Cyber Resilience Act: Die nächste Compliance-Welle rollt an

Die DSGVO, NIS2 oder der AI Act beschäftigen uns als Dauerbrenner. Doch es kommt bereits die nächste Welle auf uns zu. Der Cyber Resilience Act (CRA). Warum Unternehmen den CRA jetzt auf dem Schirm haben sollten und was diese europäische Verordnung bereits jetzt verändert, zeigen wir Ihnen in diesem Beitrag.

IOT Devices Smarthome

Warum braucht es diese neue EU-Verordnung?

Die Anzahl der Cyberangriffe in Europa nimmt immer weiter zu. Im Jahr 2025 sind die Angriffe um knapp 45 % angestiegen. Interessant ist dabei, dass hierbei vermehrt mittelständische Unternehmen im Visier der Angreifer stehen und vernetzte Produkte sowie Software dabei zunehmend zum Einfallstor für Angreifer werden. Diese Entwicklung ist vor allem deshalb kritisch, weil mittelständische Unternehmen häufig Teil komplexer Lieferketten sind. Ein erfolgreicher Angriff auf ein einzelnes Unternehmen kann dadurch Auswirkungen auf Kunden, Dienstleister, Partner und sogar kritische Infrastrukturen haben. Gleichzeitig werden Angriffe professioneller. Cyberkriminelle nutzen arbeitsteilige Geschäftsmodelle, Ransomware-as-a-Service, gestohlene Zugangsdaten, automatisierte Angriffswerkzeuge und zunehmend künstliche Intelligenz, um Phishing-Kampagnen glaubwürdiger, schneller und schwerer erkennbar zu machen.

Auf diese Entwicklung hat die Europäische Union mit dem Cyber Resilience Act (kurz CRA) reagiert. Während die DSGVO den Datenschutz im europäischen Raum verbindlich gemacht hat, hebt der CRA die Cybersicherheit digitaler Produkte auf eine neue regulatorische Ebene. Er macht Cybersicherheit erstmals mit einem weitreichenden Ansatz zu einer gesetzlichen Pflicht für Produkte mit digitalen Elementen. Durch diese breite Ausgestaltung des CRA kann die Verordnung mehr Unternehmen betreffen als zunächst angenommen.

Der CRA ist eine EU-Verordnung. Das bedeutet: Er gilt unmittelbar in allen Mitgliedstaaten und muss nicht erst durch nationale Gesetze umgesetzt werden. Die Verordnung ist am 10.12.2024 in Kraft getreten. Die wesentlichen Pflichten gelten nach einer Übergangszeit ab dem 11.12.2027. Bestimmte Pflichten greifen jedoch bereits ab dem 11.09.2026. Dazu zählen die Meldepflichten von Herstellern für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle. Hersteller müssen in solchen Fällen innerhalb von 24 Stunden eine erste Meldung gegenüber der zuständigen Stelle abgeben.

Damit ist der CRA für Unternehmen kein Zukunftsthema mehr. Viele Produkte, die ab Dezember 2027 verkauft oder in Verkehr gebracht werden sollen, befinden sich bereits heute in Entwicklung, im Einkauf oder in laufenden Vertragsbeziehungen.

 

Was macht den CRA besonders?

Besonders am CRA ist, dass er weltweit die erste horizontale und damit breit angelegte Rechtsnorm ist, die verbindliche Cybersicherheitsstandards für sogenannte Produkte mit digitalen Elementen festlegt. Er beschränkt sich nicht auf einzelne Sektoren oder kritische Infrastrukturen, sondern erfasst grundsätzlich eine sehr breite Produktpalette.

Die größten Ziele des CRA sind:

  • die Cybersicherheit von Produkten mit digitalen Elementen in der EU über den kompletten Produktlebenszyklus zu verbessern,
  • den Verbraucherschutz durch Transparenz über Cyberrisiken von Produkten zu verbessern,
  • einen einheitlichen und risikobasierten Ordnungsrahmen schaffen.

 

Wer ist vom CRA betroffen?

Der CRA richtet sich nicht nur an klassische Softwarehersteller. Betroffen sein können alle Wirtschaftsakteure, die Produkte mit digitalen Elementen entwickeln, herstellen, importieren, vertreiben, verändern oder unter eigenem Namen auf dem EU-Markt bereitstellen. Dazu gehören insbesondere: Hersteller vernetzter Produkte, Softwareanbieter, Hardwarehersteller, Anbieter von Embedded Systems, Maschinen- und Anlagenbauer mit digitalen Schnittstellen, Importeure und Händler.

Gerade für mittelständische Unternehmen ist dieser Punkt wichtig. Ein Unternehmen muss nicht „IT-Unternehmen“ im klassischen Sinne sein, um vom CRA betroffen zu sein. Auch ein Maschinenbauer, der Produkte mit Fernwartung, Sensorik, Steuerungssoftware oder Netzwerkschnittstellen vertreibt, kann unter den CRA fallen. Ebenso können Unternehmen betroffen sein, die Softwarekomponenten oder digitale Module in eigene Produkte integrieren.

