7 Fragen zum Cyber Resilience Act (CRA)

17. April 2025
News | Financial Sector & Compliance

1. Was ist der Cyber Resilience Act? 

Mit dem Cyber Resilience Act (kurz CRA), schafft die EU erstmals eine Verordnung, welche die Cybersicherheit und Widerstandsfähigkeit von Produkten mit digitalen Elementen verbessern soll. Im Gegensatz zu einer EU-Richtlinie gilt der Cyber Resilience Act als Verordnung unmittelbar in allen Mitgliedstaaten – gestützt auf den Vorrang des EU-Rechts. Eine Umsetzung in nationales Recht ist demnach nicht erforderlich. Das macht den CRA besonders wirkungsvoll und relevant für alle Marktteilnehmer in der EU.  

Der CRA soll zwei zentrale Probleme adressieren und zukünftig vermeiden: 

  1. Das geringe Maß an Cybersicherheit bei vielen Produkten – verursacht durch weitverbreitete Schwachstellen und unklare Update-Regelungen, und 
  2. das unzureichende Verständnis und der mangelnde Informationszugang der Endverbraucher zur Auswahl und Nutzung sicherer Produkte. 

Dazu wurden im Dezember 2024 verpflichtende Cybersicherheitsanforderungen für Hardware und Software festgelegt, die auf dem europäischen Markt angeboten werden. Die vollständige Umsetzung der Anforderungen erfolgt schrittweise bis Ende 2027. 

2. Welche Unternehmen sind vom Cyber Resilience Act betroffen? 

Der CRA und die dort geforderten Maßnahmen betreffen Hersteller, Importeure und Händler, die digitale Produkte auf den EU-Markt bringen. Unternehmen, die diese Produkte lediglich nutzen, sind nicht direkt reguliert, müssen aber möglicherweise indirekte Anforderungen aus anderen Vorschriften wie NIS-2 oder DORA erfüllen. 

3. Welche Produkte fallen unter den CRA? 

Der CRA gilt für alle Produkte mit digitalen Elementen, also Software- und Hardwareprodukte, die in der EU verkauft werden. Dazu zählen: 

  • Verbraucherprodukte: Smartphones, Smarthome-Geräte, Laptops, uvm.
  •  Industrieprodukte: Mikroprozessoren, Firewalls, VPN-Hardware uvm. 
  • Softwareprodukte: Mobile App, Computerspiele, Sicherheitstools (z. B. Antivirus) uvm. 

Ausgenommen sind: 

  • Produkte der Sektoren Medizin, Automobilindustrie, Luftfahrt und Verteidigung
  • Nicht-kommerzielle Open-Source-Softwareprodukte 

Die EU unterscheidet zusätzlich zwischen "kritischen Produkten", "wichtigen Produkten" (Klasse I & II) und sonstigen Produkten. Eine detaillierte Übersicht über die Klassifizierung und die unterschiedlichen Anforderungen an die jeweiligen Produkte stellt die Europäische Kommission hier bereit: Cyber Resilience Act | Shaping Europe’s digital future  

4. Was ändert sich durch den CRA für Produkthersteller? 

Hersteller, deren Produkte unter den Cyber Resilience Act fallen, müssen künftig spezifische Anforderungen an die Entwicklung, Herstellung und das Update ihrer Produkte erfüllen. Dazu gehören unter anderem: 

  • Berücksichtigung von Cybersicherheitsmaßnahmen bereits bei Design und Produktentwicklung
  • Bereitstellung von Sicherheitsupdates über mindestens 5 Jahre
  • Meldung von Schwachstellen und Dokumentation von Sicherheitsrisiken an die zuständigen Marktüberwachungsbehörden der Mitgliedstaaten – in Deutschland voraussichtlich das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die genaue Meldestruktur wird aktuell auf EU-Ebene definiert.
  • Sicherstellen, dass Produkte keine bekannten Schwachstellen aufweisen z. B. mit Zugangskontrollen, deaktivierten Debug-Funktionen und einem Rücksetzmechanismus auf sichere Ausgangszustände  

Verpflichtend ist außerdem ein Konformitätsbewertungsverfahren, das je nach Produktkategorie unterschiedlich streng ausfallen kann. Die Anforderungen werden hier von der Europäischen Kommission aufgelistet: Cyber Resilience Act – Übersicht der Anforderungen auf digital-strategy.ec.europa.eu 

5. Welche Fristen gelten? 

Der CRA tritt schrittweise in Kraft: 

  • Ende 2024: Veröffentlichung im EU-Amtsblatt und Inkrafttreten der Verordnung
  • Juni 2026: Vorgaben für Konformitätsbewertungsstellen werden wirksam. Diese haben die Aufgabe, die Einhaltung der Sicherheitsstandards zu überprüfen
  • September 2026: Meldepflicht für Schwachstellen werden wirksam
  • Dezember 2027: Volle Anwendbarkeit des CRA für alle relevanten Produkte in allen europäischen Mitgliedsstaaten  

6. Wie fügt sich der CRA in andere Regulierungen ein? 

Der CRA ist Teil eines umfassenden EU-Cybersicherheitsrahmens. Er ergänzt bestehende Regularien wie NIS-2, DORA und die CER-Richtlinie und übernimmt z. B. Definitionen und Meldepflichten aus NIS-2. 

In einigen Mitgliedsstaaten – etwa Frankreich – werden CRA, DORA und NIS-2 zu einem Gesetz zusammengefasst. In Deutschland erfolgt die Umsetzung hingegen separat. 

Einen Überblick über die zentralen EU-Regularien NIS-2 und DORA und warum beide für Unternehmen so relevant sind, haben wir in folgendem Blogbeitrag beantwortet: NIS-2 und DORA: Warum zwei EU-Rechtsvorschriften für Cybersicherheit? | more security. usd AG 

7. Was bedeutet der CRA für Unternehmen? 

Hersteller, Importeure und Händler sollten jetzt prüfen, ob sie direkt vom CRA betroffen sind – und wenn ja, welche Pflichten sie konkret betreffen (z. B. Sicherheitsupdates, technische Dokumentation, CE-Kennzeichnung, Schwachstellenmanagement). Auch Unternehmen, die nicht direkt betroffen sind, sollten Maßnahmen prüfen: 

  • Einsatz nur CRA-konformer Produkte (z. B. Prüfung auf CE-Kennzeichnung, Supportdauer)
  • Regelmäßige Sicherheitsupdates einspielen
  • Sicherheitswarnungen beobachten und dokumentieren 

Diese Maßnahmen sind nicht direkt im CRA vorgeschrieben, aber zentral für die IT-Sicherheitsstrategie und beispielsweise die Einhaltung von NIS-2. 

CRA | Cyber Resiliance Act | Cyber Resilienz | Cyber Security | EU-Rechtsvorschriften | EU-Verordnung

Auch interessant:

Kategorien

Kategorien

Cloud Security Customer Stories  |  Corporate Social Responsibility  |  Events & Community Financial Sector & Compliance  |  ISMS  |  KRITIS  | Life@usd  |  Meet us  |   News   |  PCI Pentests & Security Analyses  |  Security Audits  |   Security Advisories