Wir verwenden Cookies für Analyse und Fehlerbehebung.

Zurück zum Blog

Cyber Resilience Act - Was Hersteller jetzt wissen müssen

CRARegulierungComplianceEU

1. Der Cyber Resilience Act (CRA) – was auf Hersteller zukommt

Der Cyber Resilience Act (CRA) ist einer der tiefgreifendsten regulatorischen Eingriffe der EU in die Produktentwicklung der letzten Jahre. Er definiert Cybersicherheit erstmals ausdrücklich als verpflichtende Produkteigenschaft. Rechtlich wird sie damit auf eine Stufe mit klassischen Anforderungen wie elektrischer Sicherheit oder funktionaler Sicherheit gestellt.

Rechtsgrundlage ist die Verordnung (EU) 2024/2847, insbesondere Artikel 13 und 14 sowie die zugehörigen Anhänge.

Für Hersteller bedeutet das:
Cybersicherheit ist keine freiwillige Zusatzleistung mehr. Ohne nachweisbare Erfüllung der CRA-Anforderungen darf ein Produkt künftig nicht mehr auf dem EU-Markt bereitgestellt werden.

2. Warum der Cyber Resilience Act eingeführt wurde

Digitale Funktionen sind heute integraler Bestandteil nahezu aller Produkte. Maschinen, Steuerungen, Embedded Systeme, Software und Cloud-Anbindungen sind vernetzt, updatefähig und oft über viele Jahre im Einsatz. Gleichzeitig nehmen Sicherheitsvorfälle, bekannte Schwachstellen und Angriffe kontinuierlich zu.

Bislang war Cybersicherheit im Produktkontext häufig:

  • uneinheitlich geregelt
  • stark von freiwilligen Maßnahmen abhängig
  • schwer überprüfbar

Der CRA soll dieses Defizit beheben. Ziel ist es, ein einheitliches, überprüfbares Mindestniveau an Cybersicherheit für Produkte mit digitalen Elementen zu schaffen.

Diese Zielsetzung zieht sich durch den gesamten Rechtsakt und konkretisiert sich insbesondere in:

  • Artikel 5–10 (Anwendungsbereich und Pflichten)
  • Artikel 13 (Pflichten der Hersteller)
  • Anhang I (Wesentliche Cybersicherheitsanforderungen)

3. Welche Produkte vom CRA betroffen sind

Der CRA gilt für alle Produkte mit digitalen Elementen im Sinne von Artikel 3 Nr. 1. Darunter fallen Hardware und Software, deren bestimmungsgemäße Verwendung eine direkte oder indirekte Datenverbindung erfordert.

Beispiele:

  • Maschinen mit Steuerungssoftware
  • Embedded Systeme
  • Industrie-PCs und Gateways
  • IoT- und IIoT-Komponenten
  • eigenständig vertriebene Software

Der Anwendungsbereich ist bewusst breit gefasst. Entscheidend ist nicht die Branche, sondern die digitale Funktionalität des Produkts.

Ausnahmen und Sonderfälle sind in Artikel 2 geregelt, ändern aber nichts am Grundprinzip:
Digitale Produkte unterliegen künftig regulatorischen Cybersicherheitsanforderungen.

4. Rollen und Verantwortlichkeiten im CRA

Der CRA unterscheidet drei zentrale Marktrollen:

  • Hersteller (Artikel 13)
  • Importeure (Artikel 16)
  • Händler (Artikel 17)

Die Hauptverantwortung liegt eindeutig beim Hersteller. Er muss sicherstellen, dass das Produkt:

  • die Anforderungen aus Anhang I erfüllt
  • korrekt dokumentiert ist (Anhang VII)
  • mit Nutzerinformationen versehen ist (Anhang II)
  • über den Lebenszyklus hinweg abgesichert wird

Importeure und Händler haben Prüf- und Sorgfaltspflichten, dürfen sich aber nicht auf bloße Zusicherungen verlassen.

5. Zentrale Pflichten des Cyber Resilience Act

Der CRA bündelt seine Anforderungen in drei großen Pflichtbereichen, die jeweils explizit im Gesetz verankert sind.

5.1 Produktanforderungen – Anhang I, Teil 1

Die wesentlichen Cybersicherheitsanforderungen für Produkte sind in Anhang I, Teil 1 festgelegt. Sie gelten horizontal für alle betroffenen Produkte, unabhängig von Branche oder Technologie.

Gefordert wird unter anderem, dass Produkte:

  • ohne bekannte ausnutzbare Schwachstellen in Verkehr gebracht werden
  • mit sicheren Standardeinstellungen ausgeliefert werden
  • angemessene Zugriffskontrollen implementieren
  • Vertraulichkeit, Integrität und Verfügbarkeit schützen
  • Angriffsflächen minimieren
  • Sicherheitsaktualisierungen ermöglichen

Der CRA verlangt ausdrücklich keine absolute Sicherheit, sondern eine risikobasierte Umsetzung. Maßstab ist, ob das Sicherheitsniveau im Verhältnis zu den identifizierten Risiken angemessen ist.

