Mit dem Cyber Resilience Act (CRA) schafft die EU erstmals einen einheitlichen Rechtsrahmen für die Cybersicherheit vernetzter Produkte. Ziel: Hersteller in die Pflicht nehmen – und Anwender*innen besser schützen.

Was ist der Cyber Resilience Act?

Der CRA ist eine neue EU-Verordnung und gilt für Produkte mit digitalen Elementen, also Hard- und Software, die direkt oder indirekt mit anderen Geräten oder Netzwerken verbunden sind, vom Smart-Home-Gerät bis zur industriellen Steuerungstechnik – ausgenommen sind jedoch einige spezifisch geregelte Produkte wie medizinische Geräte, die bereits unter sektorspezifische Sicherheitsvorgaben fallen. Hersteller, Importeure und Händler müssen künftig sicherstellen, dass ihre Produkte grundlegende Anforderungen an Cybersicherheit erfüllen – über den gesamten Lebenszyklus hinweg.

Die endgültige Fassung des Cyber Resilience Act wurde im März 2024 vom Europäischen Parlament verabschiedet. Die formale Veröffentlichung im EU-Amtsblatt und das Inkrafttreten werden für Mitte 2025 erwartet – mit einer Übergangsfrist von 36 Monaten.

Warum ist das wichtig?

Unsere Welt wird zunehmend digital und vernetzt – und damit auch anfälliger für Cyberangriffe. Viele Produkte, von Druckern über Kameras bis hin zu medizinischen Geräten, sind heute online verbunden. Eine einzige Schwachstelle in einem solchen Gerät kann große Schäden verursachen – sowohl bei Unternehmen als auch bei Privatpersonen.

2016 nutzten Hacker hunderttausende vernetzte Geräte – darunter Kameras, Drucker und Router – um massive DDoS-Angriffe (Distributed Denial of Service) durchzuführen. Einer der bekanntesten Angriffe legte große Teile des Internets in den USA lahm, darunter Dienste wie Twitter, Netflix und PayPal.

Der CRA will genau das verhindern, indem er Sicherheitsanforderungen bereits in der Entwicklungsphase („Security by Design“) und regelmäßige Updates während der Nutzung verbindlich vorschreibt.

Was bedeutet das für Unternehmen?

Vor allem Hersteller, aber auch Software-Entwickler und Importeure, müssen künftig:

  • Risiken analysieren und dokumentieren,
  • Sicherheitsfunktionen integrieren (z.B. Authentifizierung, Verschlüsselung),
  • Schwachstellenmanagement betreiben (inkl. Meldung an Behörden wie ENISA & nationale Behörden innerhalb von 24h erforderlich),
  • sicherheitsrelevante Software-Updates und Patches zeitnah und für eine definierte Dauer bereitzustellen – abhängig von der erwartbaren Lebensdauer des Produkts.

Verstöße können zu hohen Bußgeldern führen – bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes.

Auch Einkäufer und Betreiber digitaler Systeme sollten künftig genau prüfen: Produkte, die unter den CRA fallen, müssen künftig mit einer CE-Kennzeichnung versehen sein, die bestätigt, dass sie den Cybersicherheitsanforderungen entsprechen, sonst dürfen diese bald nicht mehr in der EU verkauft werden.

Fazit: Zwischen Sicherheitsschub und Compliance-Stress

Mit dem Cyber Resilience Act schafft die EU einen verpflichtenden Sicherheitsstandard für digitale Produkte – vom Design bis zur Auslieferung.
Cybersicherheit ist künftig keine Option mehr – sondern gesetzliche Pflicht.

Für Organisationen bedeutet das: Rechtzeitig vorbereiten, Prozesse anpassen und Sicherheitsaspekte in Produktentwicklung und Einkauf integrieren.

So entsteht langfristig ein sichereres digitales Ökosystem – für alle Beteiligten.

Sind Ihre Produkte CRA-bereit? Nutzen Sie die Übergangsfrist, um Ihre Cybersicherheitsstrategie zukunftssicher aufzustellen. Gerne unterstützen wir Sie bei der Analyse, Planung und Umsetzung – sprechen Sie uns an!

Bildnachweis: (C) Yvonne Oster, Glöckner & Schuhwerk, KI generiert