 

Was ist ein „Produkt mit digitalen Elementen“?

Der CRA spricht von Produkten mit digitalen Elementen. Darunter fallen vereinfacht gesagt Software- und Hardwareprodukte sowie zugehörige Datenfernverarbeitungslösungen, wenn diese für die Funktion des Produkts erforderlich sind. Dazu gehören vernetzte Geräte, IoT-Produkte, Embedded Systems, Automatisierungstechnik, Maschinen mit digitalen Schnittstellen sowie Software- und Hardwarekomponenten.

Konkrete Beispiele können sein:

Smart Devices, Drucker, Router, Industrieanlagen mit digitaler Steuerung, IoT-Sensoren, Automatisierungstechnik, Desktop- oder Mobilgeräte, Netzwerkmanagementsoftware, Betriebssysteme, Softwareprodukte, eingebettete Systeme oder Produkte mit Cloud-Anbindung und vieles mehr.

 

Welche Pflichten kommen auf Unternehmen zu?

Der CRA verlangt nicht nur eine technische Einzelmaßnahme, sondern ein ganzes System an Produkt-Cybersicherheit. Unternehmen müssen Cybersicherheit von Anfang an in Entwicklung, Design, Betrieb und Support einplanen.

Dazu gehören insbesondere Risikoanalysen, sichere Produktarchitektur, Schwachstellenmanagement, strukturierte Update-Prozesse, technische Dokumentation, Konformitätsbewertung, EU-Konformitätserklärung, CE-Kennzeichnung, Informationspflichten gegenüber Nutzern und der Marktaufsichtsbehörde.

Ein weiterer zentraler Punkt ist die Software-Lieferkette. Viele Produkte bestehen heute aus einer Vielzahl externer Komponenten, Bibliotheken, Open-Source-Bestandteilen, Cloud-Diensten und Zuliefermodulen. Der CRA erhöht daher den Druck, diese Bestandteile zum Beispiel durch Software Bills of Materials und Sicherheitsanforderungen transparent zu machen und zu bewerten. 

 

Open Source: nicht automatisch ausgenommen

Ein besonders spannender Punkt ist der Umgang mit Open Source. Viele Softwareprodukte enthalten Open-Source-Komponenten. Der CRA bezieht sich grundsätzlich auf kommerzielle Produkte. Das bedeutet: Nicht jede private oder nicht kommerzielle Open-Source-Komponente fällt automatisch unter den CRA.

Anders kann es jedoch aussehen, wenn Open-Source-Software in ein kommerzielles Produkt integriert und auf den Markt gebracht wird. Dann liegt die Verantwortung regelmäßig beim Hersteller dieses Produkts. Dieser kann seine Verantwortung nicht einfach auf die Open-Source-Community abwälzen. 

Neu ist zudem die Rolle des Open-Source-Software-Steward. Darunter können juristische Personen fallen, die Open-Source-Projekte systematisch und nachhaltig unterstützen, insbesondere wenn diese für kommerzielle Aktivitäten bestimmt sind. Auch hier kommt es stark auf die konkrete Rolle, den Zweck und das Geschäftsmodell an.

Für Unternehmen bedeutet das: Open Source bleibt nutzbar, aber nicht ohne Kontrolle. Wer Open Source in eigenen Produkten verwendet, muss wissen, welche Komponenten eingesetzt werden, welche Schwachstellen bekannt sind, wie Updates erfolgen und wie Risiken dokumentiert werden.

 

Warum der CRA mehr ist als nur Compliance

Auf den ersten Blick wirkt der CRA wie eine weitere regulatorische Pflicht. Tatsächlich kann er aber ein Wettbewerbsvorteil sein. Unternehmen, die Cybersicherheit frühzeitig in ihre Produktentwicklung integrieren, schaffen Vertrauen bei Kunden, Partnern und Aufsichtsbehörden. Gerade in B2B-Beziehungen wird nachweisbare Produktsicherheit immer wichtiger.

Wer dagegen erst kurz vor Ende der Übergangsfrist startet, riskiert Zeitdruck, Vertragsprobleme, teure Nachbesserungen und im schlimmsten Fall Einschränkungen beim Marktzugang. Denn ab dem 11.12.2027 dürfen betroffene Produkte nur noch dann neu auf den EU-Markt gebracht werden, wenn sie die CRA-Anforderungen erfüllen. Verstöße können sehr empfindliche Bußgelder, Rückrufpflichten und den Verlust der CE-Kennzeichnung nach sich ziehen. 