5.2 Schwachstellenmanagement – Anhang I, Teil 2

Das verpflichtende Schwachstellenmanagement ist in Anhang I, Teil 2 geregelt und wird durch Artikel 13 Absatz 8 konkretisiert.

Hersteller müssen ein strukturiertes Verfahren einrichten, das mindestens umfasst:

  • Entgegennahme von Schwachstellenmeldungen
  • Bewertung und Priorisierung
  • Behebung und Nachverfolgung
  • Kommunikation mit Nutzern
  • Koordinierte Offenlegung (Disclosure)

Zusätzlich gelten Meldepflichten gegenüber Behörden gemäß Artikel 14, insbesondere bei aktiv ausgenutzten oder schwerwiegenden Schwachstellen.

Diese Pflichten werden ab dem 11.09.2026 verbindlich.

5.3 Dokumentation und Nutzerinformationen – Anhang VII und Anhang II

Cybersicherheit muss nicht nur umgesetzt, sondern auch nachweisbar sein. Der CRA regelt dies explizit in zwei Anhängen:

  • Anhang VII: Technische Dokumentation
  • Anhang II: Produktbegleitende Nutzerinformationen

Die technische Dokumentation muss unter anderem enthalten:

  • eine Beschreibung des Produkts
  • die durchgeführte Risikoanalyse
  • umgesetzte Sicherheitsmaßnahmen
  • Nachweise zur Erfüllung von Anhang I

Die Nutzerinformationen müssen verständliche Hinweise zur sicheren Verwendung, Konfiguration und Wartung enthalten.

Ohne diese Dokumentation ist eine CE-Kennzeichnung rechtlich nicht zulässig.

6. Standards, Produktklassen und Zeitplan

Der CRA verweist auf harmonisierte Standards gemäß Artikel 27, die die Anforderungen aus Anhang I konkretisieren.

Dabei wird unterschieden zwischen:

  • Typ-A-Standards: Allgemeine Prinzipien
  • Typ-B-Standards: Produktagnostische Anforderungen (z. B. Schwachstellenmanagement)
  • Typ-C-Standards: Produktspezifische Anforderungen

Der zeitliche Rahmen ergibt sich aus Artikel 71:

  • Inkrafttreten der Verordnung: 2024
  • Anwendung der Meldepflichten: 11.09.2026
  • Vollständige Anwendung: 11.12.2027

7. Wie Complioty bei der Umsetzung des CRA unterstützt

Der CRA fordert kein einzelnes Dokument, sondern ein konsistentes System, das Anforderungen aus mehreren Artikeln und Anhängen miteinander verbindet. Genau hier setzt Complioty an.

7.1 Notifier – Schwachstellenmanagement nach Anhang I, Teil 2 und Artikel 14

Der Notifier unterstützt Hersteller bei der Umsetzung der Anforderungen aus:

  • Anhang I, Teil 2 (Vulnerability Handling)
  • Artikel 14 (Meldepflichten)

Er stellt einen öffentlichen Meldekanal bereit, unterstützt strukturierte Workflows zur Bearbeitung von Schwachstellen und dokumentiert alle Schritte revisionssicher. Damit wird das Schwachstellenmanagement CRA-konform und prüffähig.

7.2 Designer – Risikomanagement als Grundlage von Anhang I

Der Designer adressiert die implizite Kernanforderung des CRA: die Risikoanalyse, auf die sich sämtliche Anforderungen aus Anhang I, Teil 1 stützen.

Hersteller können:

  • Produktarchitekturen modellieren
  • Bedrohungen systematisch analysieren
  • Risiken bewerten und priorisieren
  • Maßnahmen dokumentieren

So entsteht eine belastbare Grundlage für die Erfüllung der Produktanforderungen.

7.3 Documenter – Dokumentation nach Anhang VII und Anhang II

Der Documenter unterstützt bei der Erstellung und Pflege der:

  • technischen Dokumentation gemäß Anhang VII
  • Nutzerinformationen gemäß Anhang II

Dokumente entstehen kontinuierlich entlang des Produktlebenszyklus und bleiben konsistent, aktuell und prüffähig.

8. Fazit

Der Cyber Resilience Act macht Cybersicherheit zu einer rechtlich überprüfbaren Produkteigenschaft. Die Anforderungen sind klar strukturiert und explizit im Gesetz verankert:

  • Produktanforderungen: Anhang I, Teil 1
  • Schwachstellenmanagement: Anhang I, Teil 2
  • Dokumentation: Anhang VII und II

Hersteller müssen Sicherheit nicht nur umsetzen, sondern nachweisbar beherrschen.
Complioty unterstützt dabei, diese Anforderungen systematisch, verständlich und praxisnah umzusetzen – entlang des gesamten Produktlebenszyklus.

Bereit, loszulegen?

Cyber Resilience Act

11. September 2026.

Ab dann ist Product Security gesetzliche Pflicht.

176
Tage
:
15
Std.
:
27
Min.
:
36
Sek.

Wissen allein reicht nicht. Handeln zählt.

Setze die Erkenntnisse direkt um. Complioty macht Product Security umsetzbar.

Kostenloser CRA-Quick Scan