Veröffentlicht: 15.01.2026

Cyber Resilience Act: Grundlagen und Auswirkungen

Vom gehackten Smart-Home-System bis zur kompromittierten Unternehmenssoftware: Die digitale Welt wird zunehmend zur Angriffsfläche. Die Sicherheit von Produkten mit digitalen Elementen war bisher weitgehend ungeregelt. Genau hier setzt die Europäische Union mit einer wegweisenden Verordnung an: Dem Cyber Resilience Act.

Erstmals werden einheitliche Mindeststandards für die Sicherheit digitaler Produkte in der gesamten EU etabliert. Für Hersteller, Importeure und Händler bedeutet dies: Cybersicherheit wird zur rechtlichen Pflicht. In diesem Beitrag erfährst du, was der Cyber Resilience Act genau ist, wen sie betrifft und welche Anforderungen auf Unternehmen zukommen.

Was ist der Cyber Resilience Act?

Der Cyber Resilience Act (CRA) – auf Deutsch auch Cyberresilienz-Verordnung genannt – ist eine EU-Verordnung, die am 10. Dezember 2024 in Kraft getreten ist. Die offizielle Bezeichnung lautet „Verordnung (EU) 2024/2847 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen“.

Hauptziel des CRA

Das Hauptziel des CRA ist es, ein einheitliches Sicherheitsniveau für alle Produkte mit digitalen Elementen zu schaffen, die in der EU in Verkehr gebracht werden. Die Verordnung verfolgt einen ganzheitlichen Ansatz: Cybersicherheit soll nicht nachträglich aufgesetzt, sondern von Anfang an in den Entwicklungsprozess integriert werden – es gilt das Prinzip „Security by Design“.

Relevante Fristen des CRA

Der zeitliche Rahmen ist klar definiert: Obwohl die Verordnung bereits in Kraft getreten ist, gelten die meisten Verpflichtungen erst ab dem 11. Dezember 2027. Für bestimmte Berichtspflichten und Prozesse gelten kürzere Übergangsfristen. Diese Vorlaufzeit soll Unternehmen ermöglichen, ihre Produkte und Prozesse anzupassen. Genauere Infos findest du in unserem Beitrag über die bestehenden Fristen des CRA.

Geografischer Geltungsbereich des CRA

Der geografische Geltungsbereich umfasst den gesamten EU-Binnenmarkt. Das bedeutet: Auch Hersteller außerhalb der EU müssen die Anforderungen erfüllen, wenn sie ihre Produkte auf dem europäischen Markt anbieten möchten. Die Cyberresilienz-Verordnung schafft damit einheitliche Spielregeln für alle Marktteilnehmer.

Wer ist vom Cyber Resilience Act betroffen?

Die Cyber Resilience Act betrifft ein breites Spektrum von Akteuren entlang der gesamten Lieferkette:

  • Hersteller stehen im Zentrum der Verordnung: Sie tragen die Hauptverantwortung für die Einhaltung der Sicherheitsanforderungen – unabhängig davon, ob sie in der EU ansässig sind oder nicht.

  • Importeure übernehmen die Verantwortung: Wenn sie Produkte aus Drittländern in die EU einführen, müssen sie sicherstellen, dass die Produkte den CRA-Anforderungen entsprechen.

  • Händler haben eine Sorgfaltspflicht: Sie dürfen nur Produkte anbieten, die den Anforderungen der Cyberresilienz-Verordnung entsprechen und ordnungsgemäß gekennzeichnet sind.

Welche Produkte fallen in den Geltungsbereich des CRA?

Der CRA gilt für „Produkte mit digitalen Elementen“, die direkt oder indirekt mit einem Netzwerk oder einem Gerät verbunden werden können. Ein bewusst weit gefasster Begriff, der sowohl Hardware als auch Software umfasst. Dazu zählen:

  • Endgeräte & Hardware: Router, Firewalls, Netzwerk-Switches, Computer, Laptops, Tablets, Smartphones, Kameras, Drucker etc.