 

Was Unternehmen jetzt tun sollten

Unternehmen sollten den CRA nicht als reines Rechtsprojekt betrachten. Durch den produktbezogenen Ansatz betrifft er Produktentwicklung, Informationssicherheit, Einkauf, Qualitätsmanagement, Compliance, Legal, Vertrieb, Lieferantenmanagement und Geschäftsführung.

Erste sinnvolle Schritte können sein:

  1. Betroffenheit klären: Für Unternehmen kann es daher sinnvoll sein, frühzeitig eine strukturierte erste Einordnung vorzunehmen. Ein hilfreicher Ausgangspunkt ist die Frage, ob eigene Produkte überhaupt in den Anwendungsbereich des CRA fallen. Eine Betroffenheitsanalyse bietet hierfür einen pragmatischen Einstieg und schafft Klarheit darüber, ob und in welchem Umfang Handlungsbedarf bestehen könnte. Unsere hierfür konzipierte Betroffenheitsanalyse zur ersten Einordnung finden Sie hier: CRA-Betroffenheit prüfen
  2. Bestandsaufnahme durchführen: Ergibt sich daraus eine mögliche Betroffenheit, empfiehlt sich im nächsten Schritt eine Bestandsaufnahme der vorhandenen Produkte mit digitalen Elementen. Auf dieser Grundlage lässt sich besser bewerten, welche Produktgruppen, Prozesse, Lieferantenbeziehungen oder Entwicklungsphasen vom CRA berührt sein können.
  3. Verantwortlichkeiten einordnen: Ebenso hilfreich ist es, frühzeitig die relevanten internen Ansprechpartner einzubinden. Da der CRA unterschiedliche Fachbereiche betrifft, kann eine klare Zuordnung von Rollen und Verantwortlichkeiten dabei unterstützen, die weiteren Schritte effizient und koordiniert anzugehen.
  4. Soll-Ist-Abgleich vornehmen: Darauf aufbauend kann eine Gap-Analyse Orientierung geben, welche Anforderungen bereits ganz oder teilweise erfüllt werden und wo noch Anpassungsbedarf besteht. So entsteht eine belastbare Grundlage, um sich schrittweise mit Themen wie Konformitätsbewertung, Dokumentationspflichten, Schwachstellenmanagement und Meldeprozessen auseinanderzusetzen.

Eine frühzeitige Einordnung hilft Unternehmen, Risiken realistisch einzuschätzen, bestehende Strukturen zu nutzen und notwendige Maßnahmen planbar umzusetzen.

 

Fazit

Der Cyber Resilience Act markiert einen Wendepunkt: Cybersicherheit wird für digitale Produkte zu einer verbindlichen Voraussetzung für den europäischen Markt. Die EU reagiert damit auf eine Bedrohungslage, in der Cyberangriffe professioneller, automatisierter und wirtschaftlich folgenreicher werden.

Für Unternehmen bedeutet der CRA Aufwand, aber auch eine Chance. Wer frühzeitig beginnt, sein Produktportfolio zu prüfen, Lieferketten transparent zu betrachten, Schwachstellenmanagement aufzubauen und Security by Design in Entwicklung und Betrieb zu verankern, reduziert nicht nur Compliance-Risiken. Er stärkt auch die Qualität, Vertrauenswürdigkeit und Zukunftsfähigkeit seiner Produkte.

Der CRA ist damit nicht nur ein weiteres Gesetz. Er ist ein Signal: Digitale Produkte müssen nicht nur funktionieren. Sie müssen auch sicher sein.

 

 

Autor

Markus Vatter, Head of Compliance, 03.06.2026

Andere interessante Artikel

Alle ansehen
Cyber Resilience Act
Checkliste CRA Betroffenheitsanalyse

Wenn Sie frühzeitig eine CRA-Betroffenheitsanalyse durchführen, erhalten Sie schnell einen ersten Überblick, ob Ihr Produkt unter die Anforderungen des Cyber Resilience Act fallen könnte. Nutzen Sie unsere Checkliste.

Download
image
Gesetzliche Änderungen 2026

Der Jahreswechsel 2026 bringt zahlreiche gesetzliche Neuerungen mit sich. Besonders prägend sind die Weiterentwicklungen im europäischen Digital‑, Datenschutz‑ und Cybersicherheitsrecht. Der folgende Beitrag bietet einen kompakten, praxisnahen Überblick über die wichtigsten gesetzlichen Änderungen im Jahr 2026. 

Sprechen Sie mit unseren Experten.

Wir beraten Sie gerne und freuen uns auf Ihre Fragen.

To build Software

that people love to use.

+49 (0) 7121 68 08 49-0
mail@bitbasegroup.com
Am Heilbrunnen 47
D-72766 Reutlingen

Berichten Sie uns von Ihren Erfahrungen mit der bbg bitbase group

TopConsultant 2022
kununu
charta der vielfalt
ratiopharm