Zum Inhalt springen
EU-Flagge mit Schloss in der Mitte und digitalen Zahlen
© PX Media | stock.adobe.com

Cyber Resilience Act

Neue Sicherheitsanforderungen an Produkte mit digitalen Komponenten

Lesedauer: 5 Minuten

02.12.2025

Aktuelles

Schwachstellen in Produkte mit digitalen Elementen stellen eine große Bedrohung für Wirtschaft und Gesellschaft dar.  

Mit dem Cyber Resilience Act werden EU-weite Cybersicherheitsanforderungen für Konzeption, Entwicklung, Herstellung und Inverkehrbringen von Hardware- und Softwareprodukten eingeführt. Ziel ist die Erhöhung der Cyberresilienz und Schaffung eines EU-weit einheitlichen Rechtsrahmens für Cybersicherheitsanforderungen von Produkten mit digitalen Elementen. Die Produktpalette reicht dabei von Babymonitoren, intelligenten Uhren und Computerspielen bis hin zu Firewalls und Routern.

Hinweis
Video Cyber Resilience Act – Veranstaltung Cybersicherheit in der Lieferkette
Vortrag Recht im Cyberspace – NIS-2, Cyber Resilience Act und Co (E-Day 2025)

Die Verordnung gilt für Produkte, die direkt oder indirekt mit einem anderen Gerät oder einem Netz verbunden sind. Der Anwendungsbereich ist sehr weit, auch reine Softwareprodukte sind erfasst. Software- und Hardwareprodukte müssen künftig mit der CE-Kennzeichnung versehen sein, die darauf hinweist, dass sie den Anforderungen der Verordnung entsprechen. So soll es Verbrauchern und Unternehmen erleichtert werden, Hardware- und Softwareprodukte mit den entsprechenden Cybersicherheitsmerkmalen zu erkennen.

Produkte mit digitalen Elementen, die ab 11.12.2027 in der EU in Verkehr gebracht werden, müssen die Anforderungen vollumfänglich erfüllen.

Hinweis
 Weiterbildung zu CRA, NIS-2 und Co – Webinare, Lehrgänge und Workshops

Ziel

Die Verordnung soll

  • sicherstellen, dass Produkte mit digitalen Elementen, die in der EU in Verkehr gebracht werden, weniger Schwachstellen aufweisen
  • sicherstellen, dass die Hersteller während des gesamten Lebenszyklus eines Produkts für die Cybersicherheit verantwortlich bleiben
  • die Transparenz in Bezug auf die Sicherheit von Hardware- und Softwareprodukten verbessern
  • besseren Schutz für gewerbliche Nutzer und Verbraucher gewährleisten

Der Cyber Resilience Act ergänzt die NIS2-Gesetzgebung, die Cybersicherheitsanforderungen einschließlich Sicherheitsmaßnahmen in der Lieferkette, und Pflichten zur Meldung von Sicherheitsvorfällen für wesentliche und wichtige Einrichtungen festgelegt, um die Resilienz der von ihnen erbrachten Dienste zu erhöhen.

Zeitplan

  • 11. Dezember 2024: Geltungsbeginn CRA
  • 11. Juni 2026: Konformitätsbewertungsstellen können die Erfüllung der Anforderungen bewerten
  • 11. September 2026: Meldepflicht bei aktiv ausgenutzten Schwachstellen und schwerwiegenden Sicherheitsvorfällen
  • 11. Dezember 2027: Für Produkte, die ab dem 11. Dezember 2027 in der EU in Verkehr gebracht werden, gelten alle Anforderungen des CRA (auch wenn das Produktmodell oder die Produktart bereits davor bereitgestellt wurden).

Wer ist betroffen?

Die Verordnung gilt für auf dem Markt bereitgestellte Produkte mit digitalen Elementen, deren bestimmungsgemäßer Zweck oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt. Produkte mit digitalen Elementen sind Software- oder Hardwareprodukte und deren Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden.

Die Regelungen betreffen Unternehmen, die diese Produkte herstellen. Darüber hinaus gibt es Verpflichtungen für Händler und Einführer.

Gibt es Ausnahmen?

Es gibt keine größenabhängigen Ausnahmen. Der CRA ist grundsätzlich für alle Branchen relevant.

Ausgenommen sind

  • nicht kommerzielle Produkte
  • reine Dienstleistungen
  • medizinische Geräte und In-vitro-Diagnostika mit bereits bestehenden Regelungen
  • Fahrzeuge, Flugsysteme, Schiffsausrüstung und Bereiche für die bereits Regelungen mit gleichwertigen Anforderungen bestehen
  • Produkte mit digitalen Elementen, die ausschließlich für nationale Sicherheit oder Verteidigung eingesetzt werden

Pflichten

Der CRA sieht in Abhängigkeit von der Klassifizierung der Produkte ab unterschiedliche Anforderungen bzw. Cybersecuritymaßnahmen vor.

