Aktueller Stand, 01.06.2026

In Arbeit ohne festen Termin:

Als deutsche Umsetzung mittels des "Gesetzes zur Durchführung der Verordnung (EU) 2024/2847 (Cyberresilienz-Verordnung)" liegt seit dem 01.05.2026 ein Regierungsentwurf vor, der u. a. von der IHK-Organisation kommentiert wurde. siehe unten "Rechtliche Grundlagen des Cyber Resilience"

Feststehende Termine:

• 11.06.2026: Konformitätsbewertungsstellen (KBS) können einen Antrag auf Notifizierung stellen. KBS sind unabhängige, staatlich benannte Prüfstellen, die eine zentrale Rolle bei der Umsetzung des Cyber Resilience Act spielen. Sie unterstützen dabei zu prüfen, ob ein Produkt die gesetzlichen Cybersicherheitsanforderungen erfüllt.
  
• 11.09.2026: Meldepflicht für Schwachstellen und Sicherheitsvorfälle
  Dazu baut die EU Agency for Cybersecurity (ENISA) die " CRA Single Reporting Platform (SRP)" als zentrale Meldeplattform auf.
  
• 11.12.2027: Alle CRA-Anforderungen sind bei neuen Produkten eingehalten.

Rechtliche Grundlagen des Cyber Resilience Act (CRA)

Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die erstmals verbindliche Cybersicherheitsanforderungen für digitale Produkte europaweit harmonisiert. Er ist Teil der europäischen Cybersicherheitsstrategie und ergänzt bestehende Rechtsrahmen. Den kompletten Verordnungstext "(EU) 2024/2847" vom 23.10.2024 finden Sie hier.

1. EU-Verordnung mit unmittelbarer Wirkung:

• Der CRA ist eine EU-Verordnung (keine Richtlinie)
• Gilt nach Inkrafttreten unmittelbar in allen Mitgliedstaaten, ohne nationale Umsetzung
• Ziel: einheitliche Anforderungen im EU-Binnenmarkt und Vermeidung von Fragmentierung
  

2. Einordnung in den EU-Rechtsrahmen:
Der CRA steht im Kontext mehrerer bestehender Regelwerke:

• NIS-2-Richtlinie: Fokus auf Sicherheit von Betreibern kritischer Dienste und Unternehmen
• Produktsicherheitsrecht (z. B. CE-Kennzeichnung): CRA erweitert dieses um Cybersicherheitsanforderungen
• EU Cybersecurity Act: Schafft Zertifizierungsrahmen – ergänzt den CRA, ersetzt ihn aber nicht
• Datenschutzrecht (DSGVO): CRA adressiert primär Produktsicherheit, nicht Datenschutz – beide können parallel relevant sein

3. Geltungsbereich:
Der CRA gilt für:

• Produkte mit digitalen Elementen, die in der EU bereitgestellt werden
• Hersteller, Importeure und Händler (mit abgestuften Pflichten)

Ausnahmen bestehen u. a. für:

• Produkte mit sektoraler Spezialregulierung (z. B. Medizinprodukte, Luftfahrt)

4. Deutsche Umsetzung:
Die nationale Umsetzung umfasst organisatorische und rechtliche Ergänzungen auf nationaler Ebene, damit die Verordnung praktisch angewendet und durchgesetzt werden kann. Es geht also nicht um neue inhaltliche Regeln, sondern um die Rahmenbedingungen für die Anwendung.
Mit dem Gesetzesentwurf zur Durchführung der Verordnung (EU) 2024/2847 (Cyberresilienz-Verordnung) soll dies für Deutschland geregelt werden. U. a. ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) als Marktüberwachungsbehörde und als notifizierende Behörde tätig werden. Die IHK für München hat zur DIHK-Stellungnahme zugearbeitet.

Herstellerunternehmen: Bin ich betroffen?

Als Hersteller sind Sie vom Cyber Resilience Act betroffen, wenn Sie digitale Produkte in der EU in Verkehr bringen. Dazu zählen insbesondere:

• Hardware mit digitalen Komponenten (z. B. IoT-Geräte, Maschinen mit vernetzter Steuerung)
• Softwareprodukte (inkl. Embedded Software, Apps, Betriebssysteme)
• Fernzugangslösungen, Cloud- oder Plattformkomponenten, sofern sie Teil eines Produkts sind

Auch Importeure und Händler sind betroffen, allerdings treffen Hersteller die umfangreichsten Pflichten. Ausgenommen sind nur wenige Produktkategorien (z. B. bereits streng regulierte Bereiche wie Medizinprodukte mit eigenen Regelwerken).

