Magazin
Cyber Resilience Act: Was auf Unternehmen zukommt

Cyber Resilience Act: Was auf Unternehmen zukommt

Letztes Update:
06
.
05
.
2025
Lesezeit:
0
Min
Europa macht sich stark gegen Cyber-Angriffe – mit dem Cyber Resilience Act steht nun eine EU-Verordnung in den Startlöchern, die digitale Produkte in den Fokus nimmt. Erfahren Sie, was dahintersteckt und was Ihr Unternehmen jetzt unternehmen muss.
Cyber Resilience Act: Was auf Unternehmen zukommt
Die wichtigsten Erkenntnisse
  • Der Cyber Resilience Act (CRA) ist eine neue EU-Verordnung, die die Cybersicherheit von Produkten mit digitalen Elementen über ihren gesamten Lebenszyklus hinweg erheblich stärken soll.  
  • Betroffen sind Hersteller, Importeure und Händler von Software, Smart Devices und industriellen IoT-Produkten.
  • Bei Verstößen drohen empfindliche Bußgelder.  
  • Der CRA ergänzt die NIS2-Richtlinie, indem er den Fokus auf die Produktsicherheit legt.  
  • Unternehmen sollten sich frühzeitig auf den CRA vorbereiten, der ab Dezember 2027 verbindlich gilt – zum Beispiel mit einem ISMS.

Die steigende Zahl von Cyberangriffen auf Unternehmen erfordert verschärfte Sicherheitsmaßnahmen. Deshalb will die EU mit Vorschriften wie der NIS2-Richtlinie das Cybersicherheitsniveau europäischer Unternehmen gezielt stärken. Neben NIS2 ist für gefährdete Organisationen ein weiteres europäisches Gesetz relevant: der Cyber Resilience Act.

Was ist der Cyber Resilience Act?

Der Cyber Resilience Act (CRA) ist eine EU-weite Verordnung, mit der die Europäische Kommission die Cybersicherheit von Produkten mit digitalen Elementen erhöhen will. Mit dem CRA will sie einheitliche Sicherheitsstandards für Produkte mit digitalen Elementen schaffen, um Verbraucher und Unternehmen besser vor Cyberrisiken zu schützen.

Da die Digitalisierung rasant voranschreitet, ist eine große Bandbreite von Produkten vom CRA betroffen – ob Laptops, Steuerungssysteme für die Industrie oder Software. Sowohl die Hersteller als auch die Importeure und Händler solcher Produkte müssen sich mit dem CRA beschäftigen, denn die Anforderungen des CRA betreffen den gesamten Lebenszyklus digitaler Produkte, die künftig bereits bei Markteinführung ein Mindestmaß an Informationssicherheit erfüllen müssen.

Lesetipp: Was ist der Unterschied zwischen Datenschutz und Informationssicherheit?

Warum ist der Cyber Resilience Act für Unternehmen wichtig?

Für betroffene Unternehmen bringt der CRA tiefgreifende Veränderungen in Bezug auf die Informationssicherheit.  

Das sind die wichtigsten Anforderungen des CRA im Überblick:

  • Security im gesamten Lebenszyklus: Hersteller sind bereits in der Entwicklungsphase verpflichtet, mögliche Risiken im Blick zu haben und dafür zu sorgen, dass ihre Produkte grundlegende Cybersicherheitsanforderungen erfüllen. Softwarelösungen müssen beispielsweise standardmäßig eine Funktion zur Verschlüsselung von Daten mitbringen. Nach Markteinführung sollen regelmäßige Updates und Patch-Management dafür sorgen, dass die Produkte in Sachen Cybersecurity auf dem aktuellen Stand bleiben.
  • Schwachstellen managen und melden: Unternehmen sollen Sicherheitslücken in Zukunft kontinuierlich überwachen, bewerten und möglichst schnell beheben. Sicherheitsvorfälle müssen innerhalb von 24 Stunden an die Agentur der Europäischen Union für Cybersicherheit (ENISA) gemeldet werden.  
  • Sicherheit dokumentieren und belegen: Hersteller von Produkten mit digitalen Elementen müssen eine technische Dokumentation ihrer Informationssicherheit bereitstellen, die unter anderem eine EU-Konformitätserklärung als Bestätigung dafür enthält, dass ihre Produkte sicher sind.