» Information des deutschen BSI: Wie werden Produkte klassifiziert und welche Arten von Konformitätsnachweisen gibt es?

Pflichten der Hersteller

  • Regelungen für das Inverkehrbringen von Hard- und Software
  • Sicherheitsanforderungen während Produktlebenszyklus
  • Anforderungen an Umgang mit Schwachstellen
  • Konformitätsbewertung und CE-Kennzeichnung (abhängig von der Risikoklassifikation des Produkts)
  • Meldepflichten
  • Transparenz

» Information des deutschen BSI: Wie mache ich meine Produkte ft für eine (cyber-) sichere Zukunft?

Der CRA verpflichtet Hersteller Cybersicherheit von Produkten über den gesamten Lebenszyklus hinweg zu berücksichtigen.

Cybersicherheit von Anfang an mitdenken

Cybersicherheit muss bereits während der Produktentwicklung mitberücksichtigt werden um potenzielle Cybersicherheitsrisiken zu identifizieren und zu minimieren. Es ist eine Risikobewertung durchzuführen. Zentrale Grundsätze wie „Security by Design“ und „Security by Default“ sind zu beachten, d.h. Sicherheitsmaßnahmen wie Verschlüsselung bei Datenübertragung, keine schwachen Standardpasswörter oder automatische Sicherheitsupdates sind vorzusehen.

Transparenz und Meldepflichten

Es muss eine technische Dokumentation mit Risikobewertung und einer Software Bill of Materials (SBOM) mit Angaben, welche Bibliotheken und weitere Softwarekomponenten im Produkt benutzt werden, erstellt werden.

Weiters gibt es Meldepflichten bei aktiv ausgenutzten Schwachstellen und schwerwiegenden Sicherheitsvorfällen, Informationspflichten gegenüber Nutzern und Behörde.

Nachweis der Anforderungen

Als Nachweis der Anforderungen, dass das Produkt alle Anforderungen des CRA erfüllt, muss eine Konformitätserklärung erstellt werden. Je nach Klassifikation des Produkts (Standard, wichtiges Produkt Klasse I oder II bzw. kritisches Produkt) gelten für das Konformitätsbewertungsverfahren unterschiedliche Anforderungen. Beim Großteil der Produkte ist eine Selbstbewertung des Herstellers ausreichend. Es ist ein CE-Kennzeichen zu vergeben.

Cybersicherheit während des gesamten Supportzeitraums

Während des gesamten Supportzeitraums (in der Regel 5 Jahre) müssen Security-Updates zur Verfügung gestellt und Schwachstellen behandelt werden.

Pflichten der Händler

Bevor sie ein Produkt mit digitalen Elementen auf dem Markt bereitstellen, überprüfen die Händler, ob

  • das Produkt mit digitalen Elementen mit der CE-Kennzeichnung versehen ist
  • der Hersteller und der Einführer die Informationspflichten erfüllt und dem Händler alle erforderlichen Dokumente zur Verfügung gestellt haben
  • Sobald die Händler von einer Schwachstelle in dem Produkt mit digitalen Elementen Kenntnis erhalten, informieren sie den Hersteller unverzüglich über diese Schwachstelle. Wenn das Produkt mit digitalen Elementen ein erhebliches Cybersicherheitsrisiko birgt, unterrichten die Händler zudem unverzüglich die Marktüberwachungsbehörden der Mitgliedstaaten

Klassifizierung der Produkte

  • Standardprodukte mit digitalen Elementen (zum Beispiel Festplatten, PC-Spiele),
  • wichtige Produkte mit digitalen Elementen Klasse I (zum Beispiel Browser, Passwort-Manager) und Klasse II (zum Beispiel Firewalls für den industriellen Einsatz, Router, Chipkarten und Chipkartenleser),
  • kritische Produkte mit digitalen Elementen

Ein Großteil (circa 90 Prozent der Erzeugnisse) sind Standardprodukte.

Hersteller und Vertreiber von wichtigen und kritischen Produkten müssen strengere Anforderungen erfüllen, beispielsweise bei der Konformitätsbewertung, die auf Basis harmonisierter EU-Standards erfolgen soll. Die Konformität wird am Produkt mit dem "CE-Kennzeichen" dokumentiert.

Sanktionen

Fast jeder Verstoß kann mit Bußgeld geahndet werden.

Die Maximalstrafen betragen bis zu EUR 15 Mio. oder bis zu 2,5 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres

Aus- und Weiterbildung

Nachlese

Weitere interessante Artikel
  • Person mit Brille im Fokus, die auf Dokument blickt, das andere Person im Vordergrund verschwommen in Hand hält und spricht
    7 Tipps für mehr Cybersicherheit im Unternehmen
    Weiterlesen
  • Laptop, Awareness für Mitarbeiter:innen
    Awareness für Mitarbeiter:innen- die wichtigsten Regeln auf einen Blick
    Weiterlesen