Auf dieser Seite
    Autoren

    Mareike Christine Gehrmann

    Partnerin

    Düsseldorf
    Read More

    Carla Nelles, LL.M. (Amsterdam)

    Senior Associate

    Düsseldorf
    Read More
    Autoren

    Mareike Christine Gehrmann

    Partnerin

    Düsseldorf
    Read More

    Carla Nelles, LL.M. (Amsterdam)

    Senior Associate

    Düsseldorf
    Read More
    • Auf dieser Seite

    3. November 2025

    Der Cyber Resilience Act – EU-weite Anforderungen an die Cybersicherheit von Produkten

    Co-Autor: Christian Zander

    Der Cyber Resilience Act (CRA) ist mehr als nur eine weitere EU-Verordnung. Er ist das erste europäische Gesetz, das verbindliche Mindestanforderungen an die Cybersicherheit von Produkten mit digitalen Elementen festlegt.

    Damit handelt es sich um einen zentralen Pfeiler der europäischen Cybersicherheitsstrategie und einen wichtigen Beitrag auf dem Weg zur digitalen Souveränität Europas. Der CRA soll in der gesamten Europäischen Union einheitliche Sicherheitsstandards schaffen, damit Verbraucher und Unternehmen besser vor digitalen Bedrohungen geschützt sind: Hiervon soll neben den Verbrauchern und Unternehmen auch die gesamte europäische Wirtschaft profitieren: Hohe Cybersicherheitsstandards sollen den gesamten Europäischen Binnenmarkt resilienter gegen kriminelle und terroristische Cyberangriffe machen. Das besondere an diesen Cybersicherheitsstandards: Sie gelten grundsätzlich für alle Produkte mit digitalen Elementen, unabhängig vom Sektor oder Bereich, in dem sie eingesetzt werden sollen, oder typischerweise eingesetzt werden – so dass auch das schwächste Glied in der Sicherheitskette einen verpflichtenden Mindestschutz aufweist.

    Der CRA trat am 11. Dezember 2024 in Kraft.  Wenngleich die meisten Vorschriften erst ab Dezember 2027 gelten, greifen mit den Meldepflichten der Hersteller zentrale Regelungen bereits im Herbst 2026. Den Beginn der Anwendbarkeit markiert im Juni 2026 Kapitel IV mit den Vorschriften zur Notifizierung von Konformitätsbewertungsstellen. 

    Dieser Beitrag bietet einen kompakten Überblick über die wichtigsten Inhalte des CRA. 

     

    Anwendungsbereich: Für wen und für welche Produkte gilt der CRA?

    Der CRA adressiert Pflichten an verschiedene, zusammengefasst als Wirtschaftsakteure benannte, Pflichtenträger. Primärer Adressat der Verpflichtungen ist der Hersteller eines Produkts mit digitalen Elementen. Nach Art. 2 Abs. 1 CRA sind Produkte mit digitalen Elementen alle Software- oder Hardwareprodukte und deren Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden. Damit betrifft der CRA fast alle Hardware- und Softwareprodukte, die direkt oder indirekt mit einem anderen Gerät oder Netzwerk verbunden werden können. Bemerkenswert ist, dass das sehr weite Verständnis des Produktbegriffs im CRA auch Software erfasst.

    Die Bandbreite der regulierten Produkte ist dementsprechend groß: Vom intelligenten Thermostat über Smart Meter und Router bis hin zu vernetzten Industriemaschinen oder Robotern, aber auch Computerprogramme und Apps sind umfasst. Entscheidend ist zudem nach dem CRA nicht, wo das Produkt hergestellt wurde, sondern ob es auf dem europäischen Markt entgeltlich oder unentgeltlich angeboten wird („Bereitstellung auf dem Markt“). Damit strahlen die Anforderungen an die Cybersicherheit auch global aus: Mit dem CRA muss Cybersecurity weltweit beachtet werden, wenn ein Produkt auch auf dem europäischen Markt bereitgestellt werden soll.

    Ausgenommen sind dagegen bestimmte Produktkategorien, die bereits durch andere EU-Regelungen abgedeckt werden – etwa medizinische Geräte, Kraftfahrzeugkomponenten oder Schiffsausrüstungen (vgl. Art. 2 Abs. 2 bis 4 CRA). Damit soll ein unverhältnismäßig hoher Umsetzungsaufwand für Behörden und Private vermieden werden. Auch kostenlose Open-Source-Software, die nicht mit Gewinnerzielungsabsicht entwickelt wird, fällt nicht in den Anwendungsbereich.

    Kleine und mittlere Unternehmen (KMU) sowie Start-ups müssen sich zwar ebenfalls an den CRA halten, können aber auf Unterstützungsangebote wie Leitfäden, Helpdesks und vereinfachte Dokumentationspflichten zurückgreifen.