Diese Strafen drohen bei einem Verstoß

Bei Nichteinhaltung der CRA-Vorgaben müssen Hersteller und Händler empfindliche Strafen in Kauf nehmen – je nach Art des Verstoßes drohen ihnen Strafen von bis zu 15 Millionen Euro oder 2,5 Prozent ihres weltweiten Jahresumsatzes. Bereits Falschangaben zur Informationssicherheit können Strafen von bis zu 5 Millionen Euro oder 1 Prozent des weltweiten Jahresumsatzes nach sich ziehen.

Welche Produkte sind vom Cyber Resilience Act betroffen?

Grundsätzlich umfasst der CRA alle Produkte mit digitalen Elementen. Das sind vor insbesondere:

  • Software-Lösungen wie Passwort-Manager, Firewalls, Browser
  • B2C-Produkte wie Smartphones, Smart-Home-Geräte, Wearables, Chipkarten
  • Industrieprodukte wie IoT-Geräte, Steuerungen oder vernetzte Maschinen

Diese Produkte werden in wichtige Produkte der Klasse I und II und in kritische Produkte unterteilt. Zu den kritischen Produkten zählen dabei zum Beispiel Smart-Meter-Gateways oder Geräte, die Sicherheitszwecken dienen.  

Ausgenommen von den Vorschriften der CRA sind Produkte, für die bereits andere EU-Vorschriften gelten, wie Medizinprodukte, Cloud-Dienste oder Produkte aus dem Militärbereich.

Noch eine Cyber-Richtlinie? So hängen CRA und NIS2 zusammen

Sowohl der Cyber Resilience Act als auch die NIS2-Richtlinie haben das Ziel, die Cybersicherheit in Organisationen in Europa zu stärken. Doch während NIS2 den Fokus auf sichere Unternehmensprozesse bei Akteuren kritischer Infrastrukturen legt, soll Cyber Resilience Act die Sicherheit von Produkten und ihren digitalen Funktionen gewährleisten.

Für Unternehmen, die von NIS2 und dem CRA betroffen sind, kann es sich lohnen, ihre Produkte unter den Gesichtspunkten beider Vorschriften zu prüfen und Synergien bei der Umsetzung der Anforderungen zu nutzen. Denn der CRA und NIS2 ergänzen einander, um Unternehmen und ihren Kunden größtmögliche Sicherheit im Cyberraum zu bieten.  

Von CRA betroffen? Das ist jetzt zu tun

Um auf den Cyber Resilience Act vorbereitet zu sein, sollten Unternehmen folgende Schritte einleiten:

  • Bestandsaufnahme: Erfassen Sie alle Produkte mit digitalen Elementen.
  • Risikoanalyse: Identifizieren Sie potenzielle Schwachstellen und Bedrohungen.
  • Security by Design: Sorgen Sie dafür, dass Cybersicherheit im gesamten Lebenszyklus Ihrer Produkte eine Rolle spielt – von der ersten Idee bis zu End of Life.
  • Compliance-Strategie entwickeln: Planen Sie Ressourcen für Schwachstellenmanagement, Incident Response und Reporting.
  • Lieferketten überprüfen: Stellen Sie sicher, dass auch Zulieferer CRA-Anforderungen einhalten.
  • Interne Prozesse anpassen: Schulen Sie Mitarbeiter und passen Sie Ihre Sicherheits- und Dokumentationsstandards an.

Zeitplan und nächste Schritte: Jetzt Fokus auf Informationssicherheit legen

Der Cyber Resilience Act trat am 10. Dezember 2024 in Kraft und gilt ab Dezember 2027. Bis dahin haben Unternehmen Zeit, die Anforderungen aus dem CRA umzusetzen. Es lohnt sich, jetzt schon aktiv zu werden: Denn Hacker halten sich nicht an EU-Fristen und Wettbewerber, die schnell auf die neuen Vorgaben reagieren, können ihre Produkte als besonders sicher verkaufen – ein Vorteil auf einem zunehmend sicherheitsbewussten Markt.

Gut zu wissen: Die Meldepflicht gilt bereits ab September 2026.

Wer die CRA sicher umsetzt und Cybersicherheit von Anfang an konsequent integriert, schützt seine Kunden, sondern sichert auch seine eigene Wettbewerbsfähigkeit. Ein guter Startpunkt für betroffene Unternehmen ist der Aufbau eines Informationssicherheitsmanagementsystems (ISMS) auf Basis der ISO 27001. Damit legen Sie die Grundlage, um Vorgaben wie NIS2 oder CRA zu erfüllen.  

