Jump to content

Cyberangriffe auf Produkte mit digitalen Elementen stellen eine Bedrohung für die Sicherheit und in manchen Fällen für die Gesundheit der Nutzer:innen dar. Manipulationen oder Ausfälle solcher Produkte können dazu führen, dass deren Funktionalität eingeschränkt wird oder sie sogar gefährlich werden. Besonders betroffen sind dabei Produkte, die im Alltag oder in sicherheitskritischen Bereichen eingesetzt werden – von vernetzten Haushaltsgeräten bis hin zu ganzen Produktionsketten. Der European Cyber Resilience Act (CRA) vereinheitlicht vor diesem Hintergrund Regeln zur Cybersicherheit von Produkten mit digitalen Elementen in der Europäischen Union. Diese sollen ein grundlegendes Cybersicherheitsniveau für diese Produkte in der EU und dem EU-Binnenmarkt gewährleisten. Aktuelle Probleme in diesem Kontext sind unter anderem:

  • Die Cybersicherheit in der Entwicklung, der Produktion und bei der Verwendung von digitalen Elementen ist unzureichend. ​Im Industriesektor dauert es laut IBM Cost of a Data Breach Report 2024 im Schnitt 199 Tage bis zur Identifizierung eines Datenlecks und weitere 73 Tage bis zur Behebung.
  • Viele Produkte mit digitalen Elementen weisen bekannte Schwachstellen auf und ein funktionierendes Schwachstellenmanagement fehlt häufig. Laut dem Data Breach Investigations Report 2025 von Verizon nutzen 20 % aller Angreifer bekannte Schwachstellen aus.
  • Über Vorfälle sowie die dazu bereitgestellten vorübergehenden Lösungen oder Behebungen besteht oftmals keine ausreichende Transparenz.
  • Strukturen für Reportings bei einem Sicherheitsvorfall sind mangelhaft oder gar nicht vorhanden.
  • Sicherheitsaktualisierungen zur Behebung von Schwachstellen werden häufig nicht in ausreichendem Maße bereitgestellt.

Das ändert der CRA: Die EU-Verordnung verpflichtet Unternehmen, Cybersicherheit als festen Bestandteil jedes Produkts mit digitalen Elementen umzusetzen – über den gesamten Produktlebenszyklus.

European Cyber Resilience Act: Eine kurze Übersicht 
Die Regulation (EU) 2024/2847 of the European Parliament and of the Council of 23 October 2024 on horizontal cybersecurity requirements for products with digital elements and amending Regulations (EU) No 168/2013 and (EU) 2019/1020 and Directive (EU) 2020/1828 (Cyber Resilience Act) – der eigentliche Name des EU Cyber Resilience Acts – bezieht sich auf alle Produkte mit digitalen Elementen, die direkt oder indirekt mit anderen Geräten, Netzwerken oder Diensten kommunizieren, also eine Datenfernverarbeitung nutzen. Dazu gehören beispielsweise Identitätsmanagementsysteme, Smart-Meter-Gateways, Mikroprozessoren und Mikrocontroller. Produkte, die ihre Funktion nur über eine Cloud-Anbindung erfüllen – wie vernetzte Maschinen oder mobile Apps –, können ebenfalls darunter fallen. Wenn in diesem Artikel von Produkten mit digitalen Elementen die Rede ist, sind damit Software- oder Hardwareprodukte mit Datenfernverarbeitungslösungen gemeint. Ausgenommen sind hierbei unter anderem Medizinprodukte, Produkte für Verteidigungszwecke und Systeme und Bauteile, die unter die Typgenehmigung von Kraftfahrzeugen fallen.

Neue Regularien, viele Unsicherheiten: Herausforderungen des CRA

Die Timeline für den Cyber Resilience Act steht:  

  • Ab dem 11.09.2026 greift die Meldepflicht für Schwachstellen und Vorfälle. Die ENISA (European Network and Information Security Agency) muss informiert werden.
  • Ab dem 11.12.2027 greift der EU CRA vollumfänglich für alle Unternehmen, die Produkte mit digitalen Elementen im Binnenmarkt der EU herstellen, handeln oder in Verkehr bringen.

