European Cyber Resilience Act: Was Unternehmen jetzt tun müssen

Neue Regularien, viele Unsicherheiten: Herausforderungen des CRA

Die Timeline für den Cyber Resilience Act steht:  

• Ab dem 11.09.2026 greift die Meldepflicht für Schwachstellen und Vorfälle. Die ENISA (European Network and Information Security Agency) muss informiert werden.
• Ab dem 11.12.2027 greift der EU CRA vollumfänglich für alle Unternehmen, die Produkte mit digitalen Elementen im Binnenmarkt der EU herstellen, handeln oder in Verkehr bringen.

Erfüllen Produkte nicht die Anforderungen, drohen insbesondere Bußgelder, Produktrückrufe oder der Ausschluss des Produktes vom EU-Binnenmarkt. Viele betroffene Unternehmen stellt das vor Herausforderungen, denn sie haben …

… Kapazitätsdefizite: Insbesondere kleine und mittlere Unternehmen (KMUs) verfügen häufig nicht über die personellen Ressourcen für die Umsetzung der CRA-Anforderungen. In einer europaweiten Befragung (Ensuring Cybersecurity Compliance: Assessing SME Awareness and Preparedness for the Cyber Resilience Act) von 416 KMUs waren lediglich 12,3 % mit dem Cyber Resilience Act vertraut.

… ein geringes Maß an Cybersicherheit von Produkten mit digitalen Elementen: Bislang gibt es keine durchgängigen Regeln für die Cybersicherheit von Produkten mit digitalen Elementen. Produkte werden dadurch mit bekannten Schwachstellen auf den Markt gebracht oder nicht ausreichend über ihren Produktlebenszyklus geschützt. Hauptursachen sind mangelhafte technische Umsetzungen, unzureichendes Schwachstellenmanagement, ungeregelte Supportzeiträume und fehlende Verantwortlichkeiten.

… mangelnde Informationsflüsse für betroffene Nutzer:innen: Bei Sicherheitslücken und -Vorfällen mangelt es oft an entsprechenden Informationszugängen und Sicherheitsupdates für Nutzer:innen. Kommunikationskanäle, über die Unternehmen mit Kund:innen sprechen können, müssen häufig erst noch etabliert werden. Der CRA verpflichtet Unternehmen, Sicherheitsupdates bereitzustellen und Kund:innen über Vorfälle zu informieren. 

Das bedeutet der CRA für Sie: Pflichten – CE-Kennzeichnung – Reporting

Was sieht die Verordnung vor? Welche Pflichten, Vorgaben und Verantwortlichkeiten gelten? Das lesen Sie jetzt.

Pflichten für Hersteller, Händler und Einführer

Der CRA verpflichtet Wirtschaftsakteure wie Hersteller, Händler und Einführer von Produkten mit digitalen Elementen dazu, einheitliche Vorgaben zur Cybersicherheit sicherzustellen.

• Hersteller müssen technische Anforderungen bei der Entwicklung berücksichtigen (Stichwort: Security by Design), Risiken bewerten und dokumentieren (auch für Drittkomponenten). Außerdem müssen sie Sicherheitsupdates und Schwachstellenmanagement über den gesamten Supportzeitraum sicherstellen. Für die Erlangung der CE-Kennzeichnung von Produkten mit digitalen Elementen müssen nun zusätzliche Cybersecurity-Anforderungen im Zuge des CRAs umgesetzt werden.  
• Händler dürfen nur Produkte mit digitalen Elementen auf den EU-Binnenmarkt bringen, die eine CE-Kennzeichnung besitzen und somit die einhergehenden CRA-Anforderungen umgesetzt haben. Sie müssen prüfen, ob der Hersteller die Vorgaben erfüllt hat, die Konformität und Unterlagen verfügbar halten sowie Behörden bei Schwachstellen oder Risiken informieren.
• Einführer müssen sicherstellen, dass alle vorgeschriebenen Angaben vorliegen, Produkte mit Sicherheitsmängeln vom Markt fernhalten und im Fall von Veränderungen am Produkt die Herstellerpflichten übernehmen.

CRA und CE-Kennzeichnung

Um weiterhin die Anforderungen für die CE-Kennzeichnung zu erfüllen (oder anbringen zu dürfen), müssen Wirtschaftsakteure zusätzlich nachweisen, dass sie die grundlegenden Cybersicherheitsanforderungen des CRAs erfüllen, ein Konformitätsbewertungsverfahren durchlaufen haben und das Produkt ohne bekannte ausnutzbare Schwachstellen auf dem Markt bereitgestellt worden ist.

