Der EU Cyber Resilience Act (CRA) ist da und macht „Security by Design“ vom nice-to-have zur Pflicht. Die Idee dahinter ist simpel: einheitliche Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen, die in der EU auf den Markt kommen – egal ob das ein smartes IoT-Gadget, ein Router, eine App, ein Betriebssystem oder eine industrielle Steuerung ist. Für Hersteller, Importeure und Händler bedeutet das klare Verantwortlichkeiten, transparente Prozesse und mehr Nachweisbarkeit entlang der gesamten Lieferkette. Und ja, das klingt nach Arbeit, bringt aber am Ende auch Ordnung, Vertrauen und Wettbewerbsvorteile.
Wichtig ist die Abgrenzung zu NIS2, die oft in denselben Gesprächen auftaucht. NIS2 richtet sich an Betreiber wesentlicher und wichtiger Einrichtungen – Energieversorger, Krankenhäuser, Verkehr, öffentliche Verwaltung – und regelt deren IT-/OT-Sicherheit als Richtlinie, die national umgesetzt wird. Der CRA hingegen ist eine unmittelbar geltende EU-Verordnung, die direkt für alle gilt, die Produkte mit digitalen Elementen in der EU bereitstellen: Hersteller, Importeure, Händler und gegebenenfalls Bevollmächtigte. Auch Online-Angebote fallen darunter, wenn klar ist, dass sie sich an den EU-Markt richten – etwa durch Sprache, Versandoptionen oder Zahlungsmethoden. Ausnahmen gibt es für regulierte Bereiche wie Medizinprodukte, Kraftfahrzeuge, zivile Luftfahrt oder Verteidigung sowie für identische Ersatzteile. Und falls Sie sich fragen: Bei Software-as-a-Service hängt es davon ab, ob der Dienst für die Funktion eines Produkts notwendig ist; die Abgrenzung zwischen Produkt und Dienstleistung kann im Einzelfall tricky sein.
Open Source bleibt erlaubt und weiterhin ein zentraler Baustein moderner Produktentwicklung. Der Haken: Die Verantwortung für das Gesamtprodukt liegt trotzdem beim Hersteller. Entscheidend ist, ob eine Geschäftstätigkeit vorliegt – Monetarisierung durch Lizenzen, Werbung, Supportverträge oder Dual-Lizenz-Modelle kann reichen, damit der CRA greift. Das heißt: Wer OSS-Komponenten nutzt, braucht Übersicht und Kontrolle über Herkunft, Versionen, Lizenzen und bekannte Schwachstellen – Stichwort SBOM (Software Bill of Materials).
Zur Timeline: Der CRA tritt Ende 2024 in Kraft. Ab Ende 2026 beginnt die Meldepflicht für Hersteller bei ausgenutzten Schwachstellen, und ab Ende 2027 gelten die übrigen Pflichten vollumfänglich. Produkte, die vor dem Inkrafttreten schon rechtmäßig auf dem Markt sind, genießen grundsätzlich Bestandsschutz, solange keine wesentlichen Änderungen erfolgen. Wenn jedoch eine neue Produktvariante oder ein signifikanter Eingriff kommt, kann das einen neuen Konformitätsprozess auslösen.
Was sind die konkreten Aufgaben? Für Hersteller heißt es, Sicherheit in den Entwicklungsprozess zu integrieren: Risikoanalyse, Threat Modeling, sichere Defaults, regelmäßige Tests, saubere Update-Mechanismen und ein funktionierendes Credential-Management. Die technische Dokumentation muss vollständig sein – Architektur, Testergebnisse, Nutzerinformationen, Risikobewertung – und eine SBOM gehört in vielen Fällen dazu. Außerdem braucht es eine EU-Konformitätserklärung, die CE-Kennzeichnung und klare Angaben zum Hersteller inklusive Kontakt und Supportzeitraum. Nach dem Inverkehrbringen geht es weiter: Schwachstellenmanagement, zeitnahe Sicherheitsupdates, Korrekturmaßnahmen bei Nichtkonformität (bis hin zum Rückruf) und die Zusammenarbeit mit Marktüberwachungsbehörden. Für ausgenutzte Schwachstellen gibt es eine Meldepflicht. Importeure dürfen nur konforme Produkte in die EU holen, müssen sichtbar kenntlich sein (Name/Handelsname auf Produkt/Verpackung/Unterlagen), bei erheblichen Risiken unverzüglich Hersteller und Behörden informieren und an Nachmarktmaßnahmen wie Rückrufen mitwirken. Händler prüfen im Rahmen ihrer Möglichkeiten die Konformität und Kennzeichnung, reagieren bei Verdachtsfällen und kommunizieren mit Herstellern und Behörden. Und aufgepasst: Wer ein Produkt unter eigener Marke in Verkehr bringt oder es wesentlich verändert, wird rechtlich zum Hersteller – inklusive aller Pflichten.
Nicht jedes Produkt läuft durch denselben Konformitätsprozess. Neben der Basiskategorie gibt es „wichtige“ und „kritische“ Produktklassen, etwa allgemeine Netzwerk- und Systemverwaltungssoftware, Betriebssysteme für Server und Desktops, bestimmte Sicherheitshardware oder spezialisierte industrielle Systeme. Je nach Klasse kann eine Selbstbewertung reichen, oder es ist eine notifizierte Stelle einzubinden. Ein pragmatischer Ansatz: An harmonisierte Normen anlehnen, standardisierte Tests fahren, SBOM konsequent führen, technische Dokumentation vollständig halten und Unterlagen mindestens zehn Jahre verfügbar machen.
Was passiert bei Verstößen? Die Sanktionen sind nicht zu unterschätzen: Für falsche oder irreführende Angaben gegenüber notifizierten Stellen oder Marktüberwachungsbehörden drohen bis zu 5 Millionen Euro oder 1 Prozent des weltweiten Jahresumsatzes. Für Verstöße gegen grundlegende Cybersicherheitsanforderungen können bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes fällig werden. Es gibt zwar Erleichterungen für Kleinst- und kleine Unternehmen, aber der beste Weg ist trotzdem, frühzeitig strukturiert vorzugehen.
Wie setzen Sie das alles praktisch um? Starten Sie mit einer klaren Scope-Definition: Welche Produkte, Varianten und Märkte sind betroffen, und wer hat im Unternehmen welche Rolle (Produktmanagement, Entwicklung, Legal/Compliance, Support)? Nutzen Sie bestehende Standards, wo möglich, etwa IEC 62443 für industrielle Systeme oder Qualitätsprozesse aus ISO 9001/IATF 16949. Etablieren Sie eine SBOM und implementieren Sie einen Secure Development Lifecycle mit Threat Modeling, Code-Reviews und automatisierten Security-Tests. Sorgen Sie für sichere Standardkonfigurationen, robuste Update-Mechanismen und verlässliches Schlüssel- und Credentials-Management. Setzen Sie auf ein schlagkräftiges Vulnerability Management. Halten Sie die Dokumentation revisionssicher, vollständig und zugänglich, z.B. Architektur, Tests, Risiken, Nutzerhinweise sowie Konformitätsnachweise. Wenn Produkte online angeboten werden, prüfen Sie genau, ob sich das Angebot auf den EU-Markt richtet – Sprache, Versand, Zahlungsarten sind starke Indizien. Gegebenenfalls lohnt eine separate EU-Listung mit sauberem Compliance-Check.
Unterm Strich macht der CRA die bisher oft freiwillige „Security by Design“-Haltung verbindlich. Wer früh Ordnung schafft, Prozesse standardisiert und die richtigen Nachweise parat hat, reduziert Aufwand und Risiko – und baut Vertrauen bei Kundinnen und Kunden auf. Für Technikteams ist das eine Chance, Best Practices fest zu verankern; für das Business ist es ein Qualitätsmerkmal, das sich kommunizieren lässt. Der CRA gilt EU-weit unmittelbar und betrifft die gesamte Produktwelt mit digitalen Elementen, inklusive Online-Angeboten; die Pflichten steigen mit der Zeit an, mit Meldewegen ab Ende 2026 und vollem Umfang ab Ende 2027; Hersteller, Importeure und Händler tragen jeweils klare Verantwortung; Konformität bedeutet gelebte Sicherheit, saubere Dokumentation, CE-Kennzeichnung, Updates und verlässliche Meldeprozesse; und wer sich nicht kümmert, riskiert spürbare Bußgelder und Reputationsschäden.
