Cyber Resilience Act (CRA): Der Weckruf für Hersteller digitaler Produkte – Was Sie jetzt wissen und tun müssen

Im vergangenen Jahr wurden täglich im Durchschnitt mehr als 100 neue Sicherheitsschwachstellen in Softwareprodukten bekannt – ideale Einfallstore für Cyberkriminelle, Spionage und Ransomware-Erpressungen. Allein in Deutschland entstand dadurch zuletzt ein wirtschaftlicher Schaden von rund 180 Milliarden Euro.

Um diese massive Bedrohungslage zu bekämpfen, zieht die Europäische Union nun andere Saiten auf: Mit dem Cyber Resilience Act (CRA) soll Cybersicherheit vom reinen „Nice-to-have“ zum zwingenden Industriestandard werden.

In diesem Artikel erfahren Sie alles, was Entwickler, Hersteller und Händler jetzt über das neue Gesetz wissen müssen, um auch in Zukunft auf dem europäischen Markt geschäftsfähig zu bleiben.

Wer ist vom CRA betroffen?

Wenn Sie glauben, das Gesetz betreffe Ihr Unternehmen nicht, irren Sie sich sehr wahrscheinlich. Der CRA ist eine sogenannte horizontale (branchenübergreifende) Regulierung.

Betroffen sind alle Produkte mit digitalen Elementen, die digitale Schnittstellen besitzen und vernetzt werden können. Dabei ist es völlig unerheblich, ob das Produkt im Alltag tatsächlich mit dem Internet verbunden wird – allein die technische Fähigkeit reicht aus. Die Spanne reicht von der reinen Software-App über das vernetzte Babyphone bis hin zu hochkomplexen Industrieanlagen und Maschinen.

Zudem gilt: Das Gesetz regelt den Marktzugang zur EU. Es ist völlig egal, wo ein Produkt entwickelt oder hergestellt wurde. Wer in Europa verkaufen will, muss die Anforderungen erfüllen. Das ist besonders für Unternehmen in der Schweiz essenziell: Möchten Schweizer Firmen ihre Software oder digitalen Produkte in die EU exportieren, führt am CRA kein Weg vorbei.

Was droht bei Verstößen?

Die Anforderungen des CRA sind direkt an die CE-Kennzeichnung geknüpft. Erfüllt ein Produkt die Cybersicherheitsvorgaben nicht, darf kein CE-Kennzeichen angebracht und das Produkt in Europa schlichtweg nicht mehr verkauft werden.

Darüber hinaus können Behörden zeitweise Verkaufsverbote verhängen oder offizielle Produktwarnungen aussprechen. Bei schwerwiegenden Verstößen drohen drakonische Strafen von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Vorjahresumsatzes – je nachdem, welcher Betrag höher ausfällt.

Die wichtigsten Stichtage: Die Uhr tickt

Unternehmen haben nicht mehr viel Zeit, sich auf die neuen Spielregeln einzustellen. Zwei Daten sind dabei besonders kritisch:

• 11. September 2026: Ab diesem Tag gelten strenge Meldepflichten für aktiv ausgenutzte Schwachstellen in Produkten. Dies betrifft übrigens nicht nur Neuerscheinungen, sondern alle Produkte mit digitalen Elementen, die sich zu diesem Zeitpunkt bereits auf dem Markt befinden.
• 11. Dezember 2027: Ab diesem Stichtag dürfen in der EU ausschließlich CRA-konforme Produkte verkauft werden, unabhängig davon, wann sie ursprünglich entwickelt wurden.

Was fordert das Gesetz? „Security by Design“

Das Herzstück des CRA ist das Paradigma Security by Design. Sicherheit darf nicht erst am Ende der Entwicklung durch einen Penetrationstest geprüft werden, sondern muss den gesamten Produktlebenszyklus durchdringen.

Die wichtigsten technischen und organisatorischen Pflichten umfassen:

• Bedrohungs- und Risikoanalysen: Unternehmen müssen systematisch ermitteln, wo die „Kronjuwelen“ (schützenswerte Daten und Funktionen) ihres Produkts liegen, welche Bedrohungen existieren und wie groß die Risiken sind. Der CRA verlangt nicht, jedes Produkt zu einem „digitalen Fort Knox“ zu machen, sondern Maßnahmen zu ergreifen, die dem individuellen Risiko angemessen sind.
• Minimierung der Angriffsfläche: Unnötige Ports müssen geschlossen und ungenutzte Schnittstellen deaktiviert werden.
• Keine Standardpasswörter: Voreingestellte Zugangscodes wie „admin“ oder „123″ sind strengstens untersagt; unberechtigter Zugriff muss technisch verhindert werden.
• Keine bekannten Schwachstellen bei Auslieferung: Verlässt ein Produkt das Werk, darf es keine bekannten, ausnutzbaren Sicherheitslücken enthalten.
• Kostenfreie Updates: Hersteller müssen für einen Unterstützungszeitraum (mindestens 5 Jahre oder entsprechend der Nutzungsdauer) Schwachstellen überwachen und in der Regel kostenfreie Sicherheitsupdates bereitstellen. Für maßgeschneiderte B2B-Produkte gelten hier Ausnahmeregelungen.
• Software Bill of Materials (SBOM): Um zu wissen, ob Zulieferer-Komponenten von Schwachstellen betroffen sind, benötigen Unternehmen lückenlose Software-Stücklisten.

