Teil 1: Grundlagen und rechtlicher Rahmen | Cyber Resilience Act: Security-by-Design

Der Cyber Resilience Act: Ein neuer Rahmen für Produktsicherheit

Ein mittelständischer Hersteller von Industriesteuerungen wie Beckhoff, Phoenix Contact oder Pilz steht vor einer Herausforderung: Seine Produkte werden seit Jahren erfolgreich verkauft, doch nun muss er nachweisen, dass sie den Cybersicherheitsanforderungen des Cyber Resilience Act entsprechen. Die Steuerungen verbinden sich mit dem Internet, um Fernwartung zu ermöglichen. Bisher war Cybersicherheit ein freiwilliges Qualitätsmerkmal, künftig wird sie zur gesetzlichen Pflicht. Tausende Unternehmen in der EU stehen vor derselben Frage: Was genau fordert diese neue Verordnung?

Der Cyber Resilience Act (CRA) ist die erste horizontale EU-Verordnung, die Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt. Horizontal bedeutet: Sie gilt branchenübergreifend für alle Produkte, die nicht bereits von sektorspezifischen Regelungen erfasst sind. Die Verordnung wurde am 20. November 2024 im EU-Amtsblatt veröffentlicht und trat am 10. Dezember 2024 in Kraft.^[1] Mit ihr reagiert die EU auf die wachsende Bedrohung durch Cyberangriffe auf vernetzte Produkte, von Smart-Home-Geräten bis hin zu kritischen Infrastrukturkomponenten.

Was ist der Cyber Resilience Act?

Für Leser, die neu in das Thema einsteigen: Der CRA ist eine EU-Verordnung, die verbindliche Cybersicherheitsanforderungen für alle vernetzten Produkte festlegt. Er betrifft Hardware und Software gleichermaßen und verpflichtet Hersteller zu Security-by-Design, kontinuierlichem Schwachstellenmanagement und transparenter Dokumentation. Anders als freiwillige Standards ist der CRA geltendes Recht mit empfindlichen Sanktionen bei Verstößen.

Der CRA ist eine EU-Verordnung, keine Richtlinie. Dieser Unterschied ist rechtlich bedeutsam: Eine Verordnung gilt unmittelbar in allen Mitgliedstaaten und muss nicht erst in nationales Recht umgesetzt werden. Die offizielle Bezeichnung lautet Verordnung (EU) 2024/2847 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen.^[1] Ab dem Tag des Inkrafttretens ist sie bindendes Recht, das von nationalen Behörden durchgesetzt werden kann.

Die EU-Kommission begründet die Verordnung mit einer alarmierenden Statistik: Cyberangriffe verursachen jährlich Schäden in Milliardenhöhe, und viele dieser Angriffe nutzen Schwachstellen in vernetzten Produkten aus. Laut ENISA Threat Landscape 2025 stellt die Ausnutzung von Software-Schwachstellen mit über 20 Prozent einen der häufigsten Eintrittspunkte für Angreifer dar.^[2] Bisher gab es keine einheitlichen Anforderungen an die Cybersicherheit von Produkten. Hersteller konnten Produkte ohne jede Sicherheitsprüfung auf den Markt bringen.

Ziele der Verordnung

Der CRA verfolgt vier zentrale Ziele. Erstens soll er sicherstellen, dass Produkte mit digitalen Elementen sicher konzipiert und entwickelt werden. Security-by-Design wird zur Pflicht statt zur freiwilligen Best Practice. Zweitens sollen Hersteller während des gesamten Produktlebenszyklus für Sicherheit verantwortlich sein, nicht nur zum Zeitpunkt des Verkaufs. Drittens sollen Verbraucher und Unternehmen transparente Informationen über die Cybersicherheit von Produkten erhalten, um informierte Kaufentscheidungen treffen zu können.

Viertens soll ein kohärenter Rechtsrahmen geschaffen werden, der den fragmentierten Flickenteppich nationaler Regelungen ersetzt. Vor dem CRA existierten in der EU keine einheitlichen horizontalen Anforderungen. Einzelne Mitgliedstaaten hatten begonnen, eigene Regeln zu entwickeln, was zu Marktbarrieren und Rechtsunsicherheit führte. Der CRA schafft einheitliche Bedingungen für den gesamten Binnenmarkt mit über 450 Millionen Verbrauchern.^[3]

Was sind Produkte mit digitalen Elementen?