Herstellerunternehmen: Was muss ich tun? Wer hilft?

Für Hersteller bedeutet der CRA einen deutlichen Ausbau der Verantwortung im Bereich IT-Sicherheit. Entscheidend ist, frühzeitig:

• interne Prozesse anzupassen,
• Zuständigkeiten (z. B. Security, Compliance) klar zu definieren,
• und Cybersicherheit systematisch in Produktentwicklung und Betrieb zu verankern.

Unternehmen, die diese Anforderungen proaktiv umsetzen, profitieren nicht nur regulatorisch, sondern stärken auch Vertrauen, Wettbewerbsfähigkeit und Produktqualität.

Der CRA verlangt einen ganzheitlichen Sicherheitsansatz über den gesamten Produktlebenszyklus:

1. Sicherheit von Anfang an („Security by Design & by Default“)

• Integration von Cybersicherheit bereits in der Entwicklung
• Minimierung von Angriffsflächen und sichere Voreinstellungen
• Dokumentierte Risikoanalysen

2. Konformitätsbewertung und CE-Kennzeichnung

• Nachweis, dass das Produkt die CRA-Anforderungen erfüllt
• Durchführung interner Prüfungen bzw. Einbindung externer Stellen (je nach Produktkritikalität)
• Erstellung einer technischen Dokumentation

3. Schwachstellen- und Update-Management

• Etablierung eines Prozesses zur Erkennung und Behebung von Sicherheitslücken
• Bereitstellung von Sicherheitsupdates über einen definierten Zeitraum
• Möglichkeit zur sicheren Installation von Updates für Kunden
• Der CRA schreibt eine Software Bill of Materials (SBOM) nicht ausdrücklich vor. Inhaltlich verlangt er jedoch Transparenz über eingesetzte Softwarekomponenten. Eine SBOM – als strukturierte Liste aller enthaltenen Softwarebestandteile – ist ein geeignetes Instrument, um Risiken zu bewerten und Schwachstellen zu identifizieren.

4. Meldepflichten

• Aktiv ausgenutzte Schwachstellen und Sicherheitsvorfälle müssen an Behörden gemeldet werden (Fristen beachten)
• Transparente Kommunikation gegenüber Nutzern

5. Informations- und Dokumentationspflichten

• Bereitstellung verständlicher Informationen zur sicheren Nutzung
• Beschreibung des Unterstützungszeitraums („Support Lifetime“)

Das BSI und die EU haben detaillierte Hilfestellungen dazu veröffentlicht.

Anwenderunternehmen: Bin ich betroffen?

Der CRA stärkt die IT-Sicherheit von Produkten, entbindet Anwender jedoch nicht von ihrer Verantwortung. Auch wenn sich die rechtlichen Pflichten primär an Hersteller richten, sind Unternehmen als Anwender indirekt betroffen, da sie den sicheren Einsatz der Produkte gewährleisten müssen.

Was bedeutet das konkret für Anwender?

Auswahl sicherer Produkte

• Achten Sie beim Einkauf auf CRA-konforme Produkte (z. B. CE-Kennzeichnung, Sicherheitsinformationen)
• Berücksichtigen Sie Sicherheitsanforderungen bereits im Beschaffungsprozess
• Fordern Sie transparente Angaben zur Update- und Supportdauer

2. Updates und Patchmanagement

• Installieren Sie Sicherheitsupdates zeitnah
• Etablieren Sie Prozesse für ein strukturiertes Patchmanagement
• Überwachen Sie End-of-Life-Zeiträume, um unsichere Produkte rechtzeitig abzulösen

3. Sicherer Betrieb

• Nutzen Sie sichere Konfigurationen („Hardening“) statt unsicherer Werkseinstellungen
• Einschränkung von Zugriffsrechten und Einsatz geeigneter Authentifizierung
• Integration in bestehende IT-Sicherheitskonzepte (z. B. Netzsegmentierung)

4. Umgang mit Sicherheitsmeldungen

• Beobachten Sie aktiv Sicherheitswarnungen der Hersteller
• Reagieren Sie zeitnah auf bekannt gewordene Schwachstellen
• Dokumentieren Sie Maßnahmen im Rahmen Ihres Risikomanagements

5. Zusammenarbeit mit Herstellern und Dienstleistern

• Klären Sie Zuständigkeiten für Updates und Betrieb (z. B. bei ausgelagerten IT-Services)
• Nutzen Sie Support- und Meldewege der Hersteller bei Sicherheitsvorfällen