Bedeutung für den Produktzyklus

Der CRA verlangt von Wirtschaftsakteuren mehr Verantwortung und Transparenz und stellt klar: Cybersicherheit endet nicht mit dem Verkaufsstart eines Produkts. Es gilt, Produkte mit digitalen Elementen so zu konzipieren, zu entwickeln und zu warten, dass sie während des gesamten Lebenszyklus Cyberresilienz aufweisen. Unternehmen müssen Risiken und Schwachstellen bereits in der Entwicklung systematisch bewerten und minimieren sowie für die erwartete Nutzungsdauer regelmäßig Sicherheitsupdates bereitstellen. Für alle Produkte gilt dabei ein Mindestzeitraum für Sicherheitsupdates von fünf Jahre.

Zentrale Regeln und Vorgaben des EU CRA fürs Reporting

Der EU CRA verpflichtet Hersteller, Händler und Einführer auch zu umfangreichen Berichtspflichten und stellt klare Regeln für die Marktaufsicht und Sanktionen auf. Diese besagen unter anderem:

• Hersteller müssen schwerwiegende Sicherheitsvorfälle melden
  Sicherheitslücken und aktiv ausgenutzte Schwachstellen müssen Hersteller innerhalb von 24 Stunden über eine einheitliche Meldeplattform an das zuständige CSIRT und die ENISA melden. Nach 72 Stunden müssen zudem (auch an die Nutzer:innen) allgemeine Informationen über die Art der Ausnutzung, die betroffene Schwachstelle und Korrektur-, Risikominderungs- oder Abhilfemaßnahmen gegeben werden. Nach 14 Tagen ist zudem ein finaler Bericht zu dem Vorfall verpflichtend.
• Konformitätsverfahren müssen durchlaufen werden
  Bevor Produkte mit digitalen Elementen auf den EU-Markt gebracht werden, müssen Hersteller ein Konformitätsbewertungsverfahren durchführen. Je nach Produktklasse kommen unterschiedliche Verfahren zum Einsatz – von der internen Kontrolle bis zur umfassenden externen Qualitätssicherung. Die EU strebt dabei einheitliche europäische Richtlinien an.
• Nationale Behörden übernehmen die Überwachung
  Marktüberwachungsbehörden der EU-Mitgliedstaaten kontrollieren die Einhaltung der CRA-Verordnung koordiniert und kontinuierlich über sogenannte „Sweeps“. Sie arbeiten eng mit CSIRTs und ENISA zusammen. Bei Verstößen können sie Hersteller auffordern, Maßnahmen zu ergreifen. Notfalls dürfen sie Produkte vom Markt nehmen oder zurückrufen.
• Bei Verstößen gegen zentrale Pflichten drohen Sanktionen
  Erfüllen Unternehmen die Anforderungen nicht, müssen sie mit empfindlichen Geldbußen rechnen. Diese können bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes betragen.

Einstufung der Produkte mit digitalen Elementen gemäß dem EU Cyber Resilience Act

Produkte mit digitalen Elementen werden gemäß unterschiedlicher Produktkategorien, zum Beispiel Mikrocontroller oder Identitätssysteme, kategorisiert. Die folgende Einstufung entscheidet, welches Konformitätsbewertungsverfahren zum Einsatz kommt:

1. Wichtige Produkte mit digitalen Elementen – Klasse I erbringen sicherheitsrelevante Funktionen, die sich auf andere Produkte, Netzwerke oder Dienste auswirken können. Dazu gehören beispielsweise Passwortmanager, VPN-Software oder Smart-Home-Produkte. Hersteller müssen die grundlegenden Anforderungen aus Anhang I des CRAs erfüllen und die Konformitätsbewertung darf unter bestimmten Umständen per Selbstbewertung erfolgen.
2. Wichtige Produkte mit digitalen Elementen – Klasse II haben bei Sicherheitsvorfällen erhebliche Auswirkungen auf andere Systeme, Dienste oder Nutzer:innen. Zu den typischen Produkten zählen Firewalls, Mikroprozessoren und -controller oder Hypervisoren. Die Konformitätsbewertung muss bei diesen Produkten entweder durch eine benannte Stelle oder durch eine Zertifizierung gemäß einem europäischen Cybersicherheit-Zertifizierungs-Schema (sofern verfügbar) erfolgen.
3. Kritische Produkte mit digitalen Elementen werden in Infrastrukturen oder Umgebungen eingesetzt, die besonders sensibel sind. Beispiele sind Smart-Meter-Gateways, Sicherheitschips oder Hardware mit sicherheitskritischen Steuerungsfunktionen. Für diese Produkte ist eine verpflichtende Zertifizierung nach einem europäischen Cybersicherheit-Zertifizierungs-Schema (sofern verfügbar) vorgeschrieben.
4. Produkte, die nicht unter die Einstufung gemäß Anhang III und IV der Verordnung fallen (beispielsweise einfache Internet-of-Things-Geräte oder standardisierte Softwarelösungen ohne kritische Funktionen), müssen trotzdem die grundlegenden Cybersicherheitsanforderungen des CRAs erfüllen. Die Konformitätsbewertung erfolgt in der Regel durch eine interne Kontrolle.