Die Definition ist bewusst weit gefasst. Ein Produkt mit digitalen Elementen ist laut Artikel 3 der Verordnung jedes Software- oder Hardwareprodukt und seine Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in Verkehr gebracht werden.^[1] Entscheidend ist die Fähigkeit zur direkten oder indirekten logischen oder physischen Datenverbindung mit einem Gerät oder Netz. Ein Produkt muss also vernetzbar sein, nicht zwingend permanent verbunden.

Konkret fallen darunter: vernetzte Haushaltsgeräte wie smarte Kühlschränke und Waschmaschinen, industrielle Steuerungen und Sensoren, Router, Switches und Netzwerkgeräte, Betriebssysteme, Browser und Passwortmanager, Videoüberwachungssysteme, Smart-TVs, Spielzeug mit Internetverbindung, Fitness-Tracker und medizinische Geräte (soweit nicht von der MDR erfasst). Auch reine Softwareprodukte ohne physische Komponente sind erfasst, etwa mobile Apps, Desktop-Anwendungen oder Firmware-Updates.

Ein Beispiel verdeutlicht die Tragweite: Ein Hersteller von smarten Türschlössern wie Nuki oder Tedee muss künftig nachweisen, dass sein Produkt sicher konzipiert wurde, dass bekannte Schwachstellen geschlossen sind und dass er über den gesamten Support-Zeitraum Sicherheitsupdates bereitstellt. Gleiches gilt für den Entwickler einer Passwortmanager-App wie Bitwarden oder 1Password, oder den Produzenten einer Industriesteuerung wie Siemens oder Bosch Rexroth. Die Bandbreite der betroffenen Produkte ist enorm.

Ausnahmen vom Anwendungsbereich

Nicht alle Produkte fallen unter den CRA. Ausgenommen sind Produkte, die bereits von sektorspezifischen EU-Vorschriften mit gleichwertigen Anforderungen erfasst werden. Der Gesetzgeber wollte Doppelregulierung vermeiden. Medizinprodukte unterliegen weiterhin der Medical Device Regulation (MDR), In-vitro-Diagnostika der IVDR. Fahrzeuge fallen unter die UN R155, die bereits umfassende Cybersicherheitsanforderungen enthält. Luftfahrtprodukte und Schiffsausrüstung haben eigene Regelwerke.^[1]

Besondere Aufmerksamkeit verdient die Ausnahme für Open-Source-Software. Freie und quelloffene Software, die nicht kommerziell vermarktet wird, ist ausgenommen. Sobald jedoch ein Unternehmen Open-Source-Komponenten in ein kommerzielles Produkt integriert, gelten die CRA-Anforderungen vollumfänglich. Cloud-Dienste (Software as a Service) fallen nicht unter den CRA, sondern unter die NIS2-Richtlinie, die Anforderungen an Betreiber stellt. Die Abgrenzung kann im Einzelfall komplex sein, etwa bei hybriden Produkten mit lokaler und cloudbasierter Komponente.

Wer ist betroffen?

Der CRA richtet sich an alle Wirtschaftsakteure in der Lieferkette: Hersteller, Importeure und Händler. Jede Gruppe hat spezifische Pflichten, deren Umfang von der Rolle im Vertriebsprozess abhängt. Die Verantwortung ist abgestuft, wobei Hersteller die umfangreichsten Pflichten tragen. Diese Struktur entspricht dem bewährten New Legislative Framework der EU, das auch bei anderen Produktvorschriften wie der Maschinenverordnung oder der Niederspannungsrichtlinie angewendet wird.

Pflichten der Hersteller

Hersteller tragen die Hauptverantwortung. Sie müssen sicherstellen, dass ihre Produkte den grundlegenden Anforderungen in Anhang I entsprechen. Das umfasst die Konzeption, Entwicklung und Herstellung nach dem Prinzip Security-by-Design. Bereits in der Entwurfsphase müssen Sicherheitsaspekte berücksichtigt werden, nicht erst nachträglich als Zusatzfunktion. Hersteller müssen eine Risikobewertung durchführen, die technische Dokumentation erstellen und ein Konformitätsbewertungsverfahren durchlaufen.

