Cyber Resilience Act: Neue EU-Pflichten für Unternehmen

Vernetzte Türschlösser, Smartwatches oder Sprachassistenten –digitale Geräte sind längst allgegenwärtig, doch häufig unzureichend gesichert. Der Cyber Resilience Act (CRA) schließt diese Sicherheitslücke erstmals europaweit mit verbindlichen Vorgaben für Hardware und Software. Hersteller*innen, Händler*innen und Importeur*innen müssen technische und organisatorische Maßnahmen über den gesamten Lebenszyklus umsetzen – andernfalls drohen Compliance-Risiken, Haftung und Produktrückrufe. Hier erfahren Sie, welche Anforderungen gelten, wer betroffen ist und wie Axiom bei der rechtssicheren Umsetzung unterstützt.

Einordnung und Ziel des Cyber Resilience Act (CRA)

Mit dem CRA verfolgt die EU das Ziel, einheitliche Mindeststandards für die Cybersicherheit digitaler Produkte zu etablieren. Dabei geht es nicht nur um Verbraucherschutz, sondern auch um die digitale Souveränität des Binnenmarkts.

Hintergrund & Zielsetzung der EU-Verordnung

Egal ob Smart-Home-Geräte oder Industrieanlagen – die zunehmende Vernetzung von Produkten über das Internet of Things (IoT) bringt erhebliche Sicherheitsrisiken mit sich. Der EU Cyber Resilience Act reagiert auf diese Entwicklung, indem er erstmals verbindliche Anforderungen an die Cybersicherheit von Hard- und Software formuliert, die in der Europäischen Union auf den Markt gebracht werden.

Ziel ist es, einheitliche Standards zu schaffen, Sicherheitslücken systematisch zu minimieren und das Vertrauen in digitale Produkte zu stärken. Der CRA ergänzt bestehende Gesetze, adressiert jedoch explizit die Produktsicherheit mit digitalem Fokus – und damit eine bisher nur lückenhaft geregelte Risikozone.

Besonders relevant ist die Einführung eines durchgängigen Sicherheitsansatzes: Produkte mit digitalen Elementen sollen „secure by design“ und „secure by default“ entwickelt, vertrieben und gewartet werden. Zudem müssen Hersteller*innen über den gesamten Lebenszyklus Sicherheitsupdates bereitstellen – von der Entwicklung bis zur Außerbetriebnahme. Die EU setzt mit dem CRA einen wichtigen Schritt zur Stärkung der Cyberresilienz in Europa und zur Reduktion von Schadensrisiken durch IT-Schwachstellen.

Verhältnis zu NIS2, DSGVO & Produktsicherheitsvorgaben

Der Cyber Resilience Act der EU ist nicht isoliert zu betrachten, sondern fügt sich in ein komplexes Netz europäischer Regulierungen ein. Durch die Kombination entsteht ein ganzheitlicher Ordnungsrahmen für digitale Sicherheit im EU-Binnenmarkt:

• NIS2-Richtlinie: NIS2 betrifft vor allem Betreibende kritischer Infrastrukturen. Der CRA zielt dagegen auf digitale Produkte selbst ab – von einfachen Softwarelösungen bis zu komplexen industriellen Systemen.
• DSGVO: Schnittstellen zur Datenschutz-Grundverordnung bestehen insbesondere bei personenbezogenen Daten. CRA-konforme Produkte müssen Sicherheitsstandards einhalten, die auch datenschutzrechtlich relevant sind.
• Produktsicherheitsrecht: Der CRA ergänzt das bestehende Produktsicherheitsrecht um Anforderungen an digitale Risiken, wie z. B. Zero-Day-Exploits oder unzureichende Update-Mechanismen.

Während NIS2 also kritische Infrastrukturen adressiert und die DSGVO den Datenschutz regelt, hat der CRA einen horizontalen Fokus zur technischen Produktsicherheit. Er zielt auf Herstellende statt Betreibende ab, sorgt für einheitliche Compliance im digitalen Markt und schafft Schutz durch verpflichtende Sicherheitsmaßnahmen und Dokumentationspflichten.

Wer ist vom CRA betroffen?

Der Cyber Resilience Act richtet sich an eine breite Palette von Akteur*innen im europäischen digitalen Markt. Die Verordnung stellt sicher, dass alle Beteiligten entlang der Lieferkette für digitale Produkte ihren Beitrag zur Sicherheit leisten.

Hersteller*innen, Importeur*innen, Händler*innen & Softwareanbieter*innen

Der CRA adressiert primär Hersteller*innen, die digitale Produkte entwickeln und in Verkehr bringen. Sie müssen garantieren, dass ihre Produkte die Sicherheitsanforderungen erfüllen und dauerhaft sicher bleiben. Neben Hersteller*innen sind auch Importeur*innen und Händler*innen in der EU verpflichtet, nur konforme Produkte anzubieten und die Einhaltung der Vorgaben zu überprüfen.

