Cyber Resilience Act: Was auf Unternehmen zukommt

- Der Cyber Resilience Act (CRA) ist eine neue EU-Verordnung, die die Cybersicherheit von Produkten mit digitalen Elementen über ihren gesamten Lebenszyklus hinweg erheblich stärken soll.
- Betroffen sind Hersteller, Importeure und Händler von Software, Smart Devices und industriellen IoT-Produkten.
- Bei Verstößen drohen empfindliche Bußgelder.
- Der CRA ergänzt die NIS2-Richtlinie, indem er den Fokus auf die Produktsicherheit legt.
- Unternehmen sollten sich frühzeitig auf den CRA vorbereiten, der ab Dezember 2027 verbindlich gilt – zum Beispiel mit einem ISMS.
- Item A
- Item B
- Item C
Die steigende Zahl von Cyberangriffen auf Unternehmen erfordert verschärfte Sicherheitsmaßnahmen. Deshalb will die EU mit Vorschriften wie der NIS2-Richtlinie das Cybersicherheitsniveau europäischer Unternehmen gezielt stärken. Neben NIS2 ist für gefährdete Organisationen ein weiteres europäisches Gesetz relevant: der Cyber Resilience Act.
Was ist der Cyber Resilience Act?
Der Cyber Resilience Act (CRA) ist eine EU-weite Verordnung, mit der die Europäische Kommission die Cybersicherheit von Produkten mit digitalen Elementen erhöhen will. Mit dem CRA will sie einheitliche Sicherheitsstandards für Produkte mit digitalen Elementen schaffen, um Verbraucher und Unternehmen besser vor Cyberrisiken zu schützen.
Da die Digitalisierung rasant voranschreitet, ist eine große Bandbreite von Produkten vom CRA betroffen – ob Laptops, Steuerungssysteme für die Industrie oder Software. Sowohl die Hersteller als auch die Importeure und Händler solcher Produkte müssen sich mit dem CRA beschäftigen, denn die Anforderungen des CRA betreffen den gesamten Lebenszyklus digitaler Produkte, die künftig bereits bei Markteinführung ein Mindestmaß an Informationssicherheit erfüllen müssen.
Lesetipp: Was ist der Unterschied zwischen Datenschutz und Informationssicherheit?
Warum ist der Cyber Resilience Act für Unternehmen wichtig?
Für betroffene Unternehmen bringt der CRA tiefgreifende Veränderungen in Bezug auf die Informationssicherheit.
Das sind die wichtigsten Anforderungen des CRA im Überblick:
- Security im gesamten Lebenszyklus: Hersteller sind bereits in der Entwicklungsphase verpflichtet, mögliche Risiken im Blick zu haben und dafür zu sorgen, dass ihre Produkte grundlegende Cybersicherheitsanforderungen erfüllen. Softwarelösungen müssen beispielsweise standardmäßig eine Funktion zur Verschlüsselung von Daten mitbringen. Nach Markteinführung sollen regelmäßige Updates und Patch-Management dafür sorgen, dass die Produkte in Sachen Cybersecurity auf dem aktuellen Stand bleiben.
- Schwachstellen managen und melden: Unternehmen sollen Sicherheitslücken in Zukunft kontinuierlich überwachen, bewerten und möglichst schnell beheben. Sicherheitsvorfälle müssen innerhalb von 24 Stunden an die Agentur der Europäischen Union für Cybersicherheit (ENISA) gemeldet werden.
- Sicherheit dokumentieren und belegen: Hersteller von Produkten mit digitalen Elementen müssen eine technische Dokumentation ihrer Informationssicherheit bereitstellen, die unter anderem eine EU-Konformitätserklärung als Bestätigung dafür enthält, dass ihre Produkte sicher sind.
Diese Strafen drohen bei einem Verstoß
Bei Nichteinhaltung der CRA-Vorgaben müssen Hersteller und Händler empfindliche Strafen in Kauf nehmen – je nach Art des Verstoßes drohen ihnen Strafen von bis zu 15 Millionen Euro oder 2,5 Prozent ihres weltweiten Jahresumsatzes. Bereits Falschangaben zur Informationssicherheit können Strafen von bis zu 5 Millionen Euro oder 1 Prozent des weltweiten Jahresumsatzes nach sich ziehen.