Erfüllen Produkte nicht die Anforderungen, drohen insbesondere Bußgelder, Produktrückrufe oder der Ausschluss des Produktes vom EU-Binnenmarkt. Viele betroffene Unternehmen stellt das vor Herausforderungen, denn sie haben …

Kapazitätsdefizite: Insbesondere kleine und mittlere Unternehmen (KMUs) verfügen häufig nicht über die personellen Ressourcen für die Umsetzung der CRA-Anforderungen. In einer europaweiten Befragung (Ensuring Cybersecurity Compliance: Assessing SME Awareness and Preparedness for the Cyber Resilience Act) von 416 KMUs waren lediglich 12,3 % mit dem Cyber Resilience Act vertraut.

ein geringes Maß an Cybersicherheit von Produkten mit digitalen Elementen: Bislang gibt es keine durchgängigen Regeln für die Cybersicherheit von Produkten mit digitalen Elementen. Produkte werden dadurch mit bekannten Schwachstellen auf den Markt gebracht oder nicht ausreichend über ihren Produktlebenszyklus geschützt. Hauptursachen sind mangelhafte technische Umsetzungen, unzureichendes Schwachstellenmanagement, ungeregelte Supportzeiträume und fehlende Verantwortlichkeiten.

mangelnde Informationsflüsse für betroffene Nutzer:innen: Bei Sicherheitslücken und -Vorfällen mangelt es oft an entsprechenden Informationszugängen und Sicherheitsupdates für Nutzer:innen. Kommunikationskanäle, über die Unternehmen mit Kund:innen sprechen können, müssen häufig erst noch etabliert werden. Der CRA verpflichtet Unternehmen, Sicherheitsupdates bereitzustellen und Kund:innen über Vorfälle zu informieren. 

Das bedeutet der CRA für Sie: Pflichten – CE-Kennzeichnung – Reporting

Was sieht die Verordnung vor? Welche Pflichten, Vorgaben und Verantwortlichkeiten gelten? Das lesen Sie jetzt.

Pflichten für Hersteller, Händler und Einführer

Der CRA verpflichtet Wirtschaftsakteure wie Hersteller, Händler und Einführer von Produkten mit digitalen Elementen dazu, einheitliche Vorgaben zur Cybersicherheit sicherzustellen.

  • Hersteller müssen technische Anforderungen bei der Entwicklung berücksichtigen (Stichwort: Security by Design), Risiken bewerten und dokumentieren (auch für Drittkomponenten). Außerdem müssen sie Sicherheitsupdates und Schwachstellenmanagement über den gesamten Supportzeitraum sicherstellen. Für die Erlangung der CE-Kennzeichnung von Produkten mit digitalen Elementen müssen nun zusätzliche Cybersecurity-Anforderungen im Zuge des CRAs umgesetzt werden.  
  • Händler dürfen nur Produkte mit digitalen Elementen auf den EU-Binnenmarkt bringen, die eine CE-Kennzeichnung besitzen und somit die einhergehenden CRA-Anforderungen umgesetzt haben. Sie müssen prüfen, ob der Hersteller die Vorgaben erfüllt hat, die Konformität und Unterlagen verfügbar halten sowie Behörden bei Schwachstellen oder Risiken informieren.
  • Einführer müssen sicherstellen, dass alle vorgeschriebenen Angaben vorliegen, Produkte mit Sicherheitsmängeln vom Markt fernhalten und im Fall von Veränderungen am Produkt die Herstellerpflichten übernehmen.

CRA und CE-Kennzeichnung

Um weiterhin die Anforderungen für die CE-Kennzeichnung zu erfüllen (oder anbringen zu dürfen), müssen Wirtschaftsakteure zusätzlich nachweisen, dass sie die grundlegenden Cybersicherheitsanforderungen des CRAs erfüllen, ein Konformitätsbewertungsverfahren durchlaufen haben und das Produkt ohne bekannte ausnutzbare Schwachstellen auf dem Markt bereitgestellt worden ist.

Bedeutung für den Produktzyklus

Der CRA verlangt von Wirtschaftsakteuren mehr Verantwortung und Transparenz und stellt klar: Cybersicherheit endet nicht mit dem Verkaufsstart eines Produkts. Es gilt, Produkte mit digitalen Elementen so zu konzipieren, zu entwickeln und zu warten, dass sie während des gesamten Lebenszyklus Cyberresilienz aufweisen. Unternehmen müssen Risiken und Schwachstellen bereits in der Entwicklung systematisch bewerten und minimieren sowie für die erwartete Nutzungsdauer regelmäßig Sicherheitsupdates bereitstellen. Für alle Produkte gilt dabei ein Mindestzeitraum für Sicherheitsupdates von fünf Jahre.