Auch Softwareanbieter*innen, die eigenständige digitale Produkte bereitstellen, fallen unter den Anwendungsbereich. Insbesondere Anbieter*innen von Betriebssystemen, Firmware oder Anwendungen mit sicherheitskritischen Funktionen müssen gewährleisten, dass ihre Produkte den CRA-Anforderungen genügen.

Damit soll verhindert werden, dass unsichere Produkte den europäischen Markt überschwemmen und das Vertrauen in digitale Technologien untergraben wird.

Geltungsbereich: Digitale Produkte mit direkter/indirekter Verbindung

Der Cyber Resilience Act (CRA) gilt für alle digitalen Produkte, die eine direkte, indirekte oder potenzielle Verbindung zu Netzwerken oder anderen Geräten herstellen können oder könnten. Dazu zählen Hardware wie IoT-Geräte, Wearables, industrielle Steuerungssysteme und Smart-Home-Komponenten sowie Softwareprodukte, die eigenständig vertrieben oder installiert werden.

Auch Produkte, die aktuell nicht vernetzt sind, aber technisch vernetzt sein könnten, fallen demnach unter den CRA. Ausgenommen sind nur Produkte, die bereits strengeren EU-Vorschriften unterliegen, etwa Fahrzeuge, Medizinprodukte oder spezielle Verschlüsselungstechnologien. Ab dem 11. Dezember 2027 müssen alle übrigen digitalen Produkte die Anforderungen des CRA erfüllen, um auf dem EU-Markt zugelassen zu sein.

Welche Pflichten ergeben sich aus dem CRA?

Mit dem Cyber Resilience Act kommen erhebliche Pflichten auf Unternehmen zu. Diese betreffen insbesondere die Produktentwicklung, CE-Kennzeichnung, das Risiko- und Schwachstellenmanagement, die Reaktion auf Sicherheitsvorfälle und die Dokumentation.

IT-Sicherheitsanforderungen „by Design“ und „by Default“

Der CRA verlangt, dass Sicherheit über die sogenannte „security by design“ bereits im Entwicklungsprozess integriert wird. Hersteller*innen müssen geeignete technische und organisatorische Maßnahmen ergreifen, um Sicherheitslücken frühzeitig zu verhindern. Das umfasst sichere Softwarearchitekturen, Verschlüsselungstechnologien und die Vermeidung von unnötigen Schnittstellen.

Parallel dazu schreibt der CRA auch „security by default“ vor: Das bedeutet, dass digitale Produkte im Auslieferungszustand so konfiguriert sein müssen, dass sie möglichst sicher sind. Standardpasswörter oder ungeschützte Zugänge sind verboten. So wird gewährleistet, dass Nutzer*innen von Beginn an ein hohes Sicherheitsniveau erhalten.

Diese Anforderungen gelten für alle Phasen des Produktlebenszyklus und sind verbindlich, um Cyberangriffe von vornherein zu erschweren.

Risikobewertungen & Schwachstellenmanagement

Hersteller*innen sind verpflichtet, regelmäßige Risikobewertungen durchzuführen, um potenzielle Schwachstellen ihrer Produkte zu identifizieren. Auch dabei müssen sie alle Phasen des Lebenszyklus betrachten, inklusive Entwicklung, Einsatz und Wartung.

Ein strukturiertes Schwachstellenmanagement ist unerlässlich: Sobald Sicherheitslücken erkannt werden, müssen diese zeitnah behoben werden. Der Cyber Resilience Act schreibt vor, dass Hersteller*innen hierfür Updates und Patches bereitstellen und Nutzer*innen entsprechend informieren.

Diese fortlaufende Überwachung und Nachbesserung soll sicherstellen, dass digitale Produkte auch nach dem Verkauf widerstandsfähig bleiben und neue Bedrohungen adressiert werden.

Meldepflichten & Reaktionszeiten bei Sicherheitsvorfällen

Im Falle schwerwiegender Sicherheitsvorfälle schreibt der CRA verbindliche Meldepflichten vor. Betroffene Unternehmen müssen solche Vorfälle unverzüglich an die zuständigen Behörden melden, um rasche Gegenmaßnahmen zu ermöglichen.

Die Verordnung definiert zudem klare Reaktionszeiten, in denen erste Meldungen erfolgen müssen, meist innerhalb von 24 bis 72 Stunden. Diese schnellen Meldeprozesse sollen die Gesamtsicherheit erhöhen und Schäden minimieren.