Verlassen Sie sich auf Erfahrung: Expertenunterstützung beim EU Cyber Resilience Act

Die Anforderungen des CRAs sind komplex. Umso wichtiger ist es, die regulatorischen Herausforderungen frühzeitig, strategisch und ganzheitlich anzugehen. Wir unterstützen Unternehmen bei der End-to-End-Umsetzung des CRAs und greifen dabei auf unsere tiefgehende Erfahrung rund ums Thema Regulierungen zurück. Wir haben Unternehmen bereits bei komplexen Anforderungen rund um UNECE R155/156, den EU Data Act oder den AI Act erfolgreich unterstützt. Wir begleiten Sie von der strategischen Bewertung über die technische Umsetzung bis hin zur Schulung, Dokumentation und zum Betrieb. Dabei verfolgen wir einen strukturierten, dreistufigen Ansatz.

Phase 1: Überprüfen, was notwendig ist

Im ersten Schritt analysieren wir den Status quo Ihres Unternehmens und Ihrer Produkte hinsichtlich der Anforderungen des CRAs. Gemeinsam klären wir, welche Anforderungen der CRA konkret an Ihr Unternehmen stellt – abhängig von Ihrer Rolle als Hersteller, Einführer oder Händler. Wir identifizieren relevante Produkte und stufen Ihre Produkte mit digitalen Elementen gemäß der Produktkategorien des CRAs ein.

Phase 2: Festlegen, was getan werden muss

Im Anschluss führen wir eine Gap-Analyse und einen CRA Readiness Check durch. Wir prüfen, inwiefern Ihre technischen und organisatorischen Maßnahmen bereits mit den Anforderungen des CRAs übereinstimmen. Dafür mappen wir bestehende Prozesse, identifizieren Lücken und ermitteln den Handlungsbedarf. Das Ergebnis ist eine maßgeschneiderte Roadmap, die als Umsetzungsplan für die nächste Phase dient.

Phase 3: Umsetzen, was Sie weiterbringt

Auf dieser Basis führen wir die Implementierung und Operationalisierung aller erforderlichen Maßnahmen durch. Dabei geht es nicht nur um technische Anpassungen, sondern auch um den Aufbau notwendiger Fähigkeiten, Rollen und Prozesse im Unternehmen. Wir entwickeln mit Ihnen einen Rolloutplan, begleiten Sie durch die Konformitätsbewertung und -verfahren und stellen sicher, dass Cyberresilienz in Ihren regulären Geschäftsbetrieb übergeht.

Sichern Sie Ihr Unternehmen ab – mit nachhaltiger Cybersicherheit

Unternehmen, die Produkte mit digitalen Elementen herstellen, handeln oder in Verkehr bringen, müssen jetzt handeln. Der CRA verlangt die Umsetzung grundlegender Anforderungen an die Cybersicherheit über den gesamten Produktlebenszyklus hinweg. Wenn Sie mit Ihrem Unternehmen die Anforderungen der Verordnung früh angehen, senken Sie Risiken wie Rückrufe, Bußgelder oder Marktausschlüsse.

MHP begleitet Sie auf diesem Weg – End-to-End. Gemeinsam schaffen wir die Strukturen, mit denen Ihr Unternehmen nicht nur compliant, sondern auch zukunftssicher wird. Lassen Sie sich jetzt beraten. 

Disclaimer: Diese Darstellungen zum EU Cyber Resilience Act dienen ausschließlich der allgemeinen Information und stellen keine Rechtsberatung dar. Sie können eine rechtliche Beratung im Einzelfall daher nicht ersetzen. Trotz sorgfältiger Erstellung übernehmen wir keine Gewähr für Vollständigkeit, Aktualität und Richtigkeit.​