Die Pflichten enden nicht mit dem Verkauf. Hersteller müssen Schwachstellen während des gesamten Support-Zeitraums behandeln und kostenlose Sicherheitsupdates bereitstellen. Sie müssen eine Software Bill of Materials (SBOM) erstellen und pflegen, die alle Komponenten und Abhängigkeiten dokumentiert. Aktiv ausgenutzte Schwachstellen müssen innerhalb von 24 Stunden an die zuständigen Behörden gemeldet werden.^[1] Nach Inverkehrbringen müssen Hersteller die technische Dokumentation mindestens zehn Jahre aufbewahren.

Ein konkretes Beispiel: Ein Sensorhersteller wie ifm electronic oder Balluff produziert vernetzte IO-Link-Sensoren für die Industrieautomation. Er muss künftig eine Risikoanalyse durchführen, Sicherheitsmaßnahmen implementieren, eine SBOM erstellen, ein Konformitätsbewertungsverfahren durchlaufen und über mindestens fünf Jahre Sicherheitsupdates bereitstellen. Das erfordert ein durchgängiges Operating Model: Von der sicheren Entwicklung über den Betrieb von Update-Infrastruktur bis zum Vulnerability-Management müssen alle Prozesse ineinandergreifen. Der organisatorische Aufwand ist erheblich, aber mit klarer Struktur planbar.

Pflichten der Importeure

Importeure bringen Produkte von Herstellern außerhalb der EU in den Binnenmarkt. Sie fungieren als Gatekeeper und müssen vor dem Inverkehrbringen prüfen, dass der Hersteller seinen Pflichten nachgekommen ist: Konformitätsbewertung durchgeführt, technische Dokumentation erstellt, CE-Kennzeichnung angebracht. Werden Schwachstellen bekannt, müssen Importeure den Hersteller informieren und bei signifikanten Risiken die Marktüberwachungsbehörden einschalten. Importeure müssen ihre Kontaktdaten auf dem Produkt oder der Verpackung angeben.

Die Rolle der Importeure gewinnt angesichts globaler Lieferketten an Bedeutung. Viele vernetzte Produkte werden in Asien gefertigt, die Hersteller haben oft keine EU-Niederlassung. Der Importeur übernimmt in diesen Fällen eine Schlüsselrolle bei der Durchsetzung der CRA-Anforderungen. Kann er die Konformität nicht nachweisen, darf er das Produkt nicht in den EU-Markt einführen. Die Haftungsrisiken sind entsprechend hoch.

Pflichten der Händler

Händler haben geringere Pflichten als Hersteller und Importeure. Sie müssen mit der gebührenden Sorgfalt handeln und vor dem Vertrieb prüfen, ob das Produkt die CE-Kennzeichnung trägt und die erforderlichen Informationen beiliegen. Sie müssen keine eigene Konformitätsbewertung durchführen, haften aber bei offensichtlichen Mängeln. Wenn ein Händler wesentliche Änderungen am Produkt vornimmt, etwa durch eigene Firmware-Modifikationen, wird er selbst zum Hersteller mit allen damit verbundenen Pflichten.

Die Sorgfaltspflicht der Händler umfasst auch die Reaktion auf Sicherheitsprobleme. Erfährt ein Händler, dass ein von ihm vertriebenes Produkt nicht den CRA-Anforderungen entspricht, muss er den Hersteller oder Importeur informieren. Bei erheblichen Risiken sind auch die Marktüberwachungsbehörden zu benachrichtigen. Der Händler darf ein Produkt nicht weiter vertreiben, solange bekannte Konformitätsmängel bestehen.

Welche Produktkategorien unterscheidet der CRA?

Der CRA unterscheidet Produkte nach ihrem Kritikalitätsniveau. Diese Einteilung bestimmt, welches Konformitätsbewertungsverfahren anzuwenden ist und ob eine externe Prüfung durch eine notifizierte Stelle erforderlich ist. Die Kategorisierung orientiert sich an zwei Faktoren: der potenziellen Schadenshöhe bei einer Kompromittierung und der Verbreitung des Produkts. Je kritischer ein Produkt, desto strenger die Anforderungen an den Nachweis.

Standardprodukte (Default)

Die Mehrheit der Produkte fällt in die Standardkategorie. Dazu gehören beispielsweise Smart-Home-Geräte wie intelligente Lampen oder Steckdosen, mobile Apps ohne sicherheitskritische Funktionen, Spielekonsolen und einfache IoT-Geräte wie Wetterstationen oder Fitness-Tracker. Für diese Produkte können Hersteller eine Selbstbewertung durchführen, das sogenannte interne Kontrollverfahren nach Modul A. Eine externe Prüfung durch eine notifizierte Stelle ist nicht erforderlich.