Durch die Pflicht zur Meldung wird eine höhere Transparenz geschaffen und die Zusammenarbeit zwischen Unternehmen und Aufsichtsbehörden gestärkt.

CE-Kennzeichnung & technische Dokumentation

Digitale Produkte, die den CRA-Anforderungen entsprechen, erhalten eine CE-Kennzeichnung als Nachweis der Konformität mit den EU-Vorgaben. Diese Kennzeichnung ist für den Vertrieb auf dem europäischen Markt zwingend.

Zusätzlich müssen Hersteller*innen eine umfassende technische Dokumentation führen, die sämtliche Maßnahmen zur Einhaltung der Sicherheitsanforderungen beinhaltet. Dazu gehören Risikoanalysen, Testergebnisse, Designentscheidungen und Nachweise über das Schwachstellenmanagement.

Diese Dokumentation ist Grundlage für behördliche Kontrollen und dient dem Nachweis der Compliance.

Zeitplan & Umsetzungsfristen

Der Cyber Resilience Act der EU bringt verbindliche Fristen und Übergangsregelungen mit sich. Unternehmen müssen diese Termine kennen, um sich rechtzeitig und vollständig an die Compliance zu halten.

Geltung als EU-Verordnung & Übergangsregelungen

Als EU-Verordnung gilt der CRA unmittelbar in allen Mitgliedstaaten, nationale Umsetzungsgesetze sind nicht erforderlich. Er wurde am 20. November 2024 im Amtsblatt der EU veröffentlicht und trat 20 Tage später, am 10. Dezember 2024, in Kraft. Derzeit gilt eine Übergangsfrist, während der Unternehmen ihre Produkte an die neuen Anforderungen anpassen müssen.

Die Dauer der Übergangsfrist ist gestaffelt und richtet sich nach dem Produkttyp und dem Risiko. Hersteller sollten frühzeitig mit der Analyse beginnen, um die erforderlichen Anpassungen rechtzeitig umzusetzen:

• Seit 11. Juni 2026 dürfen benannte Konformitätsbewertungsstellen („Notified Bodies“) tätig werden.
• Ab 11. September 2026 sind Hersteller*innen verpflichtet, Schwachstellen und Sicherheitsvorfälle zu melden.
• Ab 11. Dezember 2027 gilt der CRA in vollem Umfang für alle neuen Produkte im EU-Markt.

Die unmittelbare Wirkung der Verordnung sorgt für europaweit einheitliche Rahmenbedingungen, stärkt den Binnenmarkt und erhöht die Rechtssicherheit.

Sanktionen & Haftungsrisiken bei Verstößen

Die Nichteinhaltung der CRA-Vorgaben hat erhebliche Konsequenzen. In diesem Abschnitt erfahren Sie mehr über mögliche Sanktionen und Haftungsrisiken.

Marktverbot, Bußgelder & zivilrechtliche Folgen

Verstoßen Unternehmen gegen die Vorgaben des Cyber Resilience Act (CRA), drohen schwerwiegende Konsequenzen – sowohl aufsichtsrechtlich als auch zivilrechtlich. Die Marktaufsichtsbehörden können unter anderem den Vertrieb betroffener Produkte untersagen, Rückrufe anordnen oder Produkte vollständig vom Markt nehmen lassen.

Zusätzlich sieht der CRA ein gestaffeltes Bußgeldsystem vor, das sich nach der Schwere des Verstoßes und dem weltweiten Jahresumsatz des Unternehmens richtet. Die maximalen Sanktionen sind erheblich:

• Bei Verstößen gegen zentrale Sicherheitsanforderungen (z. B. Artikel 13/14 oder Anhang I): bis zu 15 Millionen Euro oder 2,5% des weltweiten Jahresumsatzes, wobei jeweils der höhere Betrag fällig wird.
• Bei Verstößen gegen andere Verpflichtungen (z. B. technische Dokumentation, Importeurs- oder Händlerpflichten): bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes.
• Bei falschen oder irreführenden Informationen an Behörden oder Konformitätsstellen: bis zu 5 Millionen Euro oder 1% des weltweiten Jahresumsatzes.

Darüber hinaus sind auch zivilrechtliche Folgen denkbar: Wenn mangelnde Cybersicherheit zu Schäden bei Kund*innen, Partner*innen oder Dritten führt, drohen Schadensersatzforderungen oder Regressansprüche innerhalb der Lieferkette.

Unternehmen sollten diese Risiken nicht unterschätzen. Eine frühzeitige und umfassende CRA-Compliance schützt nicht nur vor Sanktionen, sondern auch vor Reputationsverlust und Marktbarrieren.