Zentrale Regeln und Vorgaben des EU CRA fürs Reporting

Der EU CRA verpflichtet Hersteller, Händler und Einführer auch zu umfangreichen Berichtspflichten und stellt klare Regeln für die Marktaufsicht und Sanktionen auf. Diese besagen unter anderem:

  • Hersteller müssen schwerwiegende Sicherheitsvorfälle melden
    Sicherheitslücken und aktiv ausgenutzte Schwachstellen müssen Hersteller innerhalb von 24 Stunden über eine einheitliche Meldeplattform an das zuständige CSIRT und die ENISA melden. Nach 72 Stunden müssen zudem (auch an die Nutzer:innen) allgemeine Informationen über die Art der Ausnutzung, die betroffene Schwachstelle und Korrektur-, Risikominderungs- oder Abhilfemaßnahmen gegeben werden. Nach 14 Tagen ist zudem ein finaler Bericht zu dem Vorfall verpflichtend.
  • Konformitätsverfahren müssen durchlaufen werden
    Bevor Produkte mit digitalen Elementen auf den EU-Markt gebracht werden, müssen Hersteller ein Konformitätsbewertungsverfahren durchführen. Je nach Produktklasse kommen unterschiedliche Verfahren zum Einsatz – von der internen Kontrolle bis zur umfassenden externen Qualitätssicherung. Die EU strebt dabei einheitliche europäische Richtlinien an.
  • Nationale Behörden übernehmen die Überwachung
    Marktüberwachungsbehörden der EU-Mitgliedstaaten kontrollieren die Einhaltung der CRA-Verordnung koordiniert und kontinuierlich über sogenannte „Sweeps“. Sie arbeiten eng mit CSIRTs und ENISA zusammen. Bei Verstößen können sie Hersteller auffordern, Maßnahmen zu ergreifen. Notfalls dürfen sie Produkte vom Markt nehmen oder zurückrufen.
  • Bei Verstößen gegen zentrale Pflichten drohen Sanktionen
    Erfüllen Unternehmen die Anforderungen nicht, müssen sie mit empfindlichen Geldbußen rechnen. Diese können bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes betragen.

Einstufung der Produkte mit digitalen Elementen gemäß dem EU Cyber Resilience Act

Produkte mit digitalen Elementen werden gemäß unterschiedlicher Produktkategorien, zum Beispiel Mikrocontroller oder Identitätssysteme, kategorisiert. Die folgende Einstufung entscheidet, welches Konformitätsbewertungsverfahren zum Einsatz kommt:

  1. Wichtige Produkte mit digitalen Elementen – Klasse I erbringen sicherheitsrelevante Funktionen, die sich auf andere Produkte, Netzwerke oder Dienste auswirken können. Dazu gehören beispielsweise Passwortmanager, VPN-Software oder Smart-Home-Produkte. Hersteller müssen die grundlegenden Anforderungen aus Anhang I des CRAs erfüllen und die Konformitätsbewertung darf unter bestimmten Umständen per Selbstbewertung erfolgen.
  2. Wichtige Produkte mit digitalen Elementen – Klasse II haben bei Sicherheitsvorfällen erhebliche Auswirkungen auf andere Systeme, Dienste oder Nutzer:innen. Zu den typischen Produkten zählen Firewalls, Mikroprozessoren und -controller oder Hypervisoren. Die Konformitätsbewertung muss bei diesen Produkten entweder durch eine benannte Stelle oder durch eine Zertifizierung gemäß einem europäischen Cybersicherheit-Zertifizierungs-Schema (sofern verfügbar) erfolgen.
  3. Kritische Produkte mit digitalen Elementen werden in Infrastrukturen oder Umgebungen eingesetzt, die besonders sensibel sind. Beispiele sind Smart-Meter-Gateways, Sicherheitschips oder Hardware mit sicherheitskritischen Steuerungsfunktionen. Für diese Produkte ist eine verpflichtende Zertifizierung nach einem europäischen Cybersicherheit-Zertifizierungs-Schema (sofern verfügbar) vorgeschrieben.
  4. Produkte, die nicht unter die Einstufung gemäß Anhang III und IV der Verordnung fallen (beispielsweise einfache Internet-of-Things-Geräte oder standardisierte Softwarelösungen ohne kritische Funktionen), müssen trotzdem die grundlegenden Cybersicherheitsanforderungen des CRAs erfüllen. Die Konformitätsbewertung erfolgt in der Regel durch eine interne Kontrolle.

