Die fortschreitende Digitalisierung eröffnet Unternehmen und Verbraucher:innen zahlreiche Möglichkeiten, bringt jedoch gleichzeitig wachsende Risiken durch Cyberangriffe und Sicherheitslücken mit sich. Um diesen Herausforderungen zu begegnen, arbeitet die Europäische Union an der Schaffung einheitlicher und verbindlicher Regelungen. Ein kürzlich verabschiedetes Gesetz steht dabei im Mittelpunkt und wird wohl die digitale Landschaft Europas nachhaltig prägen. In diesem Artikel werfen wir einen genaueren Blick darauf, warum diese Neuerung so wichtig ist und welche Auswirkungen sie haben könnte.
Eine kurze Definition: Was ist der Cyber Resilience Act (CRA)?
Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die verpflichtende Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt. Ziel ist es, Sicherheitsrisiken entlang des gesamten Lebenszyklus solcher Produkte zu minimieren. Hersteller:innen, Importeur:innen und Händler:innen werden dazu verpflichtet, Sicherheitsmaßnahmen bereits bei der Produktentwicklung (“Security by Design“) zu integrieren und Sicherheitslücken nach Inverkehrbringen schnell zu beheben.
Der CRA soll Verbraucher:innen und Unternehmen besser vor Cyberangriffen schützen und das Vertrauen in digitale Produkte stärken, indem einheitliche Standards im europäischen Binnenmarkt geschaffen werden.
Was bedeutet Cyber Resilience?
“Cyber Resilience“ ist englisch und bedeutet wörtlich übersetzt “Cybertechnische Widerstandsfähigkeit“. Es beschreibt die Fähigkeit von Organisationen, digitalen Bedrohungen wie Cyberangriffen standzuhalten, deren Auswirkungen zu minimieren und sich schnell davon zu erholen. Dazu gehört proaktive Sicherheitsplanung, kontinuierliche Überwachung und schnelle Wiederherstellung kritischer Systeme, um die Betriebsfähigkeit trotz Störungen oder Angriffen sicherzustellen.
Wann tritt der Cyber Resilience Act in Kraft?
Der Cyber Resilience Act (CRA) wurde am 20. November 2024 im Amtsblatt der Europäischen Union veröffentlicht und trat 20 Tage später, am 10. Dezember 2024, offiziell in Kraft. Die Verordnung ist Teil der EU-Strategie, den Binnenmarkt sicherer zu machen, indem sie einheitliche Cybersicherheitsanforderungen für digitale Produkte schafft.
Die Regelung wird jedoch nicht sofort vollständig anwendbar. Unternehmen haben Übergangsfristen, um sich auf die neuen Vorgaben einzustellen. Die meisten Bestimmungen des CRA gelten erst 36 Monate nach Inkrafttreten, also ab dem 10. Dezember 2027. Einige Verpflichtungen, wie die Meldepflicht bei Sicherheitslücken, greifen bereits nach 21 Monaten, also im September 2026.
Mit diesen Fristen soll gewährleistet werden, dass alle betroffenen Akteure ausreichend Zeit haben, die neuen Standards zu implementieren und ihre Produkte entsprechend anzupassen. Ziel ist, Sicherheitsrisiken zu minimieren und den Schutz von Verbraucher:innen und Unternehmen im digitalen Raum zu stärken.
Zusammenhang des CRA mit anderen EU-Regulierungen
Der CRA steht nicht isoliert, sondern ergänzt bestehende EU-Regulierungen:
Die NIS2-Richtlinie für Netz- und Informationssicherheit:
Die NIS2-Richtlinie stärkt Cybersicherheitsanforderungen für Betreiber:innen kritischer Infrastrukturen und digitaler Dienste, um die Widerstandsfähigkeit gegen Cyberangriffe in der gesamten EU zu verbessern.
Die DSGVO im Bereich Datenschutz:
Die Datenschutz-Grundverordnung regelt den Schutz personenbezogener Daten in der EU. Sie gibt klare Vorschriften für Datenerhebung, Verarbeitung und Speicherung, um die Privatsphäre zu wahren.
