Magazin
Cyber Resilience Act: Was auf Unternehmen zukommt

Cyber Resilience Act: Was auf Unternehmen zukommt

Letztes Update:
06
.
05
.
2025
Lesezeit:
0
Min
Europa macht sich stark gegen Cyber-Angriffe – mit dem Cyber Resilience Act steht nun eine EU-Verordnung in den Startlöchern, die digitale Produkte in den Fokus nimmt. Erfahren Sie, was dahintersteckt und was Ihr Unternehmen jetzt unternehmen muss.
Cyber Resilience Act: Was auf Unternehmen zukommt
Die wichtigsten Erkenntnisse
  • Der Cyber Resilience Act (CRA) ist eine neue EU-Verordnung, die die Cybersicherheit von Produkten mit digitalen Elementen über ihren gesamten Lebenszyklus hinweg erheblich stärken soll.  
  • Betroffen sind Hersteller, Importeure und Händler von Software, Smart Devices und industriellen IoT-Produkten.
  • Bei Verstößen drohen empfindliche Bußgelder.  
  • Der CRA ergänzt die NIS2-Richtlinie, indem er den Fokus auf die Produktsicherheit legt.  
  • Unternehmen sollten sich frühzeitig auf den CRA vorbereiten, der ab Dezember 2027 verbindlich gilt – zum Beispiel mit einem ISMS.

Die steigende Zahl von Cyberangriffen auf Unternehmen erfordert verschärfte Sicherheitsmaßnahmen. Deshalb will die EU mit Vorschriften wie der NIS2-Richtlinie das Cybersicherheitsniveau europäischer Unternehmen gezielt stärken. Neben NIS2 ist für gefährdete Organisationen ein weiteres europäisches Gesetz relevant: der Cyber Resilience Act.

Was ist der Cyber Resilience Act?

Der Cyber Resilience Act (CRA) ist eine EU-weite Verordnung, mit der die Europäische Kommission die Cybersicherheit von Produkten mit digitalen Elementen erhöhen will. Mit dem CRA will sie einheitliche Sicherheitsstandards für Produkte mit digitalen Elementen schaffen, um Verbraucher und Unternehmen besser vor Cyberrisiken zu schützen.

Da die Digitalisierung rasant voranschreitet, ist eine große Bandbreite von Produkten vom CRA betroffen – ob Laptops, Steuerungssysteme für die Industrie oder Software. Sowohl die Hersteller als auch die Importeure und Händler solcher Produkte müssen sich mit dem CRA beschäftigen, denn die Anforderungen des CRA betreffen den gesamten Lebenszyklus digitaler Produkte, die künftig bereits bei Markteinführung ein Mindestmaß an Informationssicherheit erfüllen müssen.

Lesetipp: Was ist der Unterschied zwischen Datenschutz und Informationssicherheit?

Warum ist der Cyber Resilience Act für Unternehmen wichtig?

Für betroffene Unternehmen bringt der CRA tiefgreifende Veränderungen in Bezug auf die Informationssicherheit.  

Das sind die wichtigsten Anforderungen des CRA im Überblick:

  • Security im gesamten Lebenszyklus: Hersteller sind bereits in der Entwicklungsphase verpflichtet, mögliche Risiken im Blick zu haben und dafür zu sorgen, dass ihre Produkte grundlegende Cybersicherheitsanforderungen erfüllen. Softwarelösungen müssen beispielsweise standardmäßig eine Funktion zur Verschlüsselung von Daten mitbringen. Nach Markteinführung sollen regelmäßige Updates und Patch-Management dafür sorgen, dass die Produkte in Sachen Cybersecurity auf dem aktuellen Stand bleiben.
  • Schwachstellen managen und melden: Unternehmen sollen Sicherheitslücken in Zukunft kontinuierlich überwachen, bewerten und möglichst schnell beheben. Sicherheitsvorfälle müssen innerhalb von 24 Stunden an die Agentur der Europäischen Union für Cybersicherheit (ENISA) gemeldet werden.  
  • Sicherheit dokumentieren und belegen: Hersteller von Produkten mit digitalen Elementen müssen eine technische Dokumentation ihrer Informationssicherheit bereitstellen, die unter anderem eine EU-Konformitätserklärung als Bestätigung dafür enthält, dass ihre Produkte sicher sind.

Diese Strafen drohen bei einem Verstoß

Bei Nichteinhaltung der CRA-Vorgaben müssen Hersteller und Händler empfindliche Strafen in Kauf nehmen – je nach Art des Verstoßes drohen ihnen Strafen von bis zu 15 Millionen Euro oder 2,5 Prozent ihres weltweiten Jahresumsatzes. Bereits Falschangaben zur Informationssicherheit können Strafen von bis zu 5 Millionen Euro oder 1 Prozent des weltweiten Jahresumsatzes nach sich ziehen.

Welche Produkte sind vom Cyber Resilience Act betroffen?