Verlassen Sie sich auf Erfahrung: Expertenunterstützung beim EU Cyber Resilience Act

Die Anforderungen des CRAs sind komplex. Umso wichtiger ist es, die regulatorischen Herausforderungen frühzeitig, strategisch und ganzheitlich anzugehen. Wir unterstützen Unternehmen bei der End-to-End-Umsetzung des CRAs und greifen dabei auf unsere tiefgehende Erfahrung rund ums Thema Regulierungen zurück. Wir haben Unternehmen bereits bei komplexen Anforderungen rund um UNECE R155/156, den EU Data Act oder den AI Act erfolgreich unterstützt. Wir begleiten Sie von der strategischen Bewertung über die technische Umsetzung bis hin zur Schulung, Dokumentation und zum Betrieb. Dabei verfolgen wir einen strukturierten, dreistufigen Ansatz.

Phase 1: Überprüfen, was notwendig ist

Im ersten Schritt analysieren wir den Status quo Ihres Unternehmens und Ihrer Produkte hinsichtlich der Anforderungen des CRAs. Gemeinsam klären wir, welche Anforderungen der CRA konkret an Ihr Unternehmen stellt – abhängig von Ihrer Rolle als Hersteller, Einführer oder Händler. Wir identifizieren relevante Produkte und stufen Ihre Produkte mit digitalen Elementen gemäß der Produktkategorien des CRAs ein.

Phase 2: Festlegen, was getan werden muss

Im Anschluss führen wir eine Gap-Analyse und einen CRA Readiness Check durch. Wir prüfen, inwiefern Ihre technischen und organisatorischen Maßnahmen bereits mit den Anforderungen des CRAs übereinstimmen. Dafür mappen wir bestehende Prozesse, identifizieren Lücken und ermitteln den Handlungsbedarf. Das Ergebnis ist eine maßgeschneiderte Roadmap, die als Umsetzungsplan für die nächste Phase dient.

Phase 3: Umsetzen, was Sie weiterbringt

Auf dieser Basis führen wir die Implementierung und Operationalisierung aller erforderlichen Maßnahmen durch. Dabei geht es nicht nur um technische Anpassungen, sondern auch um den Aufbau notwendiger Fähigkeiten, Rollen und Prozesse im Unternehmen. Wir entwickeln mit Ihnen einen Rolloutplan, begleiten Sie durch die Konformitätsbewertung und -verfahren und stellen sicher, dass Cyberresilienz in Ihren regulären Geschäftsbetrieb übergeht.

Sichern Sie Ihr Unternehmen ab – mit nachhaltiger Cybersicherheit

Unternehmen, die Produkte mit digitalen Elementen herstellen, handeln oder in Verkehr bringen, müssen jetzt handeln. Der CRA verlangt die Umsetzung grundlegender Anforderungen an die Cybersicherheit über den gesamten Produktlebenszyklus hinweg. Wenn Sie mit Ihrem Unternehmen die Anforderungen der Verordnung früh angehen, senken Sie Risiken wie Rückrufe, Bußgelder oder Marktausschlüsse.

MHP begleitet Sie auf diesem Weg – End-to-End. Gemeinsam schaffen wir die Strukturen, mit denen Ihr Unternehmen nicht nur compliant, sondern auch zukunftssicher wird. Lassen Sie sich jetzt beraten. 

Disclaimer: Diese Darstellungen zum EU Cyber Resilience Act dienen ausschließlich der allgemeinen Information und stellen keine Rechtsberatung dar. Sie können eine rechtliche Beratung im Einzelfall daher nicht ersetzen. Trotz sorgfältiger Erstellung übernehmen wir keine Gewähr für Vollständigkeit, Aktualität und Richtigkeit.​

FAQs

Was ist der European Cyber Resilience Act?