Wie Axiom bei rechtssicherer Umsetzung & interner Vorbereitung unterstützt

Die Umsetzung der komplexen Anforderungen des EU Cyber Resilience Act ist für viele Unternehmen eine Herausforderung. Axiom bietet umfassende rechtliche Beratung und operative Unterstützung, um die Compliance sicherzustellen.

Unsere erfahrenen Projektjurist*innen begleiten Ihr Unternehmen bei der Interpretation des rechtlichen Rahmens und helfen, maßgeschneiderte Governance-Strukturen zu entwickeln. Dank unseres flexiblen Einsatzmodells sind sie sofort verfügbar und unterstützen Sie kurz- oder langfristig – je nach Bedarf und Projektumfang. Unsere Expertise umfasst neben dem CRA auch angrenzende Bereiche wie Datenschutz und Compliance.

Mit Axiom können Sie Ihre internen Prozesse also effizient anpassen, technische Dokumentationen erstellen und sicherstellen, dass Meldepflichten und Risikomanagement rechtzeitig umgesetzt werden. So minimieren Sie Haftungsrisiken und gewährleisten eine rechtskonforme Markteinführung Ihrer digitalen Produkte.

Fazit

Der Cyber Resilience Act schafft einen einheitlichen und verbindlichen Rahmen zur Verbesserung der Sicherheit digitaler Produkte in der EU. Unternehmen aller Größenordnungen müssen sich auf neue Pflichten einstellen, die Produktentwicklung, Risikobewertung und Meldeverfahren betreffen.

Wer die Anforderungen frühzeitig erkennt und umsetzt, schützt nicht nur seine Kunden, sondern sichert auch den Marktzugang und minimiert Haftungsrisiken. Rechtliche Expertise und spezialisierte Unterstützung, wie sie Axiom bietet, sind dabei entscheidend für eine erfolgreiche und nachhaltige Compliance.

FAQs

1. Was ist das Ziel des Cyber Resilience Act?

Der Cyber Resilience Act soll die Sicherheit digitaler Produkte innerhalb der EU verbessern. Er setzt verbindliche Anforderungen, damit Produkte „by design“ und „by default“ sicher sind und Cyberangriffe besser abgewehrt werden können. So wird der Verbraucherschutz gestärkt und das Vertrauen in digitale Technologien erhöht.

2. Welche Unternehmen sind vom CRA betroffen?

Vom CRA sind Hersteller*innen, Importeur*innen, Händler*innen und Softwareanbieter*innen betroffen, die digitale Produkte in der EU in Verkehr bringen. Dies umfasst sowohl Hardware mit digitalen Komponenten als auch reine Softwareprodukte mit digitaler Vernetzung.

3. Welche Pflichten ergeben sich aus der Verordnung?

Unternehmen müssen die Sicherheitsanforderungen über den gesamten Lebenszyklus eines Produkts mit digitalen Elementen berücksichtigen, Risiken bewerten, Schwachstellen managen und Sicherheitsvorfälle melden. Zudem sind CE-Kennzeichnungen und eine technische Dokumentation erforderlich, um Compliance nachzuweisen.

4. Ab wann gilt der CRA?

Der CRA wurde am 20. November 2024 im Amtsblatt der EU veröffentlicht und ist am 10. Dezember 2024 in Kraft getreten. Als EU-Verordnung gilt er unmittelbar in allen Mitgliedstaaten, nationale Umsetzungsgesetze sind nicht erforderlich. Unternehmen haben jedoch eine Übergangsfrist von 36 Monaten, um ihre Produkte und Prozesse anzupassen. Ab dem 11. Dezember 2027 gelten die CRA-Anforderungen verbindlich für alle neu in Verkehr gebrachten Produkte mit digitalen Elementen.

5. Wie gelingt die Umsetzung mit rechtlicher Unterstützung?

Die Umsetzung des Cyber Resilience Act ist komplex und erfordert fundierte rechtliche und technische Expertise. Axiom unterstützt Unternehmen mit erfahrenen Projektjurist*innen dabei, die Anforderungen zu interpretieren, interne Prozesse anzupassen und Compliance-Maßnahmen rechtssicher umzusetzen. So lassen sich Risiken minimieren und die Produktgovernance effizient gestalten.

Der Cyber Resilience Act verfolgt das Ziel, Mindestanforderungen an die Sicherheit digitaler Produkte zu definieren. Bislang fehlten produktbezogene Vorgaben zur Cybersicherheit – eine Lücke, die mit dem CRA geschlossen wird. Hersteller müssen künftig Sicherheitsrisiken systematisch identifizieren und bereits bei der Entwicklung berücksichtigen („security by design“). Ziel ist es, Cyberangriffe zu erschweren, Sicherheitslücken schneller zu beheben und das Vertrauen in vernetzte Produkte zu stärken.