     

    Ziele: Mehr Sicherheit und Vertrauen im digitalen Binnenmarkt

    Mit dem CRA verfolgt die Europäische Union ein klares und langfristiges Ziel: die digitale Sicherheit in Europa auf ein neues Niveau zu heben. Angesichts der stetig wachsenden Zahl von Cyberangriffen, Sicherheitslücken und global vernetzten Lieferketten soll der CRA dafür sorgen, dass – sich ebenfalls stetig ausbreitende – digitale Produkte von Anfang an sicher konzipiert, entwickelt und betrieben werden.

    Gleichzeitig soll der CRA die Verantwortung der Hersteller und Anbieter deutlich stärken: Wer ein digitales Produkt in der EU vertreibt, muss künftig nicht nur für dessen Funktionalität, sondern auch für dessen Cybersicherheit über den gesamten Lebenszyklus hinweg einstehen. Das schafft mehr Verlässlichkeit und Transparenz – sowohl für Verbraucher als auch für Unternehmen, die auf digitale Produkte angewiesen sind. Den unzureichenden Zugang zu Informationen, die es ermöglichen, Produkte mit adäquaten Cybersicherheitsstandards zu identifizieren, machte die Europäische Kommission bereits 2022 als eine von zwei Hauptursachen für Schäden durch erfolgreiche Cyberattacken aus.

     

    Pflichten und Maßnahmen: Was Hersteller künftig beachten müssen

    Art. 6 CRA sieht vor, dass Produkte mit digitalen Elementen durch die Hersteller nur dann in Verkehr gebracht werden dürfen, wenn sie den grundlegenden Cybersicherheitsanforderungen aus Anhang I entsprechen und sicher betrieben werden können.

    Zu diesen zahlreichen Anforderungen gehören unter anderem:

    • Cybersecurity by Design & Default,
    •  ein kontinuierliches Schwachstellenmanagement inklusive regelmäßiger Updates,
    • eine technische Dokumentation sowie ein Software-Stückverzeichnis (SBOM – Software Bill of Materials),
    • und schließlich Konformitätsnachweise samt CE-Kennzeichnung.

    Für besonders wichtige oder kritische Produkte – wie etwa Netzmanagementsysteme oder Smart-Meter-Gateways – können zusätzlich verschärfte Anforderungen gelten (Art. 7 und 8 CRA).

    Diese Cybersicherheitsanforderungen gelten ab dem 11. Dezember 2027 für alle neuen Produkte, die ab diesem Stichtag auf den Markt kommen. Produkte, die vorher eingeführt wurden, müssen nachgerüstet werden, wenn sie wesentlich verändert werden.

     

    Meldepflichten: Schnell reagieren bei Sicherheitslücken

    Ab dem 11. September 2026 müssen Hersteller jede aktiv ausgenutzte Schwachstelle, die ihnen bekannt wird, innerhalb von 24 Stunden an das zuständige nationale Computer Security Incident Response Team (CSIRT) sowie an die EU-Cybersicherheitsagentur ENISA melden. Diese produktbezogene Meldepflicht ergänzt bestehende Regelungen, wie die NIS-2-Richtlinie, richtet sich aber speziell an die Hersteller von Produkten mit digitalen Elementen und nicht nur an Betreiber kritischer Infrastrukturen.

    Das Verfahren sieht mehrere Stufen vor:

    • Erstmeldung (innerhalb von 24 Stunden): Erste Informationen zum betroffenen Produkt, zur Art der Schwachstelle und zu den möglichen Auswirkungen.
    •  Folgemeldung (innerhalb von 72 Stunden): Detailliertere technische Angaben, sobald neue Erkenntnisse vorliegen.
    • Abschlussbericht (innerhalb von 14 Tagen): Vollständige Analyse der Ursachen, umgesetzte Gegenmaßnahmen und geplante Sicherheitsupdates.

    Die ENISA wird für diese Meldungen eine zentrale EU-weite Plattform bereitstellen. Die Anforderungen an Unternehmen werden damit zunehmend komplexer. Denn abhängig von Art und Umfang des Sicherheitsvorfalls kann ein einziger Vorfall unterschiedliche Meldepflichten nach verschiedenen Rechtsakten auslösen, die in engen zeitlichen Fristen erfüllt werden müssen.

