Hersteller müssen ihre Produkte cybersicher machen. Das ist nicht nur wirtschaftlich geboten, um Investitionen zu schützen und Schaden zu begrenzen. Auch rechtlich müssen Produkte mit digitalen Elementen bald grundlegende Anforderungen erfüllen.
In der Artikelreihe der Technischen Hochschule Augsburg erläutern wir die Hintergründe und Anforderungen des Cyber Resilience Acts. Im ersten Teil erfahren Sie, warum der Cyber Resilience Act für Unternehmen und Kunden wichtig ist.
Aller Anfang ist schwer – das gilt auch für das Implementieren von Security-Maßnahmen. Dass Sie diesen Text lesen, ist bereits der erste Schritt. Gut gemacht! In diesem und weiteren Artikeln möchte ich Sie dabei unterstützen, den Cyber Resilience Act, kurz CRA, einfach zu verstehen und effizient umzusetzen. Deshalb beantworte ich hier die folgenden grundlegenden Fragen zum CRA:
Was bedeutet der CRA für Unternehmen in der EU?
Welche Herausforderungen adressiert er?
Wer setzt den CRA durch und wer ist von ihm betroffen?
Wann sind die wichtigsten Fristen?
Was bedeutet der CRA für Unternehmen in der EU?
Der Cyber Resilience Act ist ein umfassendes europäisches Gesetz, das die Cybersicherheit von Produkten mit digitalen Elementen verbessern soll. Dazu stellt er verbindliche Anforderungen an Hersteller, Importeure und Händler, die in der EU tätig sind.
Aber warum müssen wir die Cybersicherheit von Produkten überhaupt regulieren? Erstens steigt die Bedeutung des Internet of Things weiter. Es gibt nicht nur immer mehr vernetzte IoT-Geräte. Sie sind auch in nahezu allen Lebensbereichen zu finden. Zweitens gefährden immer mehr Cyberangriffe die Gesellschaft. Sie bedrohen nicht nur die Wirtschaft, sondern auch Menschen und nicht zuletzt unsere Demokratie. Und drittens brauchen wir ein zuverlässiges Mindestmaß an Cybersicherheit. So werden unsere IT-Systeme generell widerstandsfähiger gegen Cyberangriffe. Und der Markt profitiert von verlässlichen Standards.
Welche aktuellen Herausforderungen adressiert der CRA?
Das Cybersicherheitsniveau von Produkten ist aktuell oft relativ niedrig. Vernetzte Produkte werden selten regelmäßig aktualisiert und teils haben sie bereits ab Werk gravierende Sicherheitslücken. Der CRA fordert daher, dass Hersteller angemessene Schutzmaßnahmen in einem sicheren Entwicklungsprozess identifizieren und entsprechend umsetzen.
Eine weitere Herausforderung ist das fehlende Bewusstsein für Cybersicherheit bei Kunden und Nutzern. Mangels Informationen erkennen sie oft nicht, ob ein Produkt moderne Sicherheitsanforderungen erfüllt oder wie sie es sicher benutzen können. Der CRA soll deshalb für Transparenz sorgen, um den Nutzern informierte Käufe und Konfigurationen zu ermöglichen.
Eine solche Umstellung bedeutet natürlich Aufwand für Unternehmen. Am Ende des Tages sorgt ein Standard für Cybersicherheit allerdings auch für Verlässlichkeit und Planbarkeit. Und davon profitieren Hersteller und Nutzer gleichermaßen.
Wer setzt den CRA durch und wer ist von ihm betroffen?
Der CRA hat verschiedene Akteure. Im Grunde gibt es Nutzer, Wirtschaftsakteure, Testeinrichtungen und Behörden. Die Nutzer verwenden Produkte privat oder gewerblich als Unternehmen. Der CRA soll ihnen ermöglichen, Cybersicherheit in ihre Entscheidungen miteinzubeziehen.
Im Mittelpunkt der Wirtschaftsakteure stehen die Hersteller, die Produkte designen, entwickeln, produzieren und vermarkten. Aber auch Importeure, Distributoren und autorisierte Repräsentanten zählen zu dieser Gruppe.