Die Selbstbewertung bedeutet nicht, dass die Anforderungen geringer wären. Auch Standardprodukte müssen alle grundlegenden Anforderungen aus Anhang I erfüllen. Der Unterschied liegt im Nachweisverfahren: Der Hersteller prüft selbst und erklärt die Konformität. Er muss die technische Dokumentation bereithalten und auf Verlangen den Behörden vorlegen. Die Verantwortung für die Richtigkeit trägt allein der Hersteller.

Ein praktisches Beispiel: Ein Hersteller von Smart-Home-Steckdosen wie Tapo oder Shelly muss für sein Standardprodukt folgende Schritte durchführen: Risikobewertung dokumentieren, sichere Default-Konfiguration implementieren (kein Standard-Passwort), SBOM erstellen, Update-Mechanismus bereitstellen und eine EU-Konformitätserklärung ausfertigen. Bei einem Jahresumsatz von fünf Millionen Euro und einer Produktpalette von zwanzig Geräten bedeutet das einen einmaligen Aufwand von geschätzt 50.000 bis 100.000 Euro für Prozessaufbau und Dokumentation sowie laufende Kosten für Vulnerability Monitoring und Updates.

Wichtige Produkte (Anhang III)

Anhang III listet wichtige Produkte in zwei Klassen mit unterschiedlichen Anforderungen. Klasse I umfasst unter anderem: Identitätsmanagement-Systeme, Browser, Passwortmanager, Antivirensoftware, Firewalls für den Privatgebrauch, VPN-Software, Netzwerkmanagement-Systeme, Betriebssysteme, Router und Modems für den Internetzugang, Mikrocontroller mit Sicherheitsfunktionen und industrielle Automatisierungssysteme. Diese Produkte haben eine hohe Verbreitung oder erfüllen sicherheitsrelevante Funktionen.^[1]

Klasse II enthält kritischere Produkte wie Hypervisoren und Container-Runtime-Systeme, die als Grundlage für Cloud-Infrastrukturen dienen. Public-Key-Infrastrukturen (PKI) zur Ausstellung digitaler Zertifikate gehören ebenso dazu wie Hardware-Sicherheitsmodule (HSM), sichere Kryptogeräte, Smartcard-Leser und industrielle Firewalls. Für Klasse-I-Produkte ist eine Selbstbewertung möglich, wenn harmonisierte Standards vollständig angewendet werden. Andernfalls muss eine notifizierte Stelle eingebunden werden. Für Klasse II ist grundsätzlich eine externe Prüfung erforderlich.^[1]

Kritische Produkte (Anhang IV)

Anhang IV listet kritische Produkte, für die eine Zertifizierung nach einem europäischen Cybersicherheitszertifizierungsschema verpflichtend ist. Diese höchste Kategorie umfasst Hardware-Sicherheitsmodule für qualifizierte Signaturen, Smartcards und ähnliche Geräte für kryptografische Operationen, intelligente Messsysteme (Smart Meter Gateways), sichere Elemente in Zahlungssystemen und hochsichere Authentifizierungsgeräte. Diese Produkte bilden oft das Fundament kritischer Infrastrukturen oder verarbeiten besonders schützenswerte Daten.

Für Produkte nach Anhang IV gibt es keine Möglichkeit der Selbstbewertung. Die Zertifizierung muss nach einem Schema erfolgen, das im Rahmen des Cybersecurity Act (CSA) entwickelt wurde, etwa dem European Common Criteria Scheme (EUCC). Die Anforderungen sind hoch, der Aufwand erheblich, aber für diese hochsensiblen Produkte angemessen. Ein kompromittiertes Smart Meter Gateway könnte beispielsweise Millionen von Haushalten betreffen.^[4]

Konkretisierung durch Durchführungsverordnung

Die Europäische Kommission hat am 28. November 2025 die Durchführungsverordnung (EU) 2025/2392 verabschiedet, die technische Beschreibungen für die Produktkategorien in Anhang III und IV konkretisiert.^[8] Die Verordnung präzisiert, welche Produkte in welche Kategorie fallen, und stellt klar, dass die Kernfunktionalität eines Produkts seine Einordnung bestimmt, nicht eingebettete Komponenten. Ein Smartphone mit integriertem Passwort-Manager wird daher nicht zum Passwort-Manager im Sinne des CRA.

