenen Zeitraum bereitgestellt werden. Die Wartung wird dadurch zu einem festen Bestandteil der regulatorischen Anforderungen.

Besonders kritisch sind aktiv ausgenutzte Schwachstellen. Unternehmen müssen nachweisen können, dass entsprechende Prozesse zur Behandlung solcher Risiken vorhanden sind.

Meldepflichten bei Sicherheitsvorfällen

Der CRA führt umfangreiche Meldepflichten ein.

Schwerwiegende Sicherheitsvorfälle sowie aktiv ausgenutzte Schwachstellen müssen an die zuständigen Stellen gemeldet werden. In bestimmten Fällen ist eine Meldung innerhalb von 24 Stunden erforderlich.

Ziel dieser Regelung ist es, Bedrohungen schneller zu erkennen und Risiken für andere Unternehmen zu minimieren.

CE-Kennzeichnung und Konformitätsbewertung

Der CRA ist eng mit der CE-Kennzeichnung verknüpft.

Hersteller müssen die Konformität ihrer Produkte nachweisen, bevor diese auf dem europäischen Binnenmarkt angeboten werden dürfen. Dafür sind verschiedene Konformitätsbewertungsverfahren vorgesehen.

Je nach Kritikalität eines Produkts unterscheiden sich die Anforderungen.

Normale Produkte

Für viele digitale Produkte genügt eine interne Bewertung der Sicherheitsmaßnahmen.

Wichtige Produkte

Bestimmte wichtige Produkte unterliegen zusätzlichen Anforderungen und einer strengeren Bewertung.

Kritische Produkte

Für besonders kritische Produkte können Prüfungen durch eine notifizierte Stelle erforderlich sein.

Die Einstufung erfolgt anhand der Kategorien in Anhang III sowie Anhang III und IV der Verordnung. Dort werden wichtige Produkte und kritische Produkte anhand ihrer Kritikalität definiert.

Praxisbeispiel: Wie der CRA die Produktentwicklung verändert

Ein mittelständischer Softwarehersteller entwickelt Lösungen für Produktionsanlagen und vertreibt diese innerhalb der Europäischen Union.

Bisher lag der Fokus vor allem auf neuen Funktionen und einer schnellen Markteinführung. Sicherheitsprüfungen erfolgten meist erst kurz vor dem Release. Sicherheitsupdates wurden nur bei Bedarf bereitgestellt.

Mit dem Cyber Resilience Act muss das Unternehmen seine Prozesse grundlegend anpassen:

• Sicherheitsanforderungen bereits in der Entwicklung berücksichtigen
• Risiken dokumentieren
• Schwachstellenmanagement etablieren
• regelmäßige Sicherheitsprüfungen durchführen
• Sicherheitsupdates bereitstellen
• Meldeprozesse für Sicherheitsvorfälle aufbauen

Dadurch steigt zwar zunächst der Aufwand, gleichzeitig sinkt jedoch das Risiko erfolgreicher Cyberangriffe und regulatorischer Verstöße erheblich.

Was Unternehmen jetzt konkret tun sollten

Auch wenn die vollständige Anwendung des CRA erst 2027 erfolgt, sollten Unternehmen die Übergangsfrist aktiv nutzen.

Folgende Maßnahmen sind besonders wichtig:

1. Betroffene Produkte identifizieren und klassifizieren.
2. Security-by-Design-Prozesse in der Entwicklung etablieren.
3. Ein strukturiertes Schwachstellenmanagement einführen.
4. Prozesse für Sicherheitsupdates definieren.
5. Incident-Response- und Meldeprozesse aufbauen.
6. Lieferkette und Drittanbieter auf Sicherheitsrisiken prüfen.
7. Nachweise und Dokumentationen für spätere Audits vorbereiten.

Unternehmen, die frühzeitig handeln, vermeiden Zeitdruck und reduzieren spätere Umsetzungskosten deutlich.

Welche Fristen gelten für den Cyber Resilience Act?

Für Unternehmen ist insbesondere die zeitliche Planung entscheidend.

Zeitpunkt

Bedeutung

Dezember 2024

Veröffentlichung im Amtsblatt

2025

Beginn der Vorbereitungsphase

September 2026

Meldepflichten werden verpflichtend

2027

Vollständige Anwendung der CRA-Anforderungen

Die Übergangsfrist gibt Herstellern ausreichend Zeit, Produkte und Prozesse an die neuen Vorgaben anzupassen.

