Cyber Resilience Act- Pflichten für Hersteller

Mit dem Cyber Resilience Act verpflichtet die EU Hersteller digitaler Produkte zu mehr Cybersicherheit. Ab 2027 gelten für neue Produkte, neue Regeln für Software und Hardware. Dieser Beitrag zeigt, wer betroffen ist, welche Pflichten bestehen und wo Unternehmen Unterstützung finden.

Hintergrund und Ziel

Der Cyber Resilience Act (CRA) ist die erste EU-weite Verordnung, die verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt. Ziel ist es, die Sicherheit vernetzter Produkte zu erhöhen und Verbraucher sowie Unternehmen besser vor Cyberangriffen zu schützen.

Bin ich betroffen?

Ihr Produkt fällt unter den CRA, wenn:
  • es digitale Elemente enthält oder eine Software ist,
  • es ab Ende 2027 neu auf den EU-Markt gebracht wird,
  • es nicht zu den ausgenommenen Sektoren gehört (Medizinprodukte, Fahrzeuge, In-vitro-Diagnostika, zivile Luftfahrt, nationale Sicherheit),
  • es keine kostenfreie Open-Source-Software ohne Gewinnerzielungsabsicht ist.

Welche Produkte sind betroffen?

Der CRA gilt für eine breite Palette von Produkten:
  • Hardware: Smartphones, Laptops, Smartwatches, Smarthome-Geräte, Firewalls, Mikroprozessoren, intelligente Zähler
  • Software: Buchhaltungssoftware, Apps, Computerspiele
  • B2B- und High-End-Systeme ebenso wie günstige Verbraucherprodukte

Welche Fristen gelten?

  • 11. Juni 2026: Konformitätsbewertungsstellen (KBS) werden autorisiert.
  • 11. September 2026: Meldepflicht für Schwachstellen und Sicherheitsvorfälle tritt in Kraft.
  • 11. Dezember 2027: Alle neuen Produkte müssen vollständig CRA-konform sein.

Was sind meine Pflichten als Hersteller?

Wenn Sie ein Produkt mit digitalen Funktionen entwickeln oder vertreiben – z. B. eine App, ein smartes Gerät oder eine Software – dann müssen Sie künftig nachweisen, dass dieses Produkt cybersicher ist. Das geschieht über eine sogenannte Konformitätserklärung.

Was ist eine Konformitätserklärung?

Das ist ein offizielles Dokument, mit dem Sie bestätigen: „Mein Produkt erfüllt alle Anforderungen des CRA.“ Es ist vergleichbar mit dem CE-Zeichen – nur mit dem Fokus auf Cybersicherheit.

Wie bekomme ich diese Erklärung?

Das hängt davon ab, wie riskant Ihr Produkt aus Sicht der Cybersicherheit ist:
  • Standardprodukte: Selbstprüfung und eigene Konformitätserklärung
  • Wichtige Produkte: Prüfung durch externe Stelle oder Zertifizierung
  • Kritische Produkte: Zertifizierung durch offizielle Stelle verpflichtend

Konkrete Handlungsempfehlungen

  • Risikobewertung durchführen
  • Sicherheitsfunktionen einbauen
  • SBOM erstellen (Software Bill of Materials)
  • Supportzeitraum festlegen (mind. 5 Jahre)
  • Meldepflicht beachten (24h Frühwarnung, 72h vollständige Meldung)

Wo bekomme ich Unterstützung?

Wenn Sie selbst prüfen möchten:

Wenn Sie externe Hilfe brauchen:

  • wenden Sie sich an notifizierte Stellen (z. B. TÜV, DEKRA).
  • Das BSI richtet eine zentrale Meldeplattform für Sicherheitsvorfälle und Schwachstellen ein, das voraussichtlich ab August 2026 aktiv sein wird.
  • Für Fragen zur Umsetzung und zur Konformität wird es Helpdesks geben, die insbesondere KMU beraten sollen. Diese werden laut BSI im Zuge der CRA-Umsetzung eingerichtet.
  • Das BSI plant sogenannte Regulatory Sandboxes: Das sind Testumgebungen, in denen Unternehmen ihre Produkte vorab prüfen und CRA-konform weiterentwickeln können – ohne sofortige Marktverpflichtung.Diese Sandboxes sollen insbesondere Innovationen fördern und rechtssichere Produktentwicklung ermöglichen.

Zusammenfassung – Ihre To-Do-Liste

  • Prüfen Sie, ob Ihr Produkt unter den CRA fällt
  • Entscheiden Sie, ob Sie selbst bewerten oder externe Hilfe brauchen
  • Beginnen Sie mit der Risikobewertung und Sicherheitsplanung
  • Erstellen Sie eine SBOM
  • Planen Sie Updates und Support
  • Informieren Sie sich über Meldepflichten und Fristen