Grundsätzlich umfasst der CRA alle Produkte mit digitalen Elementen. Das sind vor insbesondere:

  • Software-Lösungen wie Passwort-Manager, Firewalls, Browser
  • B2C-Produkte wie Smartphones, Smart-Home-Geräte, Wearables, Chipkarten
  • Industrieprodukte wie IoT-Geräte, Steuerungen oder vernetzte Maschinen

Diese Produkte werden in wichtige Produkte der Klasse I und II und in kritische Produkte unterteilt. Zu den kritischen Produkten zählen dabei zum Beispiel Smart-Meter-Gateways oder Geräte, die Sicherheitszwecken dienen.  

Ausgenommen von den Vorschriften der CRA sind Produkte, für die bereits andere EU-Vorschriften gelten, wie Medizinprodukte, Cloud-Dienste oder Produkte aus dem Militärbereich.

Noch eine Cyber-Richtlinie? So hängen CRA und NIS2 zusammen

Sowohl der Cyber Resilience Act als auch die NIS2-Richtlinie haben das Ziel, die Cybersicherheit in Organisationen in Europa zu stärken. Doch während NIS2 den Fokus auf sichere Unternehmensprozesse bei Akteuren kritischer Infrastrukturen legt, soll Cyber Resilience Act die Sicherheit von Produkten und ihren digitalen Funktionen gewährleisten.

Für Unternehmen, die von NIS2 und dem CRA betroffen sind, kann es sich lohnen, ihre Produkte unter den Gesichtspunkten beider Vorschriften zu prüfen und Synergien bei der Umsetzung der Anforderungen zu nutzen. Denn der CRA und NIS2 ergänzen einander, um Unternehmen und ihren Kunden größtmögliche Sicherheit im Cyberraum zu bieten.  

Von CRA betroffen? Das ist jetzt zu tun

Um auf den Cyber Resilience Act vorbereitet zu sein, sollten Unternehmen folgende Schritte einleiten:

  • Bestandsaufnahme: Erfassen Sie alle Produkte mit digitalen Elementen.
  • Risikoanalyse: Identifizieren Sie potenzielle Schwachstellen und Bedrohungen.
  • Security by Design: Sorgen Sie dafür, dass Cybersicherheit im gesamten Lebenszyklus Ihrer Produkte eine Rolle spielt – von der ersten Idee bis zu End of Life.
  • Compliance-Strategie entwickeln: Planen Sie Ressourcen für Schwachstellenmanagement, Incident Response und Reporting.
  • Lieferketten überprüfen: Stellen Sie sicher, dass auch Zulieferer CRA-Anforderungen einhalten.
  • Interne Prozesse anpassen: Schulen Sie Mitarbeiter und passen Sie Ihre Sicherheits- und Dokumentationsstandards an.

Zeitplan und nächste Schritte: Jetzt Fokus auf Informationssicherheit legen

Der Cyber Resilience Act trat am 10. Dezember 2024 in Kraft und gilt ab Dezember 2027. Bis dahin haben Unternehmen Zeit, die Anforderungen aus dem CRA umzusetzen. Es lohnt sich, jetzt schon aktiv zu werden: Denn Hacker halten sich nicht an EU-Fristen und Wettbewerber, die schnell auf die neuen Vorgaben reagieren, können ihre Produkte als besonders sicher verkaufen – ein Vorteil auf einem zunehmend sicherheitsbewussten Markt.

Gut zu wissen: Die Meldepflicht gilt bereits ab September 2026.

Wer die CRA sicher umsetzt und Cybersicherheit von Anfang an konsequent integriert, schützt seine Kunden, sondern sichert auch seine eigene Wettbewerbsfähigkeit. Ein guter Startpunkt für betroffene Unternehmen ist der Aufbau eines Informationssicherheitsmanagementsystems (ISMS) auf Basis der ISO 27001. Damit legen Sie die Grundlage, um Vorgaben wie NIS2 oder CRA zu erfüllen.  

Vereinbaren Sie jetzt einen unverbindlichen Termin und finden Sie heraus, wie Sie ein ISMS umsetzen, um Ihre Cybersecurity zu stärken und dabei die DSGVO sicher einzuhalten.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Jetzt beraten lassen
Themen
Cyberangriffe
Informationssicherheit
ISO 27001
NIS2
Datenschutzsoftware
Redaktion
Sabrina Schaub
Freie Redakteurin
Mit ihrer Content-Erfahrung unterstützt Sabrina das Team von datenschutzexperte.de dabei, komplexe Themen verständlich zu kommunizieren. Als freie Autorin kennt sie die Datenschutzbedürfnisse unterschiedlicher Branchen und übersetzt selbst anspruchsvolle Informationen in zielgruppengerechte Inhalte.
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
In diesem Beitrag
Example Link H2
Example Link H3
Example Link H4
Example Link H5
Example Link H6
Beitrag teilen
Sie haben noch Fragen? Wir sind gerne für Sie da.
Jetzt beraten lassen
Verwandte Artikel