Die Produkthaftungsrichtlinie:
Die Produkthaftungsrichtlinie wurde ebenfalls aktualisiert, um digitale Produkte besser zu regulieren. Sie erweitert die Haftung für Schäden durch digitale Produkte und Software, insbesondere im Zusammenhang mit Sicherheitslücken oder unzureichenden Updates.
Bedeutung des CRA für den globalen Markt
Der Cyber Resilience Act (CRA) wird voraussichtlich weit über die Grenzen der Europäischen Union hinaus wirken, da er die Sicherheitsanforderungen für digitale Produkte im europäischen Markt verbindlich festlegt. Hersteller:innen, die ihre Produkte in der EU verkaufen möchten, müssen diese Anforderungen unabhängig von ihrem Standort einhalten. Dies betrifft sowohl europäische Unternehmen als auch Anbieter:innen aus Drittstaaten wie den USA oder China.
Die EU ist einer der größten Absatzmärkte weltweit. Um Zugang zu diesem Markt zu behalten, werden Hersteller:innen gezwungen sein, ihre Produkte entsprechend anzupassen. Dies führt dazu, dass viele Unternehmen ihre Cybersicherheitsstandards global harmonisieren, um zusätzliche Produktionskosten durch unterschiedliche regionale Standards zu vermeiden. Dadurch wird der CRA zu einem de-facto-Standard für Cybersicherheit werden, ähnlich wie es bei der Datenschutz-Grundverordnung (DSGVO) im Bereich Datenschutz der Fall ist. Somit würde der CRA nicht nur die Cybersicherheit innerhalb der EU verbessern, sondern auch international ein höheres Sicherheitsniveau etablieren.
Auswirkungen auf KMU
Kleine und mittlere Unternehmen (KMU) stehen vor besonderen Herausforderungen bei der Umsetzung des Cyber Resilience Act (CRA). Im Vergleich zu großen Konzernen verfügen KMU oft über begrenzte finanzielle, personelle und technische Ressourcen, um die umfangreichen Sicherheitsanforderungen zu erfüllen. Die Einhaltung des CRA kann für KMU daher mit erheblichen Kosten und organisatorischem Aufwand verbunden sein.
Um diese Belastung abzumildern, plant die EU möglicherweise gezielte Unterstützungsmaßnahmen. Finanzielle Förderungen oder Subventionen könnten helfen, notwendige Investitionen, wie in Cybersicherheitslösungen oder Fachpersonal, zu erleichtern. Außerdem könnten vereinfachte Verfahren für KMU entwickelt werden, um deren spezifische Bedürfnisse zu berücksichtigen. Diese Maßnahmen sind wichtig, da KMU einen erheblichen Teil der europäischen Wirtschaft ausmachen und ihre Widerstandsfähigkeit gegen Cyberbedrohungen für die gesamte digitale Sicherheit der EU entscheidend ist.
Herausforderungen bei der Umsetzung des CRA
Die praktische Umsetzung des Cyber Resilience Act (CRA) wird mit erheblichen Herausforderungen verbunden sein, insbesondere in den Bereichen Überwachung und Durchsetzung der neuen Vorschriften. Marktüberwachungsbehörden in den EU-Mitgliedstaaten stehen vor der Aufgabe, sicherzustellen, dass alle Produkte mit digitalen Elementen den vorgeschriebenen Cybersicherheitsstandards entsprechen. Dies erfordert regelmäßige Prüfungen, Stichprobenkontrollen und die Untersuchung von Sicherheitsvorfällen.
Da der CRA in allen EU-Mitgliedstaaten einheitlich angewendet werden soll, ist eine enge Zusammenarbeit zwischen den nationalen Behörden entscheidend. Diese müssen Informationen austauschen, gemeinsame Standards für die Überwachung entwickeln und bei grenzüberschreitenden Problemen koordinierte Maßnahmen ergreifen. Besonders herausfordernd ist dies bei importierten Produkten, da hier die Einhaltung der Anforderungen oft schwerer nachzuweisen ist.