Testeinrichtungen spielen als unabhängige Dritte eine wichtige Rolle bei der Konformitätsprüfung von Produkten mit hohem Gefahrenpotenzial.
Die Marktüberwachungsbehörde in Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI). Es wacht über die Einhaltung des CRA in Deutschland. Jedes EU-Mitglied hat eine solche Behörde. Für die Koordination im jeweiligen EU-Land sind die Computer Security Incident Response Teams (CSIRT) zuständig. In Deutschland übernimmt das CERT Bund diese Rolle.
Zuletzt gibt es noch die European Network and Information Security Agency (ENISA), die europäische Agentur für Cybersicherheit. Sie unterstützt EU-Staaten und deren Cybersicherheitsorganisationen dabei, ihre Cybersecurity-Fähigkeiten zu verbessern.
Hersteller in Deutschland müssen sowohl das CERT Bund als auch die ENISA über aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle bei ihrer Produktentwicklung informieren.
Wann sind die wichtigsten Fristen?
Die Timeline des Cyber Resilience Act ist mittlerweile klar. Mit seinem Inkrafttreten am 10. Dezember 2024 läuft eine Frist von drei Jahren. Deshalb sollten Wirtschaftsakteure unverzüglich damit beginnen CRA-Prozesse zu implementieren. Denn die Compliance mit dem CRA proaktiv zu planen lohnt sich.
Hersteller sollten vor allem zwei Daten kennen, an denen bestimmte Teile des CRA verbindlich und wirksam werden. Ab dem 11. September 2026 gilt die Meldepflicht für aktiv ausgenutzte Schwachstellen und schwere Vorfälle. Ab 11. Dezember 2027 müssen alle CRA-Anforderungen erfüllt werden. In speziellen Fällen gibt es auch noch Übergangsfristen, die über dieses Datum hinausgehen. Darauf sollten Unternehmen sich aber besser nicht verlassen und bis zu den genannten Stichtagen ihre Prozesse und Produkte auf Vordermann gebracht haben.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Der wichtigste Tipp ist deshalb: Legen Sie los! Viele Unternehmen haben die Dringlichkeit des CRA schon erkannt, denn 2027 rückt schnell näher.
Über den Autor: Dominik Merli ist Professor für IT-Sicherheit an der Technischen Hochschule Augsburg und Leiter des dort angesiedelten Instituts für innovative Sicherheit. Er beschäftige sich seit mehr als 15 Jahren mit der Cybersicherheit von Produkten in einer Vielzahl von Branchen.
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/82/7d/827d53211ad894c4bbae3c9d377c80fe/0127628471v2.jpeg "Im Kundenservice können KI-Agenten zum Gamechanger werden und zu mehr Zufriedenheit bei Kunden und Mitarbeitern führen. (Bild: © Nasira Mai - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f6/51/f651404395d1655ecfa20879930712cd/0129045915v2.jpeg "Gregor Liedhegener gehört nun zur Firmenleitung von Enreach am deutschen Standort Bochum. (Bild: © Enreach)")
:quality(80)/p7i.vogel.de/wcms/76/71/7671625a0fed3298a58928830fccd075/0129044146v2.jpeg "Ben Jones, Chief Technology Officer (CTO) bei Infinigate (Bild: Infinigate)")
:quality(80)/p7i.vogel.de/wcms/ec/57/ec578f26cbc8dd2cb06a61728c77afde/0129045922v1.jpeg "Michael Stuhr übernimmt als Country Manager die Leitung von Acer Deutschland. (Bild: Acer)")