CRA vs. NIS2: Wo liegt der Unterschied?

Häufig werden CRA und NIS2 miteinander verwechselt.

Der wesentliche Unterschied besteht darin, dass beide Regelwerke unterschiedliche Ziele verfolgen.

Cyber Resilience Act (CRA)

NIS2

Fokus auf Produkte

Fokus auf Organisationen

Regelt Produktsicherheit

Regelt Unternehmenssicherheit

Richtet sich an Hersteller und Produkte

Richtet sich an Betreiber und Unternehmen

Schwerpunkt auf sichere Entwicklung

Schwerpunkt auf Risikomanagement und Governance

In der Praxis ergänzen sich beide Regelwerke. Viele Unternehmen müssen sowohl die Anforderungen des CRA als auch von NIS2 erfüllen.

Welche Folgen drohen bei Verstößen?

Die Verordnung sieht erhebliche Sanktionen vor.

Je nach Schwere des Verstoßes können Bußgelder von bis zu 15 Millionen Euro verhängt werden.

Zusätzlich drohen:

• Vertriebsverbote
• Rückrufmaßnahmen
• Verlust der CE-Kennzeichnung
• Reputationsschäden
• Haftungsrisiken entlang der Lieferkette

Für viele Hersteller können die indirekten Folgen deutlich kostspieliger sein als die eigentlichen Bußgelder.

Abschließende Gedanken

Wer sich fragt: „Was besagt der Cyber Resilience Act?“, kann die Antwort einfach zusammenfassen: Der CRA verpflichtet Hersteller dazu, Sicherheit über den gesamten Lebenszyklus digitaler Produkte hinweg nachweisbar zu gewährleisten.

Die Verordnung schafft verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen, führt Meldepflichten ein, fordert Sicherheitsupdates und macht Cyber Security zu einem festen Bestandteil der Produktentwicklung.

Unternehmen sollten die verbleibende Übergangsfrist nutzen, um Prozesse, Produkte und Compliance-Strukturen frühzeitig anzupassen. Wer rechtzeitig handelt, reduziert Risiken, stärkt seine Marktposition und erfüllt die Anforderungen des CRA deutlich effizienter.

FAQ zum Cyber Resilience Act

Muss jedes Unternehmen den Cyber Resilience Act erfüllen?

Nein. Der CRA richtet sich primär an Hersteller von Produkten mit digitalen Elementen. Unternehmen, die solche Produkte lediglich nutzen, sind nicht direkt verpflichtet. Allerdings können Anforderungen indirekt über Kunden, Lieferanten oder andere regulatorische Vorgaben relevant werden.

Gilt der Cyber Resilience Act auch für Software?

Ja. Der CRA umfasst ausdrücklich Softwareprodukte. Dazu zählen unter anderem Unternehmenssoftware, Cloud-Anwendungen, mobile Apps, Betriebssysteme und weitere digitale Produkte.

Was ist der Unterschied zwischen NIS2 und dem Cyber Resilience Act?

NIS2 konzentriert sich auf die Sicherheit von Organisationen und kritischen Einrichtungen. Der CRA regelt dagegen die Sicherheit von Produkten. Beide Regelwerke ergänzen sich und verfolgen das gemeinsame Ziel, die Cybersicherheit innerhalb der Europäischen Union zu stärken.

Wer kontrolliert die Einhaltung des CRA?

Die Einhaltung wird durch nationale Marktaufsichtsbehörden überwacht. Diese können Nachweise anfordern, Produkte prüfen und bei Verstößen entsprechende Maßnahmen ergreifen.

Müssen bestehende Produkte ebenfalls angepasst werden?

Ja. Werden Produkte nach den relevanten Stichtagen weiterhin auf dem europäischen Markt angeboten, müssen sie die geltenden Anforderungen erfüllen und ihre Konformität nachweisen.

Welche Strafen drohen bei Verstößen gegen den CRA?

Neben Bußgeldern von bis zu 15 Millionen Euro können Vertriebsverbote, Rückrufmaßnahmen, Reputationsschäden und erhebliche wirtschaftliche Folgen entstehen.