Strenge Meldepflichten: Das 24-Stunden-Fenster

Erlangt ein Unternehmen Kenntnis darüber, dass eine Schwachstelle in einem seiner Produkte aktiv von Angreifern ausgenutzt wird, muss es sofort handeln:

• Innerhalb von 24 Stunden: Eine erste Frühwarnung muss an die europäische Cybersicherheitsagentur (ENISA) geschickt werden (KMUs haben hierfür 72 Stunden Zeit).
• Innerhalb von 72 Stunden: Ein detaillierter Bericht zur Schwachstelle muss folgen.
• 14 Tage nach dem Update: Ein abschließender Bericht ist bei der ENISA einzureichen.

Um dieses straffe Timing bewältigen zu können, wird Unternehmen dringend die Gründung eines Product Security Incident Response Teams (PSIRT) empfohlen. Diese zentrale Schaltstelle koordiniert Schwachstellenmeldungen, bewertet Spam von echten Bedrohungen, kommuniziert mit Behörden und stößt die Entwicklung von Updates an.

Was ist für Schweizer Unternehmen besonders wichtig?

Die Schweiz ist kein EU-Mitglied, aber für Schweizer Unternehmen mit EU-Exportgeschäft ist der CRA von direkter und unmittelbarer Relevanz. Das Gesetz macht keinen Unterschied, wo ein Produkt entwickelt oder hergestellt wurde – entscheidend ist allein der Verkauf auf dem europäischen Markt.

Das bedeutet konkret: Jedes Schweizer Unternehmen, das digitale Produkte, Software oder vernetzbare Maschinen in die EU exportiert, muss die vollständigen CRA-Anforderungen erfüllen – inklusive der Meldepflichten gegenüber der ENISA, der CE-Kennzeichnung und der Security-by-Design-Vorgaben. Wer dies ignoriert, riskiert Marktzugangssperren und empfindliche Bußgelder.

Wie Sie sich jetzt vorbereiten können

Der Berg an Anforderungen mag gewaltig erscheinen, aber ein strukturiertes Vorgehen hilft. Experten empfehlen folgende erste Schritte:

• Status Quo ermitteln (GAP-Analyse): Analysieren Sie Ihr Produktportfolio. Welche Produkte fallen unter den CRA? Wo gibt es Lücken zu den geforderten Standards?
• Verantwortlichkeiten klären: Es braucht klare Ansprechpersonen im Unternehmen, die das Thema vorantreiben.
• Mitarbeiter schulen: Bilden Sie Fachkräfte zu „Security Champions“ weiter, die das Wissen um sichere Softwareentwicklung in die einzelnen Teams tragen.
• Methoden etablieren: Lernen Sie systematische Risikobewertungen durchzuführen, beispielsweise mit Datenflussdiagrammen oder der STRIDE-Methode.
• PSIRT aufbauen: Etablieren Sie ein internes Reaktionsteam für Sicherheitsvorfälle, um die engen Meldefristen einhalten zu können.

Die Chancen hinter der Pflicht

Auch wenn der CRA zunächst Aufwand und Kosten bedeutet, eröffnet er enorme strategische Chancen. Durch das Überdenken der eigenen Entwicklungsprozesse können Unternehmen effizienter werden. Wer das Thema Cybersicherheit als Teil moderner Ingenieurskunst begreift, kann sich einen echten Innovationsvorsprung auf dem Weltmarkt erarbeiten. Hochsichere Produkte „Made in Europe“ werden in einer von Cyberkriminalität geprägten Welt immer gefragter sein.

Zudem bietet der Zwang zur Update-Fähigkeit ganz neue Geschäftsmöglichkeiten: Wer Systeme entwickelt, um Sicherheitspatches sicher über die Luft (Over-the-Air) auszuspielen, kann über dieselben Kanäle künftig auch kostenpflichtige Feature-Upgrades oder Service-Dienstleistungen anbieten.

Fazit

Der Cyber Resilience Act wird die Entwicklung digitaler Produkte massiv verändern. Die Stichtage rücken näher – insbesondere der 11. September 2026 für die ersten Meldepflichten ist nicht mehr weit entfernt. Handeln Sie jetzt, etablieren Sie saubere Risiko- sowie Schwachstellenmanagement-Prozesse und machen Sie Cybersicherheit zu Ihrem Marktvorteil.

Haben Sie Fragen zur CRA-Konformität Ihrer Produkte oder benötigen Sie Unterstützung bei der Vorbereitung? Wir helfen Ihnen dabei, Ihre Systeme und Prozesse fit für die neuen Anforderungen zu machen.