Der Cyber Resilience Act (CRA) ist eine europäische Verordnung, die neue verbindliche Anforderungen an die Cybersicherheit von digitalen Produkten und Software festlegt. Ziel ist es, die Sicherheit entlang der gesamten Lieferkette zu stärken und Verbraucher sowie Unternehmen besser vor Cyberangriffen zu schützen.

Nächste BIHK-Webinare zum CRA

08.09.2026

Update Cyber Resilience Act: Ist Ihr Schwachstellenmanagement bereit für den CRA?

Der Cyber Resilience Act (CRA) bringt ab dem 11. September 2026 verbindliche Meldepflichten mit sich. In diesem Webinar erfahren Sie, welche Fristen gelten, welche Maßnahmen nun erforderlich sind und wie Sie Ihr Unternehmen strukturiert auf die neuen Vorgaben vorbereiten.

Übersicht

Aktueller Stand, 09.06.2026

In Arbeit ohne festen Termin:

Als deutsche Umsetzung mittels des "Gesetzes zur Durchführung der Verordnung (EU) 2024/2847 (Cyberresilienz-Verordnung)" liegt seit dem 01.05.2026 ein Regierungsentwurf vor, der u. a. von der IHK-Organisation kommentiert wurde. Weitere Informationen finden Sie hier: Rechtliche Grundlagen des Cyber Resilience

Feststehende Termine:

  • 11.06.2026: Konformitätsbewertungsstellen (KBS) können einen Antrag auf Notifizierung stellen. KBS sind unabhängige, staatlich benannte Prüfstellen, die eine zentrale Rolle bei der Umsetzung des Cyber Resilience Act spielen. Sie unterstützen dabei zu prüfen, ob ein Produkt die gesetzlichen Cybersicherheitsanforderungen erfüllt.

  • 11.09.2026: Meldepflicht für Schwachstellen und Sicherheitsvorfälle. Dazu baut die EU Agency for Cybersecurity (ENISA) die CRA Single Reporting Platform (SRP) als zentrale Meldeplattform auf.

  • 11.12.2027: Alle CRA-Anforderungen sind bei neuen Produkten eingehalten.

Rechtliche Grundlagen des Cyber Resilience Act (CRA)

Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die erstmals verbindliche Cybersicherheitsanforderungen für digitale Produkte europaweit harmonisiert. Er ist Teil der europäischen Cybersicherheitsstrategie und ergänzt bestehende Rechtsrahmen. Hier finden Sie den kompletten Verordnungstext "(EU) 2024/2847" vom 23.10.2024.

1. EU-Verordnung mit unmittelbarer Wirkung:

  • Der CRA ist eine EU-Verordnung (keine Richtlinie)
  • Gilt nach Inkrafttreten unmittelbar in allen Mitgliedstaaten, ohne nationale Umsetzung
  • Ziel: einheitliche Anforderungen im EU-Binnenmarkt und Vermeidung von Fragmentierung

2. Einordnung in den EU-Rechtsrahmen:

Der CRA steht im Kontext mehrerer bestehender Regelwerke:

  • NIS-2-Richtlinie: Fokus auf Sicherheit von Betreibern kritischer Dienste und Unternehmen
  • Produktsicherheitsrecht (z. B. CE-Kennzeichnung): CRA erweitert dieses um Cybersicherheitsanforderungen
  • EU Cybersecurity Act: Schafft Zertifizierungsrahmen – ergänzt den CRA, ersetzt ihn aber nicht
  • Datenschutzrecht (DSGVO): CRA adressiert primär Produktsicherheit, nicht Datenschutz – beide können parallel relevant sein

3. Geltungsbereich:

Der CRA gilt für Produkte mit digitalen Elementen, die in der EU bereitgestellt werdensowie Hersteller, Importeure und Händler (mit abgestuften Pflichten). Ausnahmen bestehen u. a. für Produkte mit sektoraler Spezialregulierung (z. B. Medizinprodukte, Luftfahrt).

4. Deutsche Umsetzung:

Die nationale Umsetzung umfasst organisatorische und rechtliche Ergänzungen auf nationaler Ebene, damit die Verordnung praktisch angewendet und durchgesetzt werden kann. Es geht also nicht um neue inhaltliche Regeln, sondern um die Rahmenbedingungen für die Anwendung.