  • Smart Home & IoT: Intelligente Türschlösser, vernetzte Beleuchtungssysteme, Smart Speaker, Wearables, vernetzte Haushaltsgeräte, Sicherheitssysteme etc.

  • Software: Betriebssysteme, eigenständige Anwendungen, Apps, Browser, Fernwartungssoftware, VPN-Clients, Antivirus-Programme etc.

  • Cloud Lösungen: Software-as-a-Service (SaaS) mit herunterladbaren Komponenten, Cloud-Management-Plattformen, Remote-Access-Tools etc.

  • Industrielle Komponenten & Bauteile: Vernetzte Industrieanlagen, industrielle Steuerungssysteme, programmierbare Logikcontroller (PLC), Sensoren und Aktoren mit Netzwerkanbindung, Embedded Systems etc.

Risikokategorien des CRA

Der CRA unterscheidet dabei zwischen drei Risikokategorien, die unterschiedliche Anforderungsniveaus mit sich bringen:

  • Standardprodukte bilden die Mehrheit der betroffenen Produkte und unterliegen grundlegenden Sicherheitsanforderungen.

  • Wichtige Produkte (Klasse I und Klasse II) wie Betriebssysteme, Passwort-Manager oder Firewalls haben ein erhöhtes Risikopotenzial und müssen strengere Auflagen erfüllen.

  • Kritische Produkte wie Hardware-Sicherheitsmodule oder Smart Cards für qualifizierte elektronische Signaturen unterliegen den höchsten Sicherheitsanforderungen und einer verpflichtenden Prüfung durch benannte Stellen.

Produkte, die nicht unter den CRA fallen

Wichtig zu wissen: Es gibt Ausnahmen. Medizinprodukte, Kfz-Komponenten und Luftfahrtausrüstung unterliegen eigenen sektorspezifischen Regelungen und fallen nicht unter den CRA der EU. Auch Open-Source-Software, die nicht kommerziell vertrieben wird, ist von vielen Anforderungen ausgenommen.

Jetzt Produkt evaluieren

Du möchtest wissen, ob dein Produkt unter den Cyber Resilience Act fällt? Dann führe gleich die CRA-Produktevaluation durch und erfahre, welche Anforderungen für dich gelten.

Die wichtigsten Anforderungen des CRA

Die Cyber Resilience Act stellt umfassende Anforderungen an Hersteller und andere Wirtschaftsakteure. Die zentralen Pflichten umfassen:

Security by Design und by Default

Cybersicherheit muss bereits in der Entwicklungsphase integriert werden. Produkte müssen mit sicheren Standardkonfigurationen ausgeliefert werden und die Angriffsfläche minimieren.

Schwachstellenmanagement

Hersteller müssen ein System zur Identifikation und Behebung von Sicherheitslücken etablieren. Schwerwiegende Schwachstellen sind innerhalb von 24 Stunden an die ENISA zu melden. Sicherheitsupdates müssen rechtzeitig und kostenlos bereitgestellt werden.

Dokumentation und Transparenz

Erforderlich sind eine EU-Konformitätserklärung, technische Dokumentation sowie klare Nutzerinformationen über Sicherheitsmerkmale, Installation und die erwartete Produktlebensdauer.

CE-Kennzeichnung

Nach erfolgreicher Konformitätsbewertung – je nach Produktklasse durch Selbstbewertung oder durch benannte Stellen – wird die CE-Kennzeichnung angebracht.

Konsequenzen bei Nicht-Einhaltung des CRA

Verstöße gegen den Cyber Resilience Act können empfindliche Folgen haben.

  • Bußgelder sind nach Schwere des Verstoßes gestaffelt und können bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes betragen – je nachdem, welcher Betrag höher ist. Bei weniger schwerwiegenden Verstößen drohen Strafen bis zu 10 bzw. 5 Millionen Euro oder entsprechende Prozentsätze des Umsatzes.

  • Marktzugangsverbote können von den Marktüberwachungsbehörden verhängt werden. Produkte, die nicht konform sind, dürfen nicht in Verkehr gebracht werden. Bereits auf dem Markt befindliche Produkte können zurückgerufen werden.

  • Reputationsrisiken sollten nicht unterschätzt werden. In einer Zeit, in der Datenschutz und Cybersicherheit zunehmend in den Fokus der Öffentlichkeit rücken, kann die Nicht-Einhaltung des CRA zu erheblichen Imageschäden führen.

Der Cyber Resilience Act zusammengefasst

Der Cyber Resilience Act markiert einen Wendepunkt für die Cybersicherheit in Europa. Er schafft erstmals einheitliche, verbindliche Mindeststandards für alle Produkte mit digitalen Elementen auf dem EU-Markt. Damit wird Cybersicherheit von einer optionalen Zusatzfunktion zur rechtlichen Grundanforderung.

Die Übergangszeit mag auf den ersten Blick lang erscheinen, doch die Anpassung von Entwicklungsprozessen, die Implementierung von Schwachstellenmanagement-Systemen und die Erstellung der erforderlichen Dokumentation sind zeitaufwendige Projekte.

CRAVEN hilft dir dabei, die CRA-Anforderungen zu erfüllen und Cybersicherheit als einen Wettbewerbsvorteil zu etablieren.

Häufige Fragen zum Cyber Resilience Act

Cyber-Resilienz bezeichnet die Fähigkeit von digitalen Produkten und Systemen, Cyberangriffen standzuhalten, sich schnell davon zu erholen und auch unter Bedrohung funktionsfähig zu bleiben. Es geht nicht nur um Abwehr, sondern auch um Widerstandsfähigkeit und Anpassungsfähigkeit bei Sicherheitsvorfällen.

Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die ab Dezember 2027 einheitliche Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen festlegt.

Unter den CRA fallen alle Produkte mit digitalen Elementen, die auf dem EU-Markt angeboten werden – von Hardware wie Routern und IoT-Geräten über Software und Apps bis zu Cloud-Lösungen und industriellen Steuerungssystemen.

Der CRA unterscheidet drei Risikokategorien: Standardprodukte mit grundlegenden Anforderungen und Selbstbewertung, wichtige Produkte der Klasse I (z.B. Betriebssysteme, Firewalls) mit strengeren Auflagen, und kritische Produkte der Klasse II (z.B. Hardware-Sicherheitsmodule) mit den höchsten Anforderungen und verpflichtender Prüfung durch benannte Stellen.

Während die NIS2-Richtlinie Betreiber kritischer Infrastrukturen und wichtiger Dienste reguliert, fokussiert sich der CRA auf die Hersteller von Produkten mit digitalen Elementen. NIS2 regelt organisatorische Cybersicherheit bei Unternehmen, der CRA die Produktsicherheit. Beide Regelwerke ergänzen sich und können Unternehmen parallel betreffen.

Der Cyber Resilience Act ist seit dem 10. Dezember 2024 in Kraft getreten. Die meisten Verpflichtungen gelten jedoch erst ab dem 11. Dezember 2027, um Unternehmen eine Übergangszeit zur Anpassung ihrer Produkte und Prozesse zu ermöglichen. Einzelne Berichtspflichten greifen bereits früher.

Als Hersteller gelten Sie nach dem CRA, wenn Sie ein Produkt mit digitalen Elementen entwickeln oder entwickeln lassen und es unter Ihrem Namen oder Ihrer Marke in Verkehr bringen. Das gilt auch, wenn Sie Ihren Sitz außerhalb der EU haben, aber Produkte auf dem EU-Markt anbieten.

Weitere Beiträge

Updates & Infos zum CRAVEN-Launch

Erfahre als Erste:r vom Launch und nutze den Wettbewerbsvorteil.