Cyber Resilience Act 2026: Was Hersteller vernetzter Produkte jetzt wissen müssen

Ein neues Regulierungsregime für vernetzte Produkte

Mit dem Cyber Resilience Act (VO (EU) 2024/2847) – kurz CRA – hat die Europäische Union erstmals ein verbindliches Cybersicherheitsrahmenwerk für alle Produkte mit digitalen Elementen geschaffen, die auf dem EU-Markt in Verkehr gebracht werden. Das umfasst sowohl Hardware als auch Software: von vernetzten Haushaltsgeräten über Industriesteuerungen bis hin zu Anwendungssoftware und Betriebssystemen. Der CRA schließt damit eine langjährige Regulierungslücke, denn bislang existierten für die Cybersicherheit von Produkten nur branchenspezifische Vorgaben – ein kohärenter, produktübergreifender Mindeststandard fehlte vollständig. Genau das ändert der CRA grundlegend und setzt damit neue Maßstäbe für den gesamten europäischen Binnenmarkt.

Ab dem heutigen 11. Juni 2026 finden die Bestimmungen über die Notifizierung von Konformitätsbewertungsstellen Anwendung. Das bedeutet: Die nationalen Behörden – in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI) – haben ab sofort die erforderlichen Verfahren zur Bewertung, Benennung und offiziellen Notifizierung von Konformitätsbewertungsstellen etabliert und veröffentlicht. Für Hersteller, die ihre Produkte durch externe Stellen zertifizieren lassen müssen oder wollen, ist dieser Meilenstein unmittelbar relevant: Ab jetzt ist klar, welche Stellen dafür offiziell zugelassen sind und welche Anforderungen an ihre Akkreditierung gestellt werden.

Was der CRA konkret vorschreibt

Der Cyber Resilience Act verfolgt einen risikobasierten Ansatz und unterscheidet je nach Kritikalität des Produkts zwischen verschiedenen Konformitätspfaden. Die grundlegende Anforderung gilt jedoch für alle Produkte mit digitalen Elementen gleichermaßen: Sie müssen so konzipiert und hergestellt sein, dass sie ein angemessenes Cybersicherheitsniveau aufweisen. Der Gesetzgeber hat dabei konkrete technische Mindestanforderungen festgelegt, die einzuhalten sind, bevor ein Produkt in der EU auf den Markt gebracht werden darf.

Im Kern schreibt der CRA vor, dass Produkte ohne bekannte ausnutzbare Schwachstellen auf den Markt gebracht werden müssen. Das Prinzip der minimalen Angriffsfläche ist verbindlich umzusetzen; Standardkonfigurationen müssen sicher sein, und Sicherheitsupdates müssen während des gesamten Produktlebenszyklus – mindestens jedoch für fünf Jahre – bereitgestellt werden. Darüber hinaus müssen Hersteller ein Schwachstellenmanagement etablieren und nachweisen, dass sie entdeckte Sicherheitslücken systematisch bearbeiten und beheben.

Die Produktkategorien und Konformitätswege

Der CRA teilt Produkte mit digitalen Elementen in drei Kategorien ein, denen unterschiedliche Konformitätspflichten zugeordnet sind. Die Einordnung richtet sich nach dem Sicherheitsrisiko, das von einem Produkt im Fall eines Angriffs ausgehen kann.

• Standardprodukte: Hersteller können die Konformität durch eine Selbstbewertung nachweisen. Dies betrifft die große Mehrheit aller vernetzten Produkte.
• Wichtige Produkte (Klasse I und II): Für Produkte mit erhöhtem Sicherheitsrisiko – etwa Router, Firewalls oder Passwortmanager – ist eine externe Bewertung oder Zertifizierung erforderlich.
• Kritische Produkte: Für hochkritische Produkte ist eine Zertifizierung durch eine offiziell notifizierte Stelle zwingend. Hier greift der heutige Meilenstein direkt.

Die nächsten Fristen

Der CRA folgt einem gestaffelten Anwendungsplan. Unternehmen sollten diese Fristen jetzt in ihre Compliance-Roadmap einplanen.

• 11. Juni 2026 (heute): Notifizierungsverfahren für Konformitätsbewertungsstellen etabliert.
• 11. September 2026: Meldepflichten für Schwachstellen und Sicherheitsverfälle treten in Kraft (24h-Meldung an ENISA).
• 11. Dezember 2027: Alle CRA-Anforderungen gelten vollständig.

Wer ist betroffen – und welche Sanktionen drohen?

Betroffen sind alle Wirtschaftsakteure, die Produkte mit digitalen Elementen in der EU in Verkehr bringen: Hersteller, Importeure und Händler. Auch Open-Source-Software ist vom CRA erfasst, wenngleich für nicht-kommerzielle Projekte Ausnahmen gelten. Unternehmen, die Open-Source-Komponenten in kommerzielle Produkte einbinden, tragen die volle Verantwortung für die CRA-Konformität des Endprodukts.

Die Sanktionen sind empfindlich: Für Verletzungen der grundlegenden Cybersicherheitsanforderungen drohen Bußgelder von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes. Das BSI als nationale Marktüberwachungsbehörde kann nicht-konforme Produkte vom Markt nehmen, Rückrufe anordnen und den Vertrieb untersagen.

Praktische Handlungsempfehlungen

Betroffene Unternehmen sollten jetzt konkrete Maßnahmen ergreifen.

1. Produktinventar und Risikoklassifizierung: Alle Produkte mit digitalen Elementen identifizieren und den CRA-Kategorien zuordnen.
2. Gap-Analyse der technischen Anforderungen: Prüfen, inwieweit aktuelle Produkte die technischen Mindestanforderungen erfüllen.
3. Schwachstellenmanagementsystem einrichten: Spätestens bis September 2026 muss ein funktionierender Prozess zur Erkennung, Bewertung und Meldung von Schwachstellen vorhanden sein.
4. Konformitätsbewertungsverfahren planen: Frühzeitig klären, ob externe Konformitätsbewertung erforderlich ist, und Kontakt zu akkreditierten Stellen aufnehmen.
5. Technische Dokumentation und CE-Kennzeichnung: Erforderliche Dokumentation nach CRA-Vorgaben erstellen und Konformitätserklärung vorbereiten.
6. Rechtliche Beratung: CRA-Durchführungsrechtsakte werden kontinuierlich präzisiert – spezialisierte Rechtsberatung sichert aktuelle Compliance.

Fazit: Cybersicherheit wird zur Pflicht

Der Cyber Resilience Act markiert eine Zeitenwende im europäischen Produktrecht. Cybersicherheit wird zur gesetzlichen Pflichtanforderung – vergleichbar mit physischer Produktsicherheit nach dem Produktsicherheitsgesetz. Wer frühzeitig investiert, sichert sich Wettbewerbsvorteile und vermeidet empfindliche Bußgelder.

Haben Sie Fragen zum Cyber Resilience Act oder zu den Cybersicherheitspflichten für Ihre Produkte? Wir von HUFELD PartGmbB beraten Sie umfassend. Nehmen Sie jetzt Kontakt auf.