Mit dem Gesetzesentwurf zur Durchführung der Verordnung (EU) 2024/2847(Cyberresilienz-Verordnung) soll dies für Deutschland geregelt werden. U.a. ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) als Marktüberwachungs- und als notifizierende Behörde tätig. Die IHK für München hat zur DIHK-Stellungnahme zugearbeitet.

Anbieter- / Herstellerunternehmen: Bin ich betroffen?

Als Anbieter bzw. Hersteller sind Sie vom Cyber Resilience Act betroffen, wenn Sie digitale Produkte in der EU in Verkehr bringen. Dazu zählen insbesondere:

  • Hardware mit digitalen Komponenten (z. B. IoT-Geräte, Maschinen mit vernetzter Steuerung)
  • Softwareprodukte (inkl. Embedded Software, Apps, Betriebssysteme)
  • Fernzugangslösungen, Cloud- oder Plattformkomponenten, sofern sie Teil eines Produkts sind

Auch Importeure und Händler sind betroffen, allerdings treffen Hersteller die umfangreichsten Pflichten. Ausgenommen sind nur wenige Produktkategorien (z. B. bereits streng regulierte Bereiche wie Medizinprodukte mit eigenen Regelwerken).

Was gilt für alte bzw. neue Produkte?

Entscheidenden ist, wann einzelne Produkte auf den EU‑Markt gebracht werden („placing on the market“). Daraus ergeben sich die Regeln:

  • Stichtag: 11. Dezember 2027:
    Ab diesem Datum müssen alle Produkte mit digitalen Elementen vollständig CRA‑konform sein. Unabhängig davon, wie alt das Produkt(design) ist.
  • Produkte vor 11.Dezember 2027 in Verkehr gebracht:
    Keine nachträgliche Pflicht zur vollständigen CRA-Compliance. Allerdings besteht ab dem 11. September 2026 die Meldepflicht.

Quelle: Artikel 69: "Übergangsbestimmungen" der CRA-Verordnung

Anbieter- / Herstellerunternehmen: Was muss ich tun? Wer hilft?

Für Anbieter bzw. Hersteller bedeutet der CRA einen deutlichen Ausbau der Verantwortung im Bereich IT-Sicherheit. Entscheidend ist, frühzeitig:

  • interne Prozesse anzupassen,
  • Zuständigkeiten (z. B. Security, Compliance) klar zu definieren,
  • und Cybersicherheit systematisch in Produktentwicklung und Betrieb zu verankern.

Unternehmen, die diese Anforderungen proaktiv umsetzen, profitieren nicht nur regulatorisch, sondern stärken auch Vertrauen, Wettbewerbsfähigkeit und Produktqualität.

Der CRA verlangt einen ganzheitlichen Sicherheitsansatz über den gesamten Produktlebenszyklus:

1. Sicherheit von Anfang an („Security by Design & by Default“)

  • Integration von Cybersicherheit bereits in der Entwicklung
  • Minimierung von Angriffsflächen und sichere Voreinstellungen
  • Dokumentierte Risikoanalysen

2. Konformitätsbewertung und CE-Kennzeichnung

  • Nachweis, dass das Produkt die CRA-Anforderungen erfüllt
  • Durchführung interner Prüfungen bzw. Einbindung externer Stellen (je nach Produktkritikalität)
  • Erstellung einer technischen Dokumentation

3. Schwachstellen- und Update-Management

  • Etablierung eines Prozesses zur Erkennung und Behebung von Sicherheitslücken
  • Bereitstellung von Sicherheitsupdates über einen definierten Zeitraum
  • Möglichkeit zur sicheren Installation von Updates für Kunden
  • Der CRA schreibt eine Software Bill of Materials (SBOM) nicht ausdrücklich vor. Inhaltlich verlangt er jedoch Transparenz über eingesetzte Softwarekomponenten. Eine SBOM – als strukturierte Liste aller enthaltenen Softwarebestandteile – ist ein geeignetes Instrument, um Risiken zu bewerten und Schwachstellen zu identifizieren.
    Das BSI hat dazu eine " Technical Guideline BSI TR-03183: Cyber Resilience Requirements for Manufacturers and Products - Part 2: Software Bill of Materials (SBOM)" veröffentlicht.