Wann greifen welche Pflichten?

Der CRA sieht einen gestaffelten Zeitplan vor, der Unternehmen Zeit zur Anpassung gibt. Die Übergangsfrist beträgt drei Jahre ab Inkrafttreten. Unternehmen sollten die verschiedenen Fristen genau kennen, um rechtzeitig compliant zu sein. Die gestaffelte Einführung ermöglicht eine schrittweise Umstellung, erfordert aber sofortiges Handeln bei der Planung.

10. Dezember 2024: Inkrafttreten

Die Verordnung ist seit dem 10. Dezember 2024 in Kraft. Ab diesem Zeitpunkt gilt sie als verbindliches EU-Recht, auch wenn die meisten Pflichten erst später greifen. Unternehmen sollten jetzt mit der Vorbereitung beginnen. Die dreijährige Übergangsfrist mag lang erscheinen, doch die notwendigen Anpassungen in Entwicklungsprozessen, Qualitätsmanagementsystemen und Lieferantenbeziehungen erfordern Zeit. Wer erst kurz vor Ablauf der Frist beginnt, wird Schwierigkeiten haben.

11. September 2026: Meldepflichten

Ab dem 11. September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle über die ENISA-Meldeplattform melden. Die Fristen sind strikt: Innerhalb von 24 Stunden muss eine Frühwarnung erfolgen, innerhalb von 72 Stunden eine detaillierte Meldung mit technischen Informationen, innerhalb von 14 Tagen ein Abschlussbericht.^[1] Auch die Pflicht zur Benennung einer zentralen Anlaufstelle für Sicherheitsfragen tritt zu diesem Zeitpunkt in Kraft.

Diese frühere Frist für Meldepflichten ist kein Zufall. Der Gesetzgeber will sicherstellen, dass Informationen über aktiv ausgenutzte Schwachstellen schnell bei den Behörden ankommen, auch wenn die vollständigen Produktanforderungen erst später gelten. Für die Entgegennahme der Meldungen entwickelt ENISA derzeit die Single Reporting Platform, die bis zum 11. September 2026 betriebsbereit sein wird. Die Meldepflichten erfordern funktionierende interne Prozesse zur Schwachstellenerkennung und Incident Response. Diese Prozesse aufzubauen, braucht Vorlaufzeit.

11. Dezember 2027: Vollständige Anwendung

Ab dem 11. Dezember 2027 gelten alle Anforderungen des CRA ohne Einschränkung. Produkte, die ab diesem Datum in Verkehr gebracht werden, müssen vollständig konform sein. Das betrifft die grundlegenden Anforderungen aus Anhang I, die Konformitätsbewertung nach dem jeweils zutreffenden Verfahren, die CE-Kennzeichnung und die technische Dokumentation. Produkte, die vor diesem Datum bereits auf dem Markt waren, müssen nur bei wesentlichen Änderungen neu bewertet werden.

Der Stichtag gilt für das erstmalige Inverkehrbringen. Ein Produkt, das am 10. Dezember 2027 auf den Markt kommt, unterliegt noch nicht den CRA-Anforderungen. Ein Tag später ist volle Konformität erforderlich. Für Hersteller bedeutet das: Neue Produktentwicklungen, die ab Ende 2027 auf den Markt kommen sollen, müssen von Anfang an CRA-konform konzipiert werden. Nachträgliche Anpassungen sind aufwändig und teuer.

Was droht bei Verstößen?

Der CRA sieht erhebliche Sanktionen bei Verstößen vor. Die Höhe der Bußgelder richtet sich nach der Schwere des Verstoßes und orientiert sich am bewährten Modell der DSGVO. Der EU-Gesetzgeber hat aus den Erfahrungen mit der Datenschutz-Grundverordnung gelernt: Nur spürbare Sanktionen entfalten abschreckende Wirkung. Die Bußgeldrahmen sind entsprechend hoch angesetzt.