Ähnliche Themen, die Sie auch interessieren könnten

ISO 27001 Audit: Ein umfassender Leitfaden für Unternehmen
24
.
09
.
2024
ISO 27001 Audit: Ein umfassender Leitfaden für Unternehmen
Die ISO 27001 Zertifizierung ist ein bedeutender Meilenstein für Unternehmen, die ihre Informationssicherheits-Managementsysteme (ISMS) auf höchstem Niveau etablieren wollen. Doch bevor dieses Ziel erreicht wird, steht ein entscheidender Schritt bevor: das ISO 27001 Audit. Dieses Audit ist mehr als nur eine formale Prüfung – es ist der ultimative Test für die Wirksamkeit und Robustheit Ihres ISMS. In diesem Leitfaden erfahren Sie alles Wichtige rund um das ISO 27001 Audit, den Ablauf, die Vorbereitung und wie Sie sich optimal darauf vorbereiten können, um das Zertifikat erfolgreich zu erlangen.
So unterstützt Datenschutzsoftware Sie beim Einhalten der DSGVO
04
.
02
.
2025
So unterstützt Datenschutzsoftware Sie beim Einhalten der DSGVO
Mit einer Datenschutzsoftware können KMU die DSGVO-Anforderungen effizient erfüllen. Welche Aufgaben die Software dabei übernimmt und wie Sie im Alltag davon profitieren, zeigt dieser Artikel.
NIS2UmsuCG: Aktueller Stand & wichtige Informationen im Überblick
11
.
02
.
2025
NIS2UmsuCG: Aktueller Stand & wichtige Informationen im Überblick
Das deutsche Umsetzungsgesetz von NIS2 zur Stärkung der Cybersicherheit tritt 2024 in Kraft. Somit werden die EU-weiten Mindeststandards in die deutsche Regulierung überführt. Gemeinsam mit dem KRITIS-Dachgesetz wird NIS2 kritische Infrastukturbetreiber und Finanzunternehmen betreffen.
Phishing-Mails erkennen: So verhindern Sie das Datenleck
22
.
02
.
2024
Phishing-Mails erkennen: So verhindern Sie das Datenleck
Wie war das in der Frühzeit des Internets? Da gab es den angeblichen Prinzen, der einem 18 Millionen Dollar überweisen wollte – und dafür brauchte er nur einige Daten oder den Klick auf einen Link. Heute sind Betrüger im Web gewiefter.
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Der Datenschutzkoordinator: Was macht er und wann ist er nötig?
12
.
05
.
2025
Der Datenschutzkoordinator: Was macht er und wann ist er nötig?
Die Aufgaben eines Datenschutzbeauftragten sind klar definiert – doch was macht ein Datenschutzkoordinator? Erfahren Sie, was ein Datenschutzkoordinator ist und welche wichtige Rolle er bei der Einhaltung der DSGVO spielt.
Behördengerechte Datenschutz-Dokumentation nach der DSGVO
09
.
05
.
2025
Behördengerechte Datenschutz-Dokumentation nach der DSGVO
Die DSGVO verlangt eine umfassende und transparente Dokumentation aller datenschutzrelevanten Geschäftsprozesse. Doch was bedeutet das konkret? In diesem Beitrag erfahren Sie, welche Inhalte eine datenschutzkonforme Dokumentation enthalten muss, wie Sie typische Dokumentationspflichten der DSGVO umsetzen und welche Anforderungen Aufsichtsbehörden stellen. Lassen Sie sich bei der Dokumentation Ihres betrieblichen Datenschutzes von uns unterstützen!
Zertifizierung nach TISAX®: Automobilbranche gewährleistet IT-Sicherheit
02
.
05
.
2025
Zertifizierung nach TISAX®: Automobilbranche gewährleistet IT-Sicherheit
Die Automobilbranche hat sich bereits vor einiger Zeit auf die Zertifizierung nach TISAX® verständigt, um einheitliche Sicherheitsstandards sicherzustellen. Doch was verbirgt sich hinter dieser Zertifizierung und welche Anforderungen müssen Unternehmen erfüllen? Wir geben Ihnen einen umfassenden Überblick.
ISO 27001 vs. TISAX®: Welches Zertifikat braucht Ihr Unternehmen?
02
.
05
.
2025
ISO 27001 vs. TISAX®: Welches Zertifikat braucht Ihr Unternehmen?
Wenn es um die Sicherheit von IT-Systemen und Daten geht, ist schnell von ISO 27001 und TISAX® die Rede. Dahinter stecken Zertifizierungen, mit denen Ihr Unternehmen zeigt, dass es Cybersecurity und Datenschutz ernstnimmt. Wir erklären die Grundlagen beider Normen und zeigen Ihnen, welche für Ihr Unternehmen wirklich relevant ist.
datenschutz-Muster

Kostenlose Materialien zum Thema

Home-Office Vereinbarung für Mitarbeiter
Jetzt Datenschutz-Vorlage downloaden und eine Zusatzvereinbarung Home-Office erstellen
Verarbeitungsverzeichnis (VVT)
Nutzen Sie unser kostenloses VVT Datenschutz Muster und setzen Sie die DSGVO sicher um.
Datenschutzerklärung Vorlage & Muster
Nutzen Sie unsere kostenlose Datenschutzerklärung Vorlage und setzen Sie die DSGVO sicher um.
Datenschutzerklärung für Bewerber
Erfüllen Sie die DSGVO-Datenschutzpflicht für Bewerber mit unserer Vorlage einfach & sicher.
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!