    Die EU-Kommission erarbeitet zudem aktuell einen delegierten Rechtsakt (Stand: 30. Oktober 2025), der Art. 16 Abs. 2 CRA präzisiert, und festlegt unter welchen Bedingungen CSIRTs die EU-weite Weiterleitung solcher Schwachstellenmeldungen nach dem Cyber Resilience Act ausnahmsweise verzögern dürfen. Eine Verschiebung ist nur in besonderen Fällen zulässig – etwa bei außergewöhnlichen Cybersicherheitsrisiken, wenn hochsensible Informationen betroffen sind, ein Sicherheitsupdate innerhalb von 72 Stunden bevorsteht oder wenn die Meldeplattform, bzw. ein empfangendes CSIRT, selbst kompromittiert wurde. Der Entwurf befindet sich derzeit im Konsultationsverfahren. Rückmeldungen sind bis zum 13. November 2025 möglich, die Annahme wird im vierten Quartal 2025 erwartet.

     

    Sanktionen: Hohe Bußgelder bei Verstößen

    Verstöße gegen den CRA können teuer werden. Laut Art. 64 CRA drohen Bußgelder in Höhe von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.

    Bei weniger schwerwiegenden Verstößen sind es bis zu 10 Millionen Euro oder 2 % des Umsatzes. Darüber hinaus können die Marktaufsichtsbehörden Produkte vom Markt nehmen, ihre Bereitstellung untersagen oder Rückrufe anordnen.

     

    Marktüberwachung: BSI als deutsche Aufsichtsbehörde

    Der CRA sieht vor, dass die Mitgliedsstaaten gegenüber der Europäischen Kommission eine notifizierende und marktüberwachende Behörde benennen. Die Bundesregierung hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) benannt, wodurch diesem zukünftig weitere Aufgaben zufallen: Das BSI notifiziert ab Juni 2026 Drittstellen, damit diese als Konformitätsbewertungsstelle tätig werden dürfen. Außerdem darf das BSI Produkte mit digitalen Elementen auf ihre Cybersicherheit überprüfen und bei Bedarf die oben angesprochenen Sanktionen verhängen.

     

    Einstiegshilfe durch ETSI, BSI und Co.

    Damit die Adressaten – insbesondere die Hersteller – künftig rechtssicher mit dem CRA umgehen können, gibt es bereits erste Handreichungen und Einstiegshilfen:

    • Das European Telecommunications Standards Institute (ETSI) hat Ende September 2025 erste Entwürfe für Europäische Normen (EN) veröffentlicht, die der öffentlichen Konsultation zugänglich sind. Hauptgegenstand der EN sind technische Standards und Use Cases für verschiedene Produktkategorien, wie etwa Passwort-Manager, Network Interfaces und Operating Systems.
    •  Darüber hinaus werden das Europäische Komitee für elektrotechnische Normung (CENELEC) und Europäische Komitee für Normung (CEN) europäische Normen erlassen. Abhängig von dem jeweiligen Anwendungsbereich werden die Normungsinstitute, zusammen mit den technischen Normen des ETSI, eine europäische Standardisierung mit Breitenwirkung etablieren.
    • Neben der Notifizierung und Marktüberwachung übernimmt das BSI auch die Erarbeitung einer technischen Richtlinie. Teil 1 „General Requirements“ fasst Leitlinien für Hersteller und Produkte zusammen und orientiert sich dabei an den Anforderungen aus den Artikeln und Anhängen des CRA. Teil 2 „Software Bill of Materials (SBOMs)“ legt die formalen und inhaltlichen Vorgaben für SBOMs fest. Teil 3 „Vulnerability Reports and Notifications“ beschreibt die Verfahren zum Umgang mit eingehenden Schwachstellenmeldungen.

     

    IT-Sicherheit wird zur Pflicht – und zum Wettbewerbsvorteil

    Der CRA markiert einen entscheidenden Wendepunkt: Als erste horizontal wirkende europäische Cybersicherheitsverordnung macht der CRA IT-Sicherheit für alle Produkte mit digitalen Elementen verbindlich. Für viele Unternehmen bedeutet das zunächst mehr Aufwand, langfristig, aber auch mehr Vertrauen und Wettbewerbsvorteile. Wer frühzeitig mit der Umsetzung beginnt und Prozesse insbesondere in Hinblick auf die bereits ab 2026 anwendbaren Meldepflichten etabliert ist nicht nur rechtlich auf der sicheren Seite, sondern kann sich auch als verlässlicher Anbieter sicherer Produkte positionieren.

    Rechtsgebiete und Gruppen Daten & Cyber-Sicherheit Cyber Security & Data Breach
    Branchen Technologie-, Medien & Kommunikationsrecht
    Call To Action Arrow Image

    Newsletter-Anmeldung

    Wählen Sie aus unserem Angebot Ihre Interessen aus!

    Jetzt abonnieren
    Jetzt abonnieren

    © Taylor Wessing