Bußgelder

Bei Verstößen gegen die grundlegenden Cybersicherheitsanforderungen aus Anhang I oder die Pflichten zur Behandlung von Schwachstellen können Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes verhängt werden, je nachdem, welcher Betrag höher ist.^[1] Für einen Konzern mit zehn Milliarden Euro Umsatz wären das bis zu 250 Millionen Euro. Diese Obergrenze entspricht den schärfsten Sanktionen unter der DSGVO und signalisiert den hohen Stellenwert, den der Gesetzgeber der Produktsicherheit beimisst.

Bei Verstößen gegen andere Pflichten wie Dokumentationspflichten oder Kennzeichnungspflichten sind Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des Umsatzes möglich. Falsche, unvollständige oder irreführende Angaben gegenüber Behörden können mit bis zu 5 Millionen Euro oder 1 Prozent geahndet werden. Die abgestuften Bußgeldrahmen spiegeln die unterschiedliche Schwere der Verstöße wider: Sicherheitsmängel wiegen schwerer als Dokumentationsfehler, beide wiegen schwerer als formale Versäumnisse.

Weitere Maßnahmen

Neben Bußgeldern können Marktüberwachungsbehörden weitere Maßnahmen ergreifen. Sie können die Bereitstellung nicht-konformer Produkte untersagen, einen Rückruf anordnen oder die Vernichtung verlangen. Bei Gefahr für die öffentliche Sicherheit können Sofortmaßnahmen ergriffen werden, ohne dass ein förmliches Verfahren abgewartet werden muss. Die Behörden können auch verlangen, dass Hersteller Nutzer aktiv über Risiken informieren, etwa durch direkte Benachrichtigung oder öffentliche Warnungen.

Die wirtschaftlichen Folgen eines Rückrufs oder Vertriebsverbots können die Bußgelder bei weitem übersteigen. Ein Hersteller, dessen Produkte aus dem Handel genommen werden, verliert unmittelbare Umsätze, Reputation und Kundenvertrauen gleichermaßen. Die Wiederherstellung der Marktposition nach einem öffentlichkeitswirksamen Sicherheitsvorfall kann Jahre dauern. Prävention ist wirtschaftlich sinnvoller als Reaktion.

Zusammenspiel mit anderen Regulierungen

Der CRA existiert nicht im luftleeren Raum. Er ist Teil eines wachsenden Netzes von EU-Regulierungen zur Cybersicherheit und digitalen Souveränität. Das Zusammenspiel mit anderen Regelwerken ist komplex, aber durchdacht. Der Gesetzgeber hat sich bemüht, Überschneidungen zu minimieren und Kohärenz herzustellen. Für betroffene Unternehmen bleibt die Einordnung ihrer Produkte und Pflichten dennoch anspruchsvoll.

CRA und NIS2

CRA und NIS2 ergänzen sich komplementär. Die NIS2-Richtlinie regelt die Cybersicherheit von Organisationen, insbesondere Betreibern kritischer Infrastrukturen und wichtiger Einrichtungen. Sie stellt Anforderungen an Risikomanagement, Incident Response und Governance. Der CRA regelt die Sicherheit von Produkten, unabhängig davon, wer sie nutzt. Vereinfacht formuliert: NIS2 sagt, wer sicher sein muss. Der CRA sagt, was sicher sein muss.^[5]

Für NIS2-betroffene Unternehmen bringt der CRA spürbare Vorteile. Die Sicherheit der Produkte in ihrer Lieferkette wird durch den CRA verbessert. NIS2 verlangt von Betreibern, ihre Lieferkette abzusichern. Mit CRA-konformen Produkten wird dieser Nachweis einfacher, weil die Produkte bereits definierten Sicherheitsstandards entsprechen. Beide Regelwerke verfolgen den gemeinsamen Ansatz Security by Design und schaffen so Synergien für Unternehmen, die unter beide Regelungen fallen.

Sektorspezifische Regelungen

Der CRA gilt subsidiär zu sektorspezifischen EU-Vorschriften. Medizinprodukte unterliegen weiterhin der Medical Device Regulation (MDR), die bereits strenge Anforderungen an Cybersicherheit enthält. Fahrzeuge fallen unter die UN R155, die im Rahmen der UNECE entwickelt wurde und umfassende Cybersicherheitsanforderungen für den Automobilsektor definiert. Luftfahrtprodukte unterliegen der EASA-Regulierung mit eigenen Sicherheitsstandards. Der CRA greift nur dort, wo keine gleichwertigen sektorspezifischen Anforderungen bestehen.^[1]

Die Abgrenzung kann im Einzelfall schwierig sein. Ein vernetztes Blutdruckmessgerät für den Heimgebrauch könnte sowohl unter die MDR als auch unter den CRA fallen. Entscheidend ist die Klassifizierung nach der jeweiligen Verordnung. Bei Produkten, die teilweise unter sektorspezifische Regelungen fallen, ist eine genaue Analyse erforderlich. Im Zweifel empfiehlt sich rechtliche Beratung, um Lücken oder Doppelregulierung zu vermeiden.

