Digitale Produkte durchziehen heute alle Lebensbereiche: Von Software und Betriebssystemen über Smartphones, Router bis hin zu Smart-Home-Geräten, Wearables und Chipkarten – sie sind unverzichtbare Bausteine unseres Alltags und der modernen Wirtschaft. Mit dieser wachsenden Bedeutung steigt jedoch auch die Angriffsfläche für Cyberkriminelle. Für Angreifer eröffnen sich damit Einfallstore – in private Haushalte wie auch kritische Unternehmenssysteme.
Genau hier setzt der Cyber Resilience Act (CRA) an: Die EU verschärft branchenübergreifend die Anforderungen an die IT-Sicherheit von Produkten mit digitalen Elementen. Hersteller, Importeure und Händler müssen sich auf deutlich strengere Cybersicherheitsanforderungen vorbereiten. Ausgenommen sind lediglich Produkte, die bereits speziellen EU-Regelungen unterliegen, etwa in der Medizin- oder Luftfahrttechnik, sowie Ersatzteile und Prototypen.
Die Regelungen betreffen den gesamten Produktlebenszyklus: von der Entwicklung über die Bereitstellung bis zur laufenden Wartung. Auch sind neue Dokumentations- und Meldepflichten zu erfüllen. Betroffene Unternehmen stehen damit vor einem umfassenden neuen Pflichtenkonvolut, das eine sorgfältige Prüfung und Anpassung ihrer Produkte und Prozesse erfordert. Wer frühzeitig agiert, verschafft sich einen Marktvorteil, indem er das Vertrauen von Kunden und Geschäftspartnern stärkt.
Was Unternehmen konkret erwartet
- Kernstück des CRA ist "secure by design and by default": Cybersicherheit muss beginnend von der Produktentwicklung über den gesamten Lebenszyklus hinweg berücksichtigt werden. Dazu gehören unter anderem sichere Standardkonfigurationen, laufendes Schwachstellenmanagement sowie die Pflicht, Sicherheitsupdates zumindest für fünf Jahre bereitzustellen.
- Hersteller haben EU-Konformitätserklärungen über die CRA-Konformität ihrer Produkte auszustellen mit anschließender CE-Zertifizierung und -Kennzeichnung. Für wichtige Produkte wie zB Betriebssysteme, Smart Home Geräte mit Sicherheitsfunktionen, Wearables sowie kritische Produkte wie zB Smart Meter Gateways und Chipkarten gelten striktere Vorschriften.
- Der CRA normiert zudem Pflichten für die Sicherheit der Lieferkette: Hersteller müssen ihre Zulieferer prüfen und technische Dokumentation – etwa in Form einer Software Bill of Materials (SBOM) – bereitstellen können.
- Bei Schwachstellen bestehen unter gewissen Voraussetzungen Melde- und Veröffentlichungspflichten. Die Fristen sind sehr kurz: Die Erstmeldung muss bereits binnen 24 Stunden erfolgen. Ohne sorgfältige Vorbereitung können diese de facto nicht eingehalten werden.
- Außerdem haben Unternehmen Informations- und Anleitungspflichten gegenüber den Nutzern zu erfüllen.
Digital Product Compliance
Der CRA ist ein weiteres Puzzleteil in der zunehmend komplexen Digital Product Compliance, die unter anderem auch den Data und AI Act, DORA sowie NIS-2 umfassen kann. Während NIS-2 – bzw DORA für Finanzunternehmen und IKT-Drittdienstleister – die Cybersicherheit des gesamten Unternehmens adressiert, liegt der Fokus des CRA auf der Produktsicherheit. Für (künftige) NIS-2 Verpflichtete ergeben sich verschiedene Wechselwirkungen. Unter anderem unterstützen CRA-konforme zertifizierte Produkte dabei, die Sicherheit der Lieferkette als Teil des Risikomanagements nach NIS-2 zu belegen.
Stufenweise Umsetzung
Die Pflichten werden gestaffelt scharf gestellt. Ab 11.9.2026 greift die Meldepflicht, dann folgen die restlichen Bedingungen:
Handlungsbedarf
Mit Blick auf den Umfang der neuen Pflichten ist wesentlich, dass Unternehmen nun zeitnahe ihre CRA-Compliance prüfen und notwendige Anpassungen umsetzen. Dies auch im Hinblick auf die potentiellen Strafen bei Verstößen. Hier drohen – ähnlich wie bei NIS-2 – hohe Geldbußen: Für schwerwiegende Verstöße (zB Nichteinhaltung zentraler Cybersicherheits- oder Meldepflichten) bis zu EUR 15 Mio oder 2,5% des weltweiten Umsatzes; für sonstige Verstöße bis zu EUR 10/5 Mio oder 2/1% des weltweiten Umsatzes (je nachdem was höher ist). Daneben greift auch hier wieder das Gesetz gegen unlauteren Wettbewerb, wenn man sich nicht an die Regeln hält.
Was jetzt zu tun ist:
Unsere DORDA Experten unterstützen Sie gerne mit Ihrer Praxiserfahrung und halten Sie zu den weiteren Entwicklungen auf dem Laufenden.