Der European Cyber Resilience Act (EU CRA oder CRA) ist eine EU-Verordnung, die erstmals einheitliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt. Sie verpflichtet Hersteller, Händler und Einführer dazu, IT-Sicherheit über den gesamten Produktlebenszyklus hinweg zu gewährleisten.

Was ist der Unterschied zwischen NIS2 und dem European Cyber Resilience Act?

NIS2 ist eine EU-Richtlinie und richtet sich an Betreiber wesentlicher und wichtiger Einrichtungen mit gesellschaftlicher und wirtschaftlicher Bedeutung (darunter auch kritische Infrastrukturen) und verpflichtet diese zu Maßnahmen im Bereich Cybersicherheit und Vorfallmanagement. Der CRA betrifft Produkte mit digitalen Elementen und deren Cybersicherheit über den gesamten Produktlebenszyklus. Die Anforderungen aus dem CRA werden in Zukunft auch eine Voraussetzung für eine CE-Kennzeichnung sein.

Welche Produkte sind vom European Cyber Resilience Act betroffen?

Der CRA gilt für nahezu alle Hardware- und Softwareprodukte mit digitalen Elementen. Dazu zählen beispielsweise smarte Geräte, Betriebssysteme, Sicherheitssoftware oder Kommunikationskomponenten. Ausgenommen sind Produkte, die bereits unter spezielle EU-Regulierungen fallen, wie beispielsweise Medizinprodukte.

Muss jedes Produkt gemäß European Cyber Resilience Act neu zertifiziert werden?

Nein. Die Anforderungen hängen von der Einstufung gemäß dem Cybersicherheitsrisiko des Produkts ab: Für viele reicht eine interne Konformitätsbewertung, für wichtige oder kritische Produkte ist jedoch ein externes Verfahren oder, sofern verfügbar, ein europäisches Schema zur Cybersicherheitszertifizierung verpflichtend.

Welchen Zeitplan sieht der European Cyber Resilience Act vor?

Der European Cyber Resilience Act ist am 10.12.2024 in Kraft getreten. Nach einer Übergangsfrist gelten die Anforderungen grundsätzlich ab dem 11.12.2027 verbindlich für alle neu in Verkehr gebrachten Produkte. Insbesondere die Meldepflicht für Schwachstellen und Vorfälle greift aber schon ab dem 11.09.2026. Hersteller müssen dann bestimmte Arten von Sicherheitsvorfällen und aktiv ausgenutzte Schwachstellen an die zuständigen Behörden (z. B. CSIRT) melden.

Über unsere Autorin:

Ein "Better tomorrow" geht nicht ohne:

das mutige Annehmen neuer Technologien – immer in Balance mit Sicherheit und menschlichem Urteilsvermögen.

Mein Herz schlägt schneller für…:

die Neugier auf Neues und den Zusammenhalt in einem starken Team.

Kitty Wanke, DFS

Senior Manager

Über unseren Autor:

Ein "Better tomorrow" geht nicht ohne:

  1. Klare Strategien und effiziente Lösungen, die Komplexität reduzieren und Prozesse vereinfachen.
  2. Agilität, um dynamische Herausforderungen zielgerichtet und proaktiv zu meistern.
  3. Starke Teams, die durch Engagement und Expertise nachhaltige Ergebnisse liefern. 

Mein Herz schlägt schneller für…:

kreative Ideen und intelligente Ansätze, die echte Veränderungen bewirken und Mehrwert schaffen.

Gordon Brykczynski, CYS

Senior Manager

Über unseren Autor:

Ein "Better tomorrow" geht nicht ohne:

  1. Menschen: die mit Leidenschaft und Zusammenarbeit Zukunft gestalten.
  2. Innovation: die neuen Wege eröffnet und nachhaltigen Fortschritt ermöglicht.
  3. Geduld: die uns lehrt, Entwicklungen wachsen zu lassen und langfristig zu denken. 

Mein Herz schlägt schneller für…:

wenn Probleme nicht nur erkannt, sondern smart gelöst werden.

Maximilian Braun, DPE

Senior Consultant

Vielen Dank auch an unsere weiteren Autoren

  • Manuel Schmidt
  • Tim Kadereit
  • Stefan Meinecke