Welche Produkte sind vom Cyber Resilience Act betroffen?
Grundsätzlich umfasst der CRA alle Produkte mit digitalen Elementen. Das sind vor insbesondere:
- Software-Lösungen wie Passwort-Manager, Firewalls, Browser
- B2C-Produkte wie Smartphones, Smart-Home-Geräte, Wearables, Chipkarten
- Industrieprodukte wie IoT-Geräte, Steuerungen oder vernetzte Maschinen
Diese Produkte werden in wichtige Produkte der Klasse I und II und in kritische Produkte unterteilt. Zu den kritischen Produkten zählen dabei zum Beispiel Smart-Meter-Gateways oder Geräte, die Sicherheitszwecken dienen.
Ausgenommen von den Vorschriften der CRA sind Produkte, für die bereits andere EU-Vorschriften gelten, wie Medizinprodukte, Cloud-Dienste oder Produkte aus dem Militärbereich.
Noch eine Cyber-Richtlinie? So hängen CRA und NIS2 zusammen
Sowohl der Cyber Resilience Act als auch die NIS2-Richtlinie haben das Ziel, die Cybersicherheit in Organisationen in Europa zu stärken. Doch während NIS2 den Fokus auf sichere Unternehmensprozesse bei Akteuren kritischer Infrastrukturen legt, soll Cyber Resilience Act die Sicherheit von Produkten und ihren digitalen Funktionen gewährleisten.
Für Unternehmen, die von NIS2 und dem CRA betroffen sind, kann es sich lohnen, ihre Produkte unter den Gesichtspunkten beider Vorschriften zu prüfen und Synergien bei der Umsetzung der Anforderungen zu nutzen. Denn der CRA und NIS2 ergänzen einander, um Unternehmen und ihren Kunden größtmögliche Sicherheit im Cyberraum zu bieten.
Von CRA betroffen? Das ist jetzt zu tun
Um auf den Cyber Resilience Act vorbereitet zu sein, sollten Unternehmen folgende Schritte einleiten:
- Bestandsaufnahme: Erfassen Sie alle Produkte mit digitalen Elementen.
- Risikoanalyse: Identifizieren Sie potenzielle Schwachstellen und Bedrohungen.
- Security by Design: Sorgen Sie dafür, dass Cybersicherheit im gesamten Lebenszyklus Ihrer Produkte eine Rolle spielt – von der ersten Idee bis zu End of Life.
- Compliance-Strategie entwickeln: Planen Sie Ressourcen für Schwachstellenmanagement, Incident Response und Reporting.
- Lieferketten überprüfen: Stellen Sie sicher, dass auch Zulieferer CRA-Anforderungen einhalten.
- Interne Prozesse anpassen: Schulen Sie Mitarbeiter und passen Sie Ihre Sicherheits- und Dokumentationsstandards an.
Zeitplan und nächste Schritte: Jetzt Fokus auf Informationssicherheit legen
Der Cyber Resilience Act trat am 10. Dezember 2024 in Kraft und gilt ab Dezember 2027. Bis dahin haben Unternehmen Zeit, die Anforderungen aus dem CRA umzusetzen. Es lohnt sich, jetzt schon aktiv zu werden: Denn Hacker halten sich nicht an EU-Fristen und Wettbewerber, die schnell auf die neuen Vorgaben reagieren, können ihre Produkte als besonders sicher verkaufen – ein Vorteil auf einem zunehmend sicherheitsbewussten Markt.
Gut zu wissen: Die Meldepflicht gilt bereits ab September 2026.
Wer die CRA sicher umsetzt und Cybersicherheit von Anfang an konsequent integriert, schützt seine Kunden, sondern sichert auch seine eigene Wettbewerbsfähigkeit. Ein guter Startpunkt für betroffene Unternehmen ist der Aufbau eines Informationssicherheitsmanagementsystems (ISMS) auf Basis der ISO 27001. Damit legen Sie die Grundlage, um Vorgaben wie NIS2 oder CRA zu erfüllen.
Vereinbaren Sie jetzt einen unverbindlichen Termin und finden Sie heraus, wie Sie ein ISMS umsetzen, um Ihre Cybersecurity zu stärken und dabei die DSGVO sicher einzuhalten.
Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.





Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.