Der Cyber Resilience Act (CRA) markiert einen Wendepunkt im europäischen IT-Sicherheitsrecht. Mit ihm werden erstmals verbindliche Mindeststandards für die Cybersicherheit sämtlicher digitaler Produkte geschaffen – von vernetzten Spielwaren bis hin zu industriellen Anwendungen. Ziel ist es, Schutzmechanismen über den gesamten Produktlebenszyklus hinweg zu verankern und damit eine bisherige Lücke im europäischen Binnenmarkt zu schließen. Der Beitrag untersucht die Verzahnung des CRA mit anderen EU-Rechtsakten, beleuchtet zentrale Spannungsfelder und wagt einen Ausblick auf Zukunftsfragen wie die Post-Quantum-Kryptografie.
Eine besonders enge Beziehung besteht zwischen dem CRA und der reformierten Produkthaftungsrichtlinie (RL (EU) 2024/2853). Während der CRA Herstellern präventive Pflichten auferlegt – etwa die Einführung von „Security by Design“ oder die Pflicht zu regelmäßigen Updates – regelt die Richtlinie die zivilrechtliche Haftung im Schadensfall.
Künftig gilt: Wer die Sicherheitsanforderungen des CRA verletzt, liefert damit automatisch einen Produktfehler. So wird ein IoT-Gerät mit voreingestellten Standardpasswörtern nicht nur als unsicher, sondern als haftungsbegründend fehlerhaft eingestuft. Hersteller müssen unabhängig von Verschulden für Schäden einstehen. Auch die unterlassene Bereitstellung von Updates führt zur Haftung, da der bisherige „Entwicklungsrisiko-Einwand“ entfällt. Damit bleibt der Hersteller auch nach der Markteinführung für die fortlaufende Sicherheit verantwortlich.
Zwar ist der Nutzer verpflichtet, angebotene Updates zu installieren. Doch ein Hackerangriff wird nicht als „höhere Gewalt“ gewertet, wenn er auf einem Produktmangel beruht. Das Zusammenspiel von CRA und Produkthaftungsrecht schafft somit ein ausgewogenes System, das Verbraucherrechte stärkt und gleichzeitig Rechtssicherheit für Unternehmen bietet. Open-Source-Entwickler und Kleinstunternehmen sind zudem weitgehend von den strengsten Haftungs- und Compliancepflichten befreit.
Neben der Produkthaftung ist die NIS-2-Richtlinie (RL (EU) 2022/2555) ein zentraler Referenzpunkt. Während NIS-2 die Betreiber kritischer Dienste adressiert, richtet sich der CRA an die Hersteller digitaler Produkte. Zusammen bilden sie ein komplementäres Regelwerk: NIS-2 verlangt den Schutz kritischer Dienste, der CRA stellt sicher, dass die eingesetzten Produkte bereits über grundlegende Sicherheitsstandards verfügen.
Darüber hinaus besteht eine Verbindung zur EU-Cybersicherheitsverordnung (VO (EU) 2019/881), die freiwillige Zertifizierungsschemata geschaffen hat. Der CRA knüpft daran an, indem er Mindeststandards verbindlich macht und Zertifizierungen als Nachweis zulässt. Perspektivisch könnte sich eine engere Verknüpfung ergeben: Zertifizierte Produkte könnten automatisch als CRA-konform gelten.
Spezialvorschriften – etwa für Medizinprodukte, Fahrzeuge oder Luftfahrttechnik – haben Vorrang. Der CRA fungiert daher vor allem als Auffangregelung für Produkte ohne spezifische Sicherheitsanforderungen, insbesondere im IoT-Bereich. Zusammen mit DSA und KI-Verordnung entsteht ein kohärentes rechtliches Gefüge, das die verschiedenen Dimensionen der Digitalisierung systematisch erfasst.
Das erklärte Ziel des CRA ist eine höhere Widerstandsfähigkeit digitaler Produkte, ohne dabei Innovation auszubremsen. Daher hat der Gesetzgeber versucht, die Anforderungen verhältnismäßig zu gestalten. Besonders Kleinstunternehmen sowie nicht-kommerzielle Open-Source-Projekte genießen Erleichterungen und längere Übergangsfristen.
Für professionelle Hersteller steigen die Pflichten jedoch deutlich: Sie müssen Sicherheitsexperten beschäftigen, Entwicklungsprozesse neu strukturieren, umfassende Risikoanalysen erstellen und Schwachstellen kontinuierlich überwachen. Schätzungen zufolge werden die Umstellungskosten für internationale Technologiekonzerne in Milliardenhöhe liegen. Für Start-ups und mittelständische Betriebe können die Compliance-Aufwände eine erhebliche Belastung darstellen.
Gleichzeitig entsteht durch den CRA auch ein Wettbewerbsvorteil: Unternehmen, die in Sicherheit investieren, werden vor Billiganbietern geschützt, die bisher durch Einsparungen bei Sicherheitsmaßnahmen Kostenvorteile hatten. Sicherheit wird damit zum anerkannten Qualitätsmerkmal im europäischen Markt.
Der CRA ist bewusst dynamisch angelegt und muss sich an technologische Entwicklungen anpassen. Quantencomputer stellen bestehende Verschlüsselungsverfahren infrage; Algorithmen, die heute als sicher gelten, könnten schon bald unwirksam werden. Zwar schreibt der CRA keine spezifischen Kryptoverfahren vor, verlangt jedoch stets den Einsatz des jeweils aktuellen „State of the Art“.
Sobald quantensichere Verfahren anerkannt sind, werden Hersteller verpflichtet sein, diese umzusetzen, um CRA-konform zu bleiben. Besonders relevant ist dies für langlebige Produkte wie industrielle Steuerungssysteme, die über Jahrzehnte in Betrieb sind. Hier wird entscheidend sein, ob die EU durch Normen oder delegierte Rechtsakte nachjustiert.
