Vernetzte Produkte haben sich durchgesetzt – von Maschinen in der Produktion bis zur Cloud-Software beim Kunden. Auch diese Vernetzung erfordert eine Regulierung. Neben DSGVO, NIS-2, Data Act und KI-Verordnung kommt nun mit dem Cyber Resilience Act (CRA) ein europäischer Sicherheitsrahmen speziell für Produkte mit digitaler Verknüpfung hinzu.
Seit dem 10. Dezember 2024 ist der CRA bereits in Kraft, ab dem 11. Dezember 2027 dürfen nur noch CRA-konforme Produkte auf den europäischen Markt. Meldepflichten für Sicherheitsvorfälle greifen bereits ab 11. September 2026. Für viele mittelständische Hersteller bedeutet das: Entwicklungsprozesse, Dokumentation und Haftungsrisiken gehören auf den Prüfstand.
Regelungen des Cyber Resilience Act
Der CRA erfasst alle kommerziell bereitgestellten Produkte mit digitalen Elementen, die in der EU auf den Markt gebracht werden – vom Smart-Home-Gerät über Software bis hin zu vernetzten Industrieanlagen. Ausgenommen sind unter anderem nicht-kommerzielle Open-Source-Projekte sowie Produktgruppen, für die bereits spezifische Cybersicherheitsvorgaben bestehen, etwa Medizinprodukte oder Fahrzeuge.
Adressaten der Verordnung sind Hersteller, Importeure und Händler von Produkten mit digitalen Elementen. Reine Anwender und Betreiber haben keine unmittelbaren Pflichten aus dem CRA, sind aber mittelbar betroffen, weil sie künftig nur noch CRA-konforme Produkte einsetzen dürfen und vertraglich mehr Transparenz und Sicherheit einfordern sollten.
Kern des CRA sind verbindliche Sicherheitsanforderungen über den gesamten Produktlebenszyklus. Hersteller müssen eine Risikobewertung durchführen, geeignete technische und organisatorische Schutzmaßnahmen definieren und dokumentiert umsetzen. Produkte sollen so konstruiert und vorkonfiguriert sein, dass Angriffsflächen minimiert werden, schwache Passwörter vermieden werden und sicherheitsrelevante Funktionen – insbesondere Sicherheitsupdates – standardmäßig aktiviert sind.
Hinzu kommt ein fortlaufendes Patch-Management. Sicherheitslücken sind während des gesamten Supportzeitraums zu behandeln, typischerweise für die Lebensdauer des Produkts. Hersteller müssen Sicherheitsupdates bereitstellen und klar kommunizieren, wie lange ein Produkt unterstützt wird.
Der CRA unterscheidet zwischen „Produkten mit digitalen Elementen“ und besonders wichtigen bzw. kritischen Produktgruppen. Für den Großteil der Produkte genügt eine interne Konformitätsbewertung durch den Hersteller, für wichtige und kritische Produkte sind strengere Verfahren bei von den Mitgliedstaaten benannten Stellen vorgesehen. Parallel werden harmonisierte Normen und Leitlinien erwartet, an denen sich die praktische Umsetzung orientieren kann.
Verstöße können zu hohen Bußgeldern führen – bis zu 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes – sowie zu Maßnahmen der Marktüberwachung wie Vertriebsverboten oder Rückrufen. Daneben drohen ggf. Ansprüche aus Datenschutzverletzungen, wenn personenbezogene Daten betroffen sind.
Umsetzung im Mittelstand
Starten Sie mit einer Bestandsaufnahme Ihres Produktportfolios. Erfassen Sie, welche Produkte und Produktkombinationen Sie entwickeln, herstellen, importieren oder unter eigener Marke vertreiben und ob diese direkt oder indirekt mit Netzwerken oder anderen Geräten kommunizieren.
Verankern Sie in diesen Fällen Security by Design und Security by Default in Ihren Entwicklungsprozessen, nehmen Sie Risikobewertungen vor und übernehmen Sie die CRA-Vorgaben in Entwicklung und Qualitätssicherung: Legen Sie fest, welche Sicherheitsfunktionen standardmäßig aktiv sind und wie lange jedes Produkt unterstützt wird. Stellen Sie sicher, dass Sie rechtzeitig in der Lage sind, aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle abzustellen, bei Ihren Abnehmern zu beheben, fristgerecht zu melden und intern nachvollziehbar zu dokumentieren.
Fazit
Der Cyber Resilience Act ist kein Nischenthema für IT-Abteilungen, sondern verändert die Art und Weise, wie vernetzte Produkte konzipiert, dokumentiert und über ihren Lebenszyklus betreut werden. Ab 11. Dezember 2027 dürfen Produkte mit digitalen Elementen im europäischen Markt nur noch angeboten werden, wenn sie die CRA-Anforderungen erfüllen; zentrale Meldepflichten und erhöhte Haftungsrisiken greifen bereits ab dem 11. September 2026. Zugleich sollte auf die Einhaltung der Vorgaben von DSGVO, NIS-2, Data Act und KI-Verordnung geachtet werden – der Gesetzgeber stellt also eine Vielzahl von Bestimmungen auf, an denen sich Marktteilnehmer im IT-Umfeld messen lassen müssen.