Zusätzlich werden voraussichtlich die Marktüberwachungsbehörden durch die Fülle neuer Produkte und Technologien personell und technisch an ihre Grenzen stoßen. Um diese Aufgaben effektiv zu bewältigen, sind wahrscheinlich Investitionen in zusätzliche Ressourcen, Fachpersonal und digitale Prüfwerkzeuge erforderlich. Eine reibungslose Umsetzung des CRA hängt somit nicht nur von der Gesetzgebung selbst, sondern auch von der effektiven Umsetzung und Zusammenarbeit der zuständigen Behörden ab.
Warum ist der Cyber Resilience Act in der EU so wichtig?
Der Cyber Resilience Act (CRA) ist für die EU von zentraler Bedeutung, da die fortschreitende Digitalisierung unsere Gesellschaft und Wirtschaft zunehmend angreifbar macht. Immer mehr Geräte — von Smartphones über IoT-Geräte bis hin zu kritischen Infrastrukturen — sind miteinander vernetzt. Diese Vernetzung birgt ein erhebliches Risiko, da Cyberangriffe immer häufiger und ausgefeilter werden.
Bislang fehlten einheitliche Sicherheitsstandards für digitale Produkte innerhalb der EU. Dies führte nicht nur zu Sicherheitslücken, sondern auch zu wirtschaftlichen und rechtlichen Unsicherheiten für Unternehmen. Der CRA schließt diese Lücke, indem er verbindliche Anforderungen an die Cybersicherheit festlegt, die für alle Produkte mit digitalen Elementen im Binnenmarkt gelten.
Zudem stärkt der CRA das Vertrauen von Verbraucher:innen und Unternehmen in digitale Technologien. Er sorgt dafür, dass Hersteller:innen Sicherheitsmaßnahmen bereits in der Entwicklungsphase (“Security by Design“) berücksichtigen und auf Sicherheitslücken schnell reagieren müssen. Langfristig trägt der CRA dazu bei, die Wettbewerbsfähigkeit europäischer Unternehmen zu fördern und die digitale Souveränität der EU zu stärken, indem sie sich gegen globale Cyberbedrohungen wappnet.
Neben der Produktentwicklung sind Unternehmen verpflichtet, schwerwiegende Sicherheitslücken innerhalb von 24 Stunden an die zuständigen Behörden zu melden. Dies soll sicherstellen, dass Bedrohungen frühzeitig erkannt und schnell bekämpft werden können.
Darüber hinaus legt CRA besonderen Wert auf den gesamten Produktlebenszyklus. Unternehmen müssen nicht nur Sicherheitsmaßnahmen bei der Entwicklung berücksichtigen, sondern auch während der Nutzung des Produkts kontinuierlich Sicherheitsupdates bereitstellen, um Schwachstellen zu schließen.
Somit ist der CRA nicht nur eine Sicherheitsmaßnahme, sondern ein zentraler Baustein für eine widerstandsfähige und sichere digitale Zukunft in Europa.
Diese Unternehmen sind vom Cyber Resilience Act betroffen
Vom Cyber Resilience Act (CRA) sind grundsätzlich alle Unternehmen betroffen, die Produkte mit digitalen Elementen entwickeln, herstellen oder in den europäischen Markt einführen. Darunter fallen sowohl Hardware- als auch Softwareprodukte, wie etwa Smart-Home-Geräte, IoT-Anwendungen, Betriebssysteme oder Cloud-Dienste.
Neben den Hersteller:innen sieht der CRA auch Verpflichtungen für Händler:innen und Importeur:innen vor. Händler:innen müssen sicherstellen, dass die von ihnen vertriebenen Produkte den festgelegten Cybersicherheitsanforderungen entsprechen. Importeur:innen tragen die Verantwortung dafür, dass Produkte aus Drittstaaten den EU-Standards genügen und korrekt gekennzeichnet sind.
Die Regelung betrifft somit nicht nur große Technologiekonzerne, sondern auch kleine und mittlere Unternehmen (KMU), sofern ihre Produkte digitale Elemente enthalten. Ausgenommen sind einige spezifische Produkte, etwa solche, die bereits durch andere EU-Verordnungen wie die NIS2-Richtlinie reguliert sind.
Mit dieser breiten Abdeckung stellt der CRA sicher, dass Cybersicherheitsstandards einheitlich entlang der gesamten Lieferkette umgesetzt werden, von Hersteller:innen bis zu Endnutzer:innen.