4. Meldepflichten

  • Aktiv ausgenutzte Schwachstellen und Sicherheitsvorfälle müssen an Behörden gemeldet werden (Fristen beachten)
  • Transparente Kommunikation gegenüber Nutzern

5. Informations- und Dokumentationspflichten

  • Bereitstellung verständlicher Informationen zur sicheren Nutzung
  • Beschreibung des Unterstützungszeitraums („Support Lifetime“)

Das BSI und die EU haben detaillierte Hilfestellungen dazu veröffentlicht.

Best-Practice Beispiele zum CRA

Einige Unternehmen wie Siemens oder Infineon informieren bereits transparent und öffentlich über ihre Ansätze zur Umsetzung des Cyber Resilience Act und zeigen, wie Cybersicherheit systematisch in Entwicklung und Produkte integriert werden kann.

Oberbayerische Unternehmen, die sich ebenfalls vorbildlich mit dem CRA auseinandersetzen oder entsprechende Aktivitäten sichtbar machen möchten, können sich gerne an uns wenden , um ihre Beispiele zu teilen und als Best Practice sichtbar zu werden.

Anwenderunternehmen: Bin ich betroffen?

Der CRA stärkt die IT-Sicherheit von Produkten, entbindet Anwender jedoch nicht von ihrer Verantwortung. Auch wenn sich die rechtlichen Pflichten primär an Hersteller richten, sind Unternehmen als Anwender indirekt betroffen, da sie den sicheren Einsatz der Produkte gewährleisten müssen.

Was bedeutet das konkret für Anwender?

Auswahl sicherer Produkte

  • Achten Sie beim Einkauf auf CRA-konforme Produkte (z. B. CE-Kennzeichnung, Sicherheitsinformationen)
  • Berücksichtigen Sie Sicherheitsanforderungen bereits im Beschaffungsprozess
  • Fordern Sie transparente Angaben zur Update- und Supportdauer

2. Updates und Patchmanagement

  • Installieren Sie Sicherheitsupdates zeitnah
  • Etablieren Sie Prozesse für ein strukturiertes Patchmanagement
  • Überwachen Sie End-of-Life-Zeiträume, um unsichere Produkte rechtzeitig abzulösen

3. Sicherer Betrieb

  • Nutzen Sie sichere Konfigurationen („Hardening“) statt unsicherer Werkseinstellungen
  • Einschränkung von Zugriffsrechten und Einsatz geeigneter Authentifizierung
  • Integration in bestehende IT-Sicherheitskonzepte (z. B. Netzsegmentierung)

4. Umgang mit Sicherheitsmeldungen

5. Zusammenarbeit mit Herstellern und Dienstleistern

  • Klären Sie Zuständigkeiten für Updates und Betrieb (z. B. bei ausgelagerten IT-Services)
  • Nutzen Sie Support- und Meldewege der Hersteller bei Sicherheitsvorfällen

FAQs: Was Unternehmen zum CRA wissen müssen

Der Cyber Resilience Act (CRA) ist eine EU‑Verordnung, die verbindliche Cybersicherheitsanforderungen für digitale Produkte und Software einführt. Ziel ist es, die Sicherheit in der gesamten Lieferkette zu erhöhen und Nutzer besser vor Cyberangriffen zu schützen.

Vom Cyber Resilience Act (CRA) betroffen sind vor allem Hersteller, Importeure und Händler von digitalen Produkten und Software. Dazu zählen sowohl Unternehmen, die Produkte entwickeln, als auch solche, die sie in der EU vertreiben. Indirekt profitieren auch Verbraucher und Unternehmen, da sie sicherere Produkte erhalten.

Für Anbieter- und Herstellerunternehmen bringt der CRA verbindliche Cybersicherheitsanforderungen mit sich. Sie müssen sicherstellen, dass ihre Produkte bereits bei der Entwicklung sicher gestaltet sind („Security by Design“), Schwachstellen überwachen und beheben sowie regelmäßige Updates bereitstellen. Zudem gelten Meldepflichten für Sicherheitsvorfälle und Anforderungen an Transparenz gegenüber Nutzern.

Für IT‑Anwender gelten keine direkten Pflichten aus dem CRA. Indirekt profitieren sie jedoch von sichereren Produkten, regelmäßigen Updates und mehr Transparenz über Schwachstellen. Gleichzeitig sollten sie bereitgestellte Sicherheitsupdates nutzen und grundlegende IT‑Sicherheitsmaßnahmen beachten.