Wie unterscheidet sich der CRA von US-Ansätzen?

Die USA verfolgen einen anderen regulatorischen Ansatz. Statt einer horizontalen Verordnung setzt Washington auf eine Kombination aus Executive Orders, freiwilligen Rahmenwerken und sektorspezifischen Vorgaben. Die Executive Order 14028 von Mai 2021 verpflichtet Bundesbehörden zu erhöhten Cybersicherheitsstandards bei der Beschaffung, schafft aber keine direkten Pflichten für Hersteller. Das NIST Cybersecurity Framework bietet Orientierung, ist jedoch freiwillig.^[9]

Die Cybersecurity and Infrastructure Security Agency (CISA) hat 2023 die Initiative Secure by Design gestartet, die konzeptionell dem europäischen Ansatz ähnelt. Anders als der CRA setzt sie jedoch auf Selbstverpflichtungen der Industrie statt auf verbindliche Vorschriften. Für international tätige Hersteller bedeutet das: Wer CRA-konform ist, erfüllt in der Regel auch die US-Erwartungen, während die Umkehrung nicht gilt. Der CRA setzt damit faktisch einen globalen Maßstab für Produktsicherheit, dem sich auch nicht-europäische Hersteller anpassen müssen, wenn sie den EU-Markt bedienen wollen.

Kritik und Herausforderungen

Der CRA hat im Gesetzgebungsprozess kontroverse Diskussionen ausgelöst. Kritiker monieren verschiedene Aspekte, von der Umsetzbarkeit des Zeitplans bis hin zu den Auswirkungen auf kleine Unternehmen und Open-Source-Projekte. Eine ausgewogene Betrachtung erfordert, diese Einwände ernst zu nehmen und gegen die Ziele der Verordnung abzuwägen.

Zeitplan und Standardisierung

Ein häufiger Kritikpunkt betrifft den ambitionierten Zeitplan. Die vollständige Anwendung ab Dezember 2027 setzt voraus, dass bis dahin harmonisierte Standards vorliegen, an denen sich Hersteller orientieren können. Diese Standards werden von CEN, CENELEC und ETSI entwickelt, doch der Prozess ist komplex und zeitaufwändig. Kritiker befürchten, dass Unternehmen gezwungen sein könnten, Anforderungen zu erfüllen, deren genaue Ausgestaltung noch unklar ist.^[6]

Im April 2025 haben CEN, CENELEC und ETSI den Standardisierungsauftrag M/606 der Europäischen Kommission offiziell angenommen.^[6] Die drei europäischen Normungsorganisationen haben sich verpflichtet, harmonisierte Standards mindestens ein Jahr vor der vollständigen Anwendung des CRA bereitzustellen. Insgesamt wurden 41 Standards angefordert, davon 15 horizontale Standards für allgemeine Anforderungen und 25 vertikale Standards für spezifische Produktkategorien. Die Behördenpraxis wird sich erst nach Inkrafttreten der vollständigen Anforderungen entwickeln, doch die Standardisierungsarbeiten sind nun konkret im Gange.

Belastung für KMU und Open Source

Kleine und mittlere Unternehmen (KMU) haben die befürchtete Bürokratiebelastung kritisiert. Konformitätsbewertungen, technische Dokumentation und Schwachstellenmanagement erfordern Ressourcen, die große Konzerne leichter aufbringen können als ein Fünf-Personen-Startup. Die Open-Source-Community hat auf besondere Risiken hingewiesen: Ehrenamtliche Entwickler könnten von den Anforderungen überfordert werden, was die Entwicklung freier Software gefährden könnte.^[7]

Der finale Verordnungstext enthält einige Erleichterungen. Die Ausnahme für nicht-kommerzielle Open-Source-Software wurde präzisiert. Für KMU gibt es keine generellen Ausnahmen, aber die Möglichkeit der Selbstbewertung bei Standardprodukten reduziert den Aufwand. Ob diese Maßnahmen ausreichen, wird sich in der Praxis zeigen. Die Kommission hat angekündigt, die Auswirkungen auf KMU zu beobachten und bei Bedarf nachzusteuern.