Zusatz-Pflichten für Händler:innen und Importeur:innen
Händler:innen und Importeur:innen haben unter dem Cyber Resilience Act (CRA) zusätzliche Pflichten, um sicherzustellen, dass ihre Produkte mit digitalen Elementen den vorgegebenen Cybersicherheitsanforderungen entsprechen. Diese Verpflichtungen sind entscheidend, um Schwachstellen entlang der gesamten Lieferkette zu vermeiden. Hier die wichtigsten Punkte:
Pflichten für Händler:innen
1. Überprüfung der Konformität: Händler:innen sind verpflichtet, sicherzustellen, dass die von ihnen vertriebenen Produkte alle geltenden Sicherheitsanforderungen einhalten. Dazu gehören die Überprüfung auf CE-Kennzeichnung und andere ordnungsgemäße Kennzeichnungen.
2. Meldepflichten: Wenn Händler:innen feststellen, dass ein Produkt ein Sicherheitsrisiko darstellt, müssen sie die Behörden und, falls nötig, die Nutzer:innen unverzüglich informieren.
3. Zusammenarbeit mit Behörden: Händler:innen müssen mit Marktüberwachungsbehörden kooperieren, indem sie erforderliche Informationen bereitstellen und an Maßnahmen wie Rückrufen aktiv mitwirken.
Pflichten für Importeur:innen
1. Sicherstellung der Konformität: Importeur:innen müssen überprüfen, ob die von ihnen eingeführten Produkte alle Anforderungen des CRA erfüllen. Dazu gehört die Kontrolle, ob die technische Dokumentation vollständig und korrekt ist.
2. Kennzeichnung und Dokumentation: Sie müssen sicherstellen, dass die Produkte mit den erforderlichen Kennzeichnungen (beispielsweise CE-Kennzeichen) versehen sind und dass die EU-Konformitätserklärung des/r Hersteller:in vorliegt.
3. Verfügbarkeit der Dokumente: Importeur:innen müssen sicherstellen, dass die technische Dokumentation und Sicherheitsinformationen über die gesamte Lebensdauer des Produkts auf Anfrage der Behörden verfügbar sind.
4. Meldung von Sicherheitsrisiken: Im Falle einer Sicherheitslücke oder eines Problems müssen Importeur:innen die zuständigen Behörden informieren und gegebenenfalls Maßnahmen zur Rücknahme oder zum Rückruf einleiten.
Ziel der Zusatzpflichten
Die Zusatzpflichten sollen verhindern, dass unsichere oder nicht konforme Produkte auf den europäischen Markt gelangen. Durch diese zusätzlichen Verantwortlichkeiten für Händler:innen und Importeur:innen wird sichergestellt, dass Cybersicherheit nicht nur Aufgabe der Hersteller:innen bleibt, sondern entlang der gesamten Lieferkette gewährleistet wird.
Beispiele: Diese Unternehmen sind vom Cyber Resilience Act betroffen
Vom Cyber Resilience Act (CRA) sind zahlreiche Unternehmen betroffen, da er sich auf eine breite Palette von Produkten mit digitalen Elementen erstreckt. Hier sind einige Beispiele von Unternehmen, die direkt unter den CRA fallen:
Hersteller:innen von Smart-Home-Geräten
Beispiele: Philips (Lichtsteuerungssysteme wie Hue), Ring (Sicherheitskameras) oder Bosch (vernetzte Haushaltsgeräte wie smarte Kühlschränke).
Grund: Ihre Produkte enthalten digitale Komponenten, die mit dem Internet verbunden werden und potenzielle Einfallstore für Cyberangriffe bieten können.
Entwickler:innen von Software und Betriebssystemen
Beispiele: Microsoft (Windows), Adobe (Creative Suite) oder kleinere Softwareentwickler für branchenspezifische Anwendungen.
Grund: Software ist ein zentraler Bestandteil vieler digitaler Produkte und muss Sicherheitsanforderungen erfüllen.
Anbieter:innen von IoT-Lösungen
Beispiele: Siemens (Industrie 4.0-Systeme), Cisco (vernetzte Netzwerkinfrastrukturen) oder kleinere Startups, die IoT-Geräte für Landwirtschaft oder Gesundheitswesen entwickeln.
Grund: IoT-Geräte sind besonders anfällig für Cyberangriffe und unterliegen deshalb strengen Anforderungen.
Unternehmen der Unterhaltungselektronik
Beispiele: Samsung (Smart-TVs), Sony (Spielekonsolen wie PlayStation) oder Apple (HomePods und iPads).
Grund: Produkte mit digitaler Funktionalität, die regelmäßig mit Netzwerken verbunden sind, fallen klar unter den CRA.
Anbieter:innen von medizinischen Geräten
Beispiel: Medtronic (vernetzte Insulinpumpen), GE Healthcare (digitale Röntgengeräte) oder kleinere Unternehmen, die Gesundheitsapps oder Wearables anbieten.
Grund: Medizinische Geräte mit digitalen Komponenten müssen höchsten Sicherheitsstandards genügen, da sie direkt mit Patientendaten und Gesundheitssystemen arbeiten.
Händler:innen und Importeur:innen betroffener Produkte
Beispiel: Amazon (Plattform für den Vertrieb digitaler Produkte), MediaMarkt (Elektronikhändler) oder spezialisierte Importeur:innen von IoT-Geräten.
Grund: Sie sind verpflichtet, sicherzustellen, dass die vertriebenen Produkte konform sind, auch wenn sie nicht selbst produzieren.
Diese Beispiele verdeutlichen, dass der CRA nicht nur große Technologiekonzerne betrifft, sondern auch viele kleine und mittlere Unternehmen, die digitale Produkte herstellen, importieren oder vertreiben.
Welche Produkte fallen unter den Cyber Resilience Act?
Unter den Cyber Resilience Act (CRA) fallen alle Produkte, die digitale Elemente enthalten und mit Netzwerken oder anderen Geräten verbunden werden. Ziel ist es, die Cybersicherheitsrisiken entlang des gesamten Produktlebenszyklus zu minimieren. Hier eine Übersicht:
Hardwareprodukte mit Netzwerkanbindung:
Laptops, Smartphones, Tablets, Router, smarte Haushaltsgeräte (beispielsweise Kühlschränke, Heizungssteuerungen).
Softwareprodukte:
Betriebssysteme, Anwendungssoftware, Apps, Cloud-Dienste, Sicherheitssoftware.
IoT-Geräte (Internet of Things):
Vernetzte Überwachungskameras, Smart-Home-Geräte, tragbare Geräte wie Smartwatches, Industrie-IoT-Systeme.
Digitale Gesundheitsprodukte:
Vernetzte medizinische Geräte wie Insulinpumpen, Diagnosegeräte oder Apps für Gesundheitsüberwachung.
Kritische Infrastrukturen:
Wasser- und Energieversorgungssysteme, Verkehrssteuerung, industrielle Steuerungssoftware.
Kategorien und Risikoklassen für Produkte
Die Produkte werden je nach ihrem Risiko für Cybersicherheit in Kategorien eingeteilt. Diese klare Regelung stellt sicher, dass alle relevanten Produkte in Bezug auf Cybersicherheit harmonisiert und überprüft werden, basierend auf ihrem potenziellen Risiko für Nutzer:innen und Netzwerke.
Kategorie 1: Allgemeine Risikoklasse
Umfasst die meisten Standardprodukte, die digitale Funktionen enthalten, wie Smartphones oder Drucker.
Kategorie 2: Kritische Risikoklasse I
Produkte mit erhöhtem Risiko, zum Beispiel Netzwerkgeräte (Router, Firewalls) oder Produkte mit Cloud-Anbindung.
Kategorie 3: Kritische Risikoklasse II
Produkte, die besonders sensible Funktionen ausüben oder hohe Sicherheitsanforderungen haben, wie industrielle Steuerungssysteme oder medizinische Geräte.
Ausnahmen
Produkte, die bereits unter spezifische EU-Regulierungen wie die NIS2-Richtlinie oder die Medizinprodukteverordnung fallen, sind in der Regel vom CRA ausgenommen.
Was passiert bei Nichteinhaltung der neuen EU-Vorschriften des CRA?
Die Nichteinhaltung der Vorschriften des Cyber Resilience Act (CRA) kann für Unternehmen schwerwiegende Konsequenzen haben. Die EU sieht klare Sanktionen vor, um die Einhaltung der Cybersicherheitsanforderungen zu gewährleisten.
Mögliche Konsequenzen bei Verstößen
1. Bußgelder:
Unternehmen drohen empfindliche Geldstrafen von bis zu 15 Millionen Euro oder 2,5 Prozent ihres weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist.
Diese Strafen gelten insbesondere bei schwerwiegenden Verstößen, beispielsweise wenn Sicherheitsanforderungen systematisch ignoriert werden.
2. Produktverbote:
Produkte, die den Sicherheitsanforderungen nicht entsprechen, können vom Markt genommen oder deren Verkauf verboten werden.
Marktüberwachungsbehörden können den Vertrieb unsicherer Produkte stoppen und Rückrufaktionen anordnen.
3. Haftung für Schäden:
Unternehmen werden haftbar gemacht, wenn durch unsichere Produkte Schäden bei Verbraucher:innen oder Dritten entstehen, zum Beispiel durch Cyberangriffe, die auf Sicherheitslücken zurückzuführen sind.
4. Imageverlust und Vertrauensverlust:
Neben rechtlichen Konsequenzen drohen auch Reputationsschäden, die das Vertrauen von Kund:innen und Geschäftspartner:innen nachhaltig beeinträchtigen können.
Wer ist verantwortlich?
Hersteller:innen müssen gewährleisten, dass ihre Produkte die CRA-Anforderungen erfüllen und Sicherheitsprobleme schnell beheben.
Importeur:innen und Händler:innen sind ebenfalls in der Pflicht, sicherzustellen, dass die Produkte, die sie vertreiben, konform sind. Bei Verstößen tragen auch sie Verantwortung.
Überwachung und Durchsetzung des CRA
Die Marktüberwachungsbehörden der EU-Mitgliedstaaten sind für die Überprüfung der Einhaltung zuständig. Sie führen Stichprobenkontrollen durch und können bei Verdacht auf Verstöße erweiterte Prüfungen anordnen.
Warum sind die Strafen so streng?
Die harten Maßnahmen sollen sicherstellen, dass Unternehmen Cybersicherheit ernst nehmen. Der Schutz von Verbraucher:innen, Unternehmen und kritischen Infrastrukturen vor Cyberangriffen hat höchste Priorität, weshalb Verstöße mit hohen Kosten und Risiken verbunden sind.
Fazit: Cyber Resilience Act kurz zusammengefasst
Der Cyber Resilience Act (CRA) markiert einen bedeutenden Schritt der Europäischen Union, um den Binnenmarkt sicherer und widerstandsfähiger gegen Cyberbedrohungen zu machen. Angesichts der zunehmenden Vernetzung und steigenden Zahl von Cyberangriffen bietet der CRA einen klaren Rahmen für die Sicherheit digitaler Produkte.
Der CRA schafft verbindliche Sicherheitsstandards für alle Produkte mit digitalen Elementen und stärkt damit das Vertrauen von Verbrauchern und Unternehmen.
Mit der Einteilung in Risikoklassen und spezifischen Anforderungen sorgt die Verordnung für eine gezielte Regulierung, die der Komplexität moderner Technologien gerecht wird.
Die Verpflichtungen für Hersteller:innen, Importeur:innen und Händler:innen gewährleisten eine ganzheitliche Sicherheitsstrategie entlang der gesamten Lieferkette.
Der Cyber Resilience Act ist nicht nur eine technische Regulierung, sondern ein zukunftsweisendes Werkzeug, das den Grundstein für eine sicherere digitale Welt legt. Er fordert Unternehmen heraus, Cybersicherheit als festen Bestandteil ihrer Produktentwicklung zu verankern. Für Verbraucher:innen bietet die neue Verordnung die Gewissheit, dass ihre digitalen Geräte besser geschützt sind. Gleichzeitig erhöht CRA die Wettbewerbsfähigkeit europäischer Unternehmen und unterstreicht die Führungsrolle der EU in der Gestaltung einer sicheren digitalen Zukunft.