Vereinbaren Sie jetzt einen unverbindlichen Termin und finden Sie heraus, wie Sie ein ISMS umsetzen, um Ihre Cybersecurity zu stärken und dabei die DSGVO sicher einzuhalten.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Jetzt beraten lassen
Themen
Cyberangriffe
Informationssicherheit
ISO 27001
NIS2
Datenschutzsoftware
Redaktion
Sabrina Schaub
Freie Redakteurin
Mit ihrer Content-Erfahrung unterstützt Sabrina das Team von datenschutzexperte.de dabei, komplexe Themen verständlich zu kommunizieren. Als freie Autorin kennt sie die Datenschutzbedürfnisse unterschiedlicher Branchen und übersetzt selbst anspruchsvolle Informationen in zielgruppengerechte Inhalte.
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
In diesem Beitrag
Example Link H2
Example Link H3
Example Link H4
Example Link H5
Example Link H6
Beitrag teilen
Sie haben noch Fragen? Wir sind gerne für Sie da.
Jetzt beraten lassen
Verwandte Artikel

Ähnliche Themen, die Sie auch interessieren könnten

Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Zertifizierung nach TISAX®: Automobilbranche gewährleistet IT-Sicherheit
02
.
05
.
2025
Zertifizierung nach TISAX®: Automobilbranche gewährleistet IT-Sicherheit
Die Automobilbranche hat sich bereits vor einiger Zeit auf die Zertifizierung nach TISAX® verständigt, um einheitliche Sicherheitsstandards sicherzustellen. Doch was verbirgt sich hinter dieser Zertifizierung und welche Anforderungen müssen Unternehmen erfüllen? Wir geben Ihnen einen umfassenden Überblick.
ISO 27001 vs. TISAX®: Welches Zertifikat braucht Ihr Unternehmen?
02
.
05
.
2025
ISO 27001 vs. TISAX®: Welches Zertifikat braucht Ihr Unternehmen?
Wenn es um die Sicherheit von IT-Systemen und Daten geht, ist schnell von ISO 27001 und TISAX® die Rede. Dahinter stecken Zertifizierungen, mit denen Ihr Unternehmen zeigt, dass es Cybersecurity und Datenschutz ernstnimmt. Wir erklären die Grundlagen beider Normen und zeigen Ihnen, welche für Ihr Unternehmen wirklich relevant ist.
Zertifizierung nach TISAX®: Kosten, Ablauf und Vorbereitung
02
.
05
.
2025
Zertifizierung nach TISAX®: Kosten, Ablauf und Vorbereitung
Informationssicherheit ist für alle Branchen relevant – die Automobilbranche hat sogar eine eigene Zertifizierung für Unternehmen, die besonders Maßnahmen für den Schutz von Informationen ergreifen. Was das Aushängeschild für Cybersecurity kostet, zeigt dieser Artikel.
Datenschutz bei der Gehaltsabrechnung
02
.
05
.
2025
Datenschutz bei der Gehaltsabrechnung
Angesichts der vielen personenbezogenen Daten spielt der Datenschutz bei der Gehaltsabrechnung eine wichtige Rolle. Dabei entwickeln sich auch die gesetzlichen und technischen Rahmenbedingungen stetig weiter – etwa durch neue Regelungen zur elektronischen Lohnsteuerabrechnung (ELStAM) und aktuelle Gerichtsurteile zur digitalen Abrechnung. Hier erfahren Sie, was es dabei zu beachten gibt.
datenschutz-Muster

Kostenlose Materialien zum Thema

Verschwiegenheits­erklärung für Mitarbeiter
Stellen Sie mit unserer Verschwiegenheits­erklärung sicher, dass sensible Informationen im Unternehmen bleiben und reduzieren Sie das Risiko von Datenschutzverstößen und Abmahnungen.
Verarbeitungsverzeichnis (VVT)
Nutzen Sie unser kostenloses VVT Datenschutz Muster und setzen Sie die DSGVO sicher um.
Datenschutzerklärung für Mitarbeiter
Erstellen Sie mit unserem kostenlosen Muster eine DSGVO-konforme Datenschutzinformation für Ihre Mitarbeiter.
Home-Office Vereinbarung für Mitarbeiter
Jetzt Datenschutz-Vorlage downloaden und eine Zusatzvereinbarung Home-Office erstellen
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!