Fazit und Ausblick

Der Cyber Resilience Act schafft einen umfassenden Rechtsrahmen für die Cybersicherheit von Produkten. Er betrifft Hersteller, Importeure und Händler gleichermaßen, mit abgestuften Pflichten je nach Rolle in der Lieferkette. Die Produktkategorien bestimmen den erforderlichen Aufwand für die Konformitätsbewertung: Standardprodukte erlauben Selbstbewertung, wichtige und kritische Produkte erfordern externe Prüfung oder Zertifizierung. Die Sanktionen sind erheblich und können existenzbedrohend sein. Entscheidend für den Erfolg ist ein durchgängiges Operating Model, das sichere Entwicklung, kontinuierlichen Betrieb und dokumentierten Nachweis als Einheit begreift.

Ich halte den CRA für einen notwendigen Schritt. Die Flut unsicherer vernetzter Produkte auf dem Markt war unhaltbar, und freiwillige Selbstverpflichtungen haben nicht ausgereicht. Die Fristen sind ambitioniert, aber machbar, wenn Unternehmen jetzt mit der Vorbereitung beginnen. Die drei Jahre Übergangsfrist vergehen schneller als gedacht, besonders wenn tiefgreifende Änderungen an Entwicklungsprozessen und Produktarchitekturen erforderlich sind.

Wer heute mit der CRA-Vorbereitung beginnt, sollte drei Prioritäten setzen: Erstens eine Bestandsaufnahme der eigenen Produkte und deren Einordnung in die Kategorien. Zweitens die Etablierung von Prozessen für Schwachstellenmanagement und Meldepflichten, die bereits 2026 greifen. Drittens die Integration von Security-by-Design in den Produktentwicklungsprozess. Der Aufwand ist erheblich, aber die Alternative sind empfindliche Sanktionen und Reputationsschäden.

Im nächsten Teil dieser Serie betrachten wir die Security-by-Design-Prinzipien im Detail: Was genau fordert Anhang I der Verordnung, welche technischen Maßnahmen sind erforderlich, und wie können Unternehmen diese Anforderungen praktisch in ihre Entwicklungsprozesse integrieren?

Quellenverzeichnis

^[1] Europäische Union: Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (Cyber Resilience Act). Amtsblatt der Europäischen Union, L 2024/2847, 20. November 2024.

^[2] ENISA: Threat Landscape 2025, Kapitel 3.2 Initial Access Vectors. European Union Agency for Cybersecurity, Oktober 2025, S. 47-52. Online verfügbar unter: https://www.enisa.europa.eu/publications/enisa-threat-landscape-2025

^[3] Europäische Kommission: Impact Assessment Report, Cyber Resilience Act. SWD(2022) 282 final, September 2022.

^[4] Bundesamt für Sicherheit in der Informationstechnik (BSI): Smart Meter Gateway, Technische Richtlinie BSI TR-03109. BSI, Stand 2024.

^[5] Europäische Union: Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS2). Amtsblatt der Europäischen Union, 14. Dezember 2022.

^[6] Europäische Kommission: Standardization Request M/606 for the Cyber Resilience Act. Angenommen von CEN, CENELEC und ETSI am 3. April 2025. Online verfügbar unter: https://www.cencenelec.eu/news-events/news/2025/newsletter/ots-62-cra/

^[7] Open Source Initiative: Statement on the Cyber Resilience Act. OSI Position Paper, 2023.

^[8] Europäische Kommission: Durchführungsverordnung (EU) 2025/2392 zur Festlegung technischer Beschreibungen der Produktkategorien gemäß Anhang III und IV des CRA. Amtsblatt der Europäischen Union, 1. Dezember 2025.

^[9] NIST: Cybersecurity Framework 2.0. National Institute of Standards and Technology, Februar 2024. CISA: Secure by Design Pledge. Cybersecurity and Infrastructure Security Agency, 2023. Online verfügbar unter: https://www.cisa.gov/securebydesign

← Vorheriger Teil

Teil 0: Das Wichtigste

Nächster Teil →