:quality(80)/p7i.vogel.de/wcms/41/75/41755062d6019da04cfc7a8d8cdece50/0129024223v1.jpeg "Jakob Saga ist neuer Vorstand bei dem IT-Distributor Herweck. (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/33/cb/33cb307d4589586381bd14375db1b0fd/0128956017v1.jpeg "Digitale Souveränität ist keine passive Eigenschaft, sondern muss aktiv hergestellt werden. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/65/ca/65caf26a0edab21ed681959e43563a72/0129034174v2.jpeg "„Tabellen sind oft Schatzkammern sensibler Daten – von Finanz- und Strategieinformationen bis zu HR- und Kundendaten. Dennoch werden sie nicht wie andere hochriskante Daten behandelt“, warnt Patricia Egger, Head of Security bei Proton. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/53/cb/53cbcd51e8acac98d6143c439041a659/0129049626v1.jpeg "Der IT-Branche geht es gut, vor allem Software und Cloud sind Erfolgsgaranten. (Bild: © metamorworks - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b8/d3/b8d38ddfbd4bce34f4583bc69c94e184/0129050070v1.jpeg "Das Dell Pro Education 11 2-in-1 ist eher für jüngere Schüler bestimmt, während das Dell Pro Education 14 Laptop in der Oberstufe zum Einsatz kommen soll. Auf Intel-Prozessoren der N-Serie basien beide Geräte. (Bild: Dell, GPT Imgae Editor (KI-generiert))")
:quality(80)/p7i.vogel.de/wcms/ad/1f/ad1f9112b6fbb20d996ed43967b24018/0128993706v1.jpeg "Der Dokumentenscanner ADS-4550W verarbeitet mit seinen beiden Scanzeilen bis zu 35 doppelseitig bedruckte DIN-A4-Seiten pro Minute. Der automatische Vorlageneinzug fasst bis zu 70 Blatt. (Bild: Brother)")
:quality(80)/p7i.vogel.de/wcms/07/e0/07e07ee324199940b030411e90ffb7a7/0128970749v2.jpeg "KI-Security kann nur mit klaren Governance-Strukturen, Verantwortlichkeiten und menschlichem Einsatz wirksam zur Prävention beitragen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/25/34/25346a6de4fae49d5134a5d87fa16b68/0128837620v1.jpeg "Cloud Computing und Künstliche Intelligenz sind eng miteinander verwoben. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/04/51/045147bb59a65fc397dbc16c853a021b/0128604323v2.jpeg "Mobile IT entwickelt sich 2026 zu einem vernetzten Ökosystem aus Geräten, Services und KI-gestützten Funktionen. (Bild: ChatGPT / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e2/77/e27778e620a361b893b926153234cd09/0128440397v1.jpeg "Kaum zu glauben, aber wahr: Es gibt Datacenter-Stilllegungen und Schließungen, trotz KI und Bau-Boom. Das Autoren-Duo Anna Kobylinska und Filipe Martins kümmern sich umd das Aus und beschreiben, wo das Pendel am stärksten ausschlägt. (Bild: © trahko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/aa/85/aa853f49052d57a3aee3e482f5a4f052/0129026996v2.jpeg "KMU erhalten nun einfachen Zugang zu bewährten IT-Sicherheitslösungen. (Bild: © Cisco Team)")
:quality(80)/p7i.vogel.de/wcms/3e/fa/3efacb47d1c6a526f593592dc476ac21/0129029791v2.jpeg "Mit dem Entwurf zur Überarbeitung des Cybersecurity Act will die EU-Kommission die Cybersecurity in der EU stärken und harmonisieren. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/8a/3c/8a3ca24fcd1aad93d9217fad474cf3b4/0129050382v2.jpeg "Der Europa-Park Rust wird vom 23.03.-26.03.2026 wieder von den Cloud-Enthusiasten bevölkert. (Bild: René Lamb Fotodesign GmbH)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:fill(fff,0)/p7i.vogel.de/companies/64/47/644794f95e7d3/g-data-cyberdefense-logo-sq.jpeg "g-data-cyberdefense-logo-sq (G Data)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133500/133538/65.jpg "Logo_WatchGuard_Color_Vector_HighRes.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/68/b9/68b9bb61e8f14/ic-logo-black-green.png "ic-logo-black-green (Impossible Cloud)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/14/2d/142d3e084dcf9944495b0eab74b0063c/0126574325v2.jpeg "Es wird Zeit für den Endspurt in Richtung CRA. Sind Sie bereit? (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/bf/52/bf52accd15848670342f128e48575f9b/0127221162v2.jpeg "BSI-Präsidentin Claudia Plattner: Auf der it-sa erklärt sie ihre Zuständigkeit für den CRA. (Bild: Manuel Christa)")