Der Cyber Resilience Act: Was Sie wissen müssen
Ein mittelständischer Hersteller von Smart-Home-Thermostaten steht vor einer schwierigen Entscheidung. Sein erfolgreiches Produkt, seit Jahren am Markt, erfüllt die neuen europäischen Cybersicherheitsanforderungen nicht. Die Firmware kennt keine automatischen Updates, die Standardpasswörter sind dokumentiert aber nicht änderbar, und eine Software-Stückliste existiert nicht. Ab Dezember 2027 darf das Gerät in der EU nicht mehr verkauft werden. Das Unternehmen muss entscheiden: grundlegende Überarbeitung oder Marktrückzug. Was zunächst wie ein Einzelfall klingt, betrifft tatsächlich Millionen von Produkten und Zehntausende von Unternehmen in ganz Europa.
Der Cyber Resilience Act (CRA) ist am 10. Dezember 2024 in Kraft getreten und markiert einen Wendepunkt für die Produktsicherheit in Europa. Die Verordnung (EU) 2024/2847 verpflichtet erstmals alle Hersteller, Importeure und Händler von Produkten mit digitalen Elementen zur Einhaltung verbindlicher Cybersicherheitsanforderungen. Bei Verstößen drohen Sanktionen von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes. Die Verordnung gilt unmittelbar in allen EU-Mitgliedstaaten und erfordert keine nationale Umsetzung.
Die Verordnung ist die erste europäische Regulierung, die ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte festlegt. Sie verbindet Entwicklung, Betrieb und Nachweisführung zu einem durchgängigen Sicherheitsmodell und schließt damit eine wesentliche Lücke im europäischen Rechtsrahmen. Bislang existierten zwar sektorspezifische Vorschriften für Medizinprodukte oder Fahrzeuge, doch der Großteil vernetzter Produkte war unreguliert. Dieser Text fasst die sechs wichtigsten Erkenntnisse zusammen (Stand: Dezember 2025) und bietet einen strukturierten Einstieg in die komplexe Materie. Die vertiefenden Artikel dieser Serie behandeln jeden Aspekt im Detail.
Der CRA betrifft fast alle vernetzten Produkte
Ein Produkt mit digitalen Elementen ist laut Artikel 3 des CRA jedes Software- oder Hardwareprodukt, das eine direkte oder indirekte Datenverbindung zu einem Gerät oder Netzwerk herstellen kann. Diese Definition ist bewusst weit gefasst und erfasst ein breites Spektrum: Smart-Home-Geräte wie Thermostate, Türschlösser und Überwachungskameras fallen ebenso darunter wie industrielle Steuerungssysteme, Netzwerkkomponenten, Betriebssysteme, Browser und Passwortmanager. Auch reine Softwareprodukte ohne physische Hardware sind erfasst, sofern sie eine Netzwerkverbindung nutzen können. Nach Schätzungen der Europäischen Kommission in der Folgenabschätzung zum CRA sind Zehntausende von Produkttypen in der EU betroffen.
Die Verordnung unterscheidet drei Produktkategorien mit unterschiedlich strengen Anforderungen. Standardprodukte bilden die größte Kategorie und können vom Hersteller selbst bewertet werden. Die interne Kontrolle nach Anhang VIII ermöglicht eine Konformitätserklärung ohne externe Prüfung. Schätzungen zufolge fallen etwa 90 Prozent aller betroffenen Produkte in diese Kategorie. Wichtige Produkte der Klasse I und II sind in Anhang III aufgelistet und umfassen Router, Firewalls, VPN-Lösungen, Betriebssysteme sowie Identitätsmanagementsysteme. Für diese Produkte ist unter bestimmten Umständen die Einbindung einer notifizierten Stelle erforderlich.
Kritische Produkte sind in Anhang IV definiert und unterliegen den strengsten Anforderungen. Smartcards, sichere Elemente, Hardware-Sicherheitsmodule und intelligente Messsysteme müssen zwingend von einer notifizierten Stelle zertifiziert werden. Die Kategorisierung bestimmt den Aufwand der Konformitätsbewertung und damit auch die Kosten und Zeitplanung für Hersteller. Der Anhang IV wird von der Kommission regelmäßig überprüft und kann bei Bedarf erweitert werden. Ausgenommen vom CRA sind unter anderem Medizinprodukte, Fahrzeuge und bestimmte maritime Ausrüstung, die bereits sektorspezifischen Cybersicherheitsvorschriften unterliegen.
Wie viel Zeit bleibt bis zur Umsetzung?
Der CRA trat am 10. Dezember 2024 in Kraft, doch die Pflichten greifen gestaffelt. Die Meldepflichten für aktiv ausgenutzte Schwachstellen gelten bereits ab dem 11. September 2026. Ab diesem Datum müssen Hersteller aktiv ausgenutzte Sicherheitslücken innerhalb von 24 Stunden an ENISA und das zuständige nationale CSIRT melden. Diese frühe Frist gibt Herstellern Zeit, ihre internen Prozesse anzupassen, während das europaweite Meldesystem aufgebaut wird.
Die vollständige Anwendung aller Anforderungen beginnt am 11. Dezember 2027. Ab diesem Stichtag dürfen nur noch Produkte in Verkehr gebracht werden, die sämtliche Anforderungen des CRA erfüllen und eine gültige CE-Kennzeichnung tragen. Produkte, die vor diesem Datum auf dem Markt waren, genießen Bestandsschutz, solange sie nicht wesentlich verändert werden. Eine wesentliche Änderung löst jedoch eine Neubewertung aus und macht das Produkt zum Neuprodukt im Sinne der Verordnung. Hersteller müssen daher auch für bestehende Produktlinien prüfen, ob geplante Updates eine Neubewertung erfordern.
Die Europäische Kommission hat die Normungsorganisationen CEN, CENELEC und ETSI mit der Entwicklung harmonisierter Standards beauftragt. Die ersten Entwürfe der EN 40000-Normreihe wurden im Herbst 2025 veröffentlicht und decken grundlegende Sicherheitsanforderungen, Schwachstellenmanagement und Dokumentationspflichten ab. Industrievertreter kritisieren den ambitionierten Zeitplan: Die vollständige Abdeckung durch harmonisierte Standards ist erst Ende 2027 geplant, während die Pflichten bereits ab Dezember 2027 gelten. Diese Lücke zwischen Anforderungen und verfügbaren Standards stellt Hersteller vor praktische Herausforderungen bei der Nachweisführung.
Security-by-Design wird zur Pflicht
Der CRA verankert Security-by-Design als verbindliche Anforderung im europäischen Recht. Sicherheitsaspekte müssen von Anfang an in der Konzeptionsphase berücksichtigt werden, nicht als nachträgliche Ergänzung. Anhang I Teil I der Verordnung konkretisiert diese Anforderung: Produkte müssen so konzipiert sein, dass sie ein angemessenes Cybersicherheitsniveau gewährleisten. Das bedeutet sichere Standardkonfigurationen ohne voreingestellte Standardpasswörter, Zugangskontrolle mit angemessener Authentifizierung, Verschlüsselung bei der Datenübertragung und konsequente Minimierung der Angriffsfläche.
Besonders hervorzuheben ist die Pflicht zur Erstellung einer Software Bill of Materials (SBOM). Diese Stückliste dokumentiert alle Softwarekomponenten einschließlich Open-Source-Bibliotheken in einem maschinenlesbaren Format wie CycloneDX oder SPDX. Die SBOM muss den Marktüberwachungsbehörden auf Anfrage zur Verfügung gestellt werden und ist essentiell für die schnelle Reaktion auf neue Schwachstellen. Wird eine Sicherheitslücke in einer weit verbreiteten Bibliothek bekannt, ermöglicht die SBOM die sofortige Identifikation aller betroffenen Produkte im Portfolio.
Die Anforderungen in Anhang I umfassen weitere zentrale Aspekte: Produkte müssen die Integrität gespeicherter und übertragener Daten schützen, die Verfügbarkeit wesentlicher Funktionen gewährleisten und die Vertraulichkeit sensibler Daten sicherstellen. Zudem sind Schutzmaßnahmen gegen Denial-of-Service-Angriffe und die Minimierung der Auswirkungen von Sicherheitsvorfällen vorgeschrieben. Die Protokollierung sicherheitsrelevanter Ereignisse muss ermöglicht werden, und Nutzer müssen alle gespeicherten Daten sicher löschen können. Diese Anforderungen gelten produktübergreifend und müssen an die spezifische Risikolage des jeweiligen Produkts angepasst werden. Eine dokumentierte Risikobewertung ist daher für jedes Produkt erforderlich.
Was verlangt das Schwachstellenmanagement?
Der CRA fordert ein durchgängiges Schwachstellenmanagement über den gesamten Produktlebenszyklus. Der Support-Zeitraum muss sich an der erwarteten Nutzungsdauer orientieren und mindestens fünf Jahre betragen. Während dieser Zeit sind Hersteller verpflichtet, Sicherheitsupdates kostenlos und zeitnah bereitzustellen. Die Updates müssen separat von funktionalen Updates angeboten werden können, damit Nutzer Sicherheitskorrekturen installieren können, ohne andere Änderungen akzeptieren zu müssen. Diese Trennung ist besonders für industrielle Anwendungen relevant.
Die Meldepflichten bei aktiv ausgenutzten Schwachstellen sind gestaffelt und folgen einem Drei-Stufen-Modell. Innerhalb von 24 Stunden nach Kenntnisnahme muss eine Frühwarnung an ENISA und das zuständige nationale CSIRT erfolgen. Diese erste Meldung enthält grundlegende Informationen zur Schwachstelle und zur möglichen Ausnutzung. Innerhalb von 72 Stunden sind detaillierte Informationen über Art und Ausmaß der Schwachstelle nachzureichen, einschließlich betroffener Produktversionen. Nach spätestens 14 Tagen oder nach Verfügbarkeit eines Patches ist ein Abschlussbericht fällig, der die ergriffenen Maßnahmen dokumentiert.
Die Meldungen erfolgen über eine zentrale Plattform, die von ENISA betrieben wird. Diese Single Reporting Platform soll die europaweite Koordination bei Sicherheitsvorfällen verbessern und Doppelmeldungen an verschiedene nationale Behörden vermeiden. Die Plattform ermöglicht auch den sicheren Informationsaustausch zwischen nationalen CSIRTs. Die Meldepflichten gelten bereits ab September 2026 und damit über ein Jahr vor der vollständigen Anwendung des CRA. Hersteller müssen ihre internen Prozesse entsprechend frühzeitig anpassen und klare Verantwortlichkeiten für die Schwachstellenmeldung definieren.
Die Sanktionen sind erheblich
Der CRA sieht ein abgestuftes Sanktionssystem vor, das sich am Schweregrad des Verstoßes orientiert. Bei Verstößen gegen die grundlegenden Cybersicherheitsanforderungen in Anhang I drohen Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Diese Höchststrafen entsprechen dem Niveau der DSGVO und unterstreichen die Bedeutung, die der europäische Gesetzgeber der Produktsicherheit beimisst. Bei wiederholten Verstößen können die Sanktionen weiter verschärft werden.
Bei Verstößen gegen andere Pflichten wie Dokumentationsanforderungen oder Kennzeichnungspflichten sind Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes vorgesehen. Falsche oder unvollständige Angaben gegenüber notifizierten Stellen oder Marktüberwachungsbehörden können mit bis zu 5 Millionen Euro oder 1 Prozent des Umsatzes geahndet werden. Die konkreten Bußgeldrahmen werden durch die nationalen Umsetzungsgesetze der Mitgliedstaaten festgelegt, die Obergrenzen sind jedoch europaweit verbindlich.
Neben Bußgeldern verfügen die Marktüberwachungsbehörden über weitreichende Befugnisse. Sie können den Verkauf nicht-konformer Produkte einschränken oder vollständig untersagen und in schwerwiegenden Fällen einen Produktrückruf anordnen. Die Haftung erstreckt sich auf die gesamte Lieferkette: Hersteller tragen die Hauptverantwortung, doch auch Importeure und Händler haben Sorgfaltspflichten. Wer ein Produkt ohne gültige CE-Kennzeichnung in Verkehr bringt, kann ebenfalls zur Verantwortung gezogen werden.
Wie fügt sich der CRA in den Regulierungsrahmen?
Der CRA steht nicht isoliert, sondern ergänzt bestehende europäische Cybersicherheitsvorschriften zu einem kohärenten Rahmenwerk. Die NIS2-Richtlinie gilt seit Dezember 2025 und stellt Cybersicherheitsanforderungen an Betreiber kritischer Infrastrukturen und wichtiger Einrichtungen. Während NIS2 regelt, wer sicher sein muss (Organisationen), regelt der CRA, was sicher sein muss (Produkte). Diese Zweiteilung schafft Klarheit: Betreiber müssen sichere Produkte beschaffen, Hersteller müssen sichere Produkte liefern. Für betroffene Unternehmen bedeutet das: Sie müssen beide Regelwerke beachten und ihre Compliance-Bemühungen koordinieren.
Für bestimmte Produktkategorien gelten sektorspezifische Regelungen vorrangig. Die Medizinprodukteverordnung (MDR) erfasst Medizinprodukte mit eigenen Cybersicherheitsanforderungen. Die neue Maschinenverordnung enthält Vorgaben für Maschinen mit digitalen Elementen. Die UN-Regelung R155 gilt für vernetzte Fahrzeuge. Der CRA füllt die Lücken: Er gilt für alle vernetzten Produkte, die nicht bereits von anderen sektorspezifischen Cybersicherheitsvorschriften erfasst sind, und schafft so einen horizontalen Mindeststandard.
Die Verzahnung der Regelwerke schafft ein umfassendes Cybersicherheitsrecht für Europa. Der Cybersecurity Act von 2019 etablierte ENISA als zentrale Agentur und schuf den Rahmen für europäische Zertifizierungsschemata wie das EUCC für IT-Sicherheitsprodukte. Der CRA nutzt diese Infrastruktur und verweist für kritische Produkte auf bestehende Schemata. Diese Integration bedeutet, dass Unternehmen ihre CRA-Konformität in bestehende Compliance-Strukturen einbetten und Synergien zwischen verschiedenen Anforderungen nutzen können.
Fazit
Ich halte den Cyber Resilience Act für den bedeutendsten europäischen Regulierungsschritt in der Produktsicherheit seit Einführung der CE-Kennzeichnung. Die Verordnung verändert die Spielregeln grundlegend: Security-by-Design wird zur Pflicht, Schwachstellenmanagement zum Dauerthema, und die Nachweisführung erfordert neue Prozesse in Entwicklung und Betrieb. Die Anforderungen erstrecken sich über den gesamten Produktlebenszyklus, von der ersten Konzeption über den aktiven Betrieb bis zum Ende des festgelegten Support-Zeitraums.
Die sechs Erkenntnisse lassen sich in einem Satz zusammenfassen: Der CRA betrifft nahezu alle vernetzten Produkte, setzt ambitionierte Fristen bis 2027, macht Security-by-Design und SBOM zur Pflicht, verlangt aktives Schwachstellenmanagement mit gestaffelten Meldepflichten, sieht erhebliche Sanktionen vor und fügt sich in den bestehenden europäischen Regulierungsrahmen ein. Die Verordnung wird die Produktentwicklung in Europa nachhaltig verändern.
Wer heute Produkte mit digitalen Elementen entwickelt, importiert oder vertreibt, sollte umgehend mit der Vorbereitung beginnen. Die erste Priorität liegt auf der Kategorisierung der eigenen Produkte und der Gap-Analyse zu den Anforderungen in Anhang I. Die zweite Priorität ist der Aufbau eines Schwachstellenmanagements mit den erforderlichen Meldeprozessen, da diese Pflichten bereits ab September 2026 gelten. Die dritte Priorität betrifft die technische Dokumentation und die Vorbereitung der Konformitätsbewertung. Unternehmen sollten frühzeitig prüfen, ob ihre Produkte von notifizierten Stellen bewertet werden müssen, da deren Kapazitäten begrenzt sind. Die Zeit bis Dezember 2027 ist kürzer, als sie erscheint.
Wenn du tiefer in die Materie einsteigen möchtest, findest du in Teil 1 dieser Serie eine ausführliche Darstellung der rechtlichen Grundlagen, der betroffenen Wirtschaftsakteure und der Produktkategorien. Die weiteren Teile behandeln Security-by-Design, sichere Entwicklungsprozesse, Betrieb und Schwachstellenmanagement sowie die praktische Nachweisführung und Zertifizierung.
Quellenverzeichnis
[1] Europäische Union: Verordnung (EU) 2024/2847 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (Cyber Resilience Act), Amtsblatt der Europäischen Union, 20. November 2024.
[2] Europäische Kommission: Standardisierungsauftrag an CEN, CENELEC und ETSI zur Entwicklung harmonisierter Normen für den Cyber Resilience Act (M/606), angenommen am 3. April 2025.
[3] ENISA: Vulnerability Disclosure und Single Reporting Platform, European Union Agency for Cybersecurity, https://www.enisa.europa.eu/topics/vulnerability-disclosure, abgerufen Dezember 2025.
[4] Bundesamt für Sicherheit in der Informationstechnik: Technische Richtlinie TR-03183 Cyber-Resilienz-Anforderungen, BSI, 2024.
[5] CEN-CENELEC: EN 40000 Series Draft Standards for Cyber Resilience Act Compliance, European Committee for Standardization, 2025.
[6] Europäische Union: Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau (NIS2), Amtsblatt der Europäischen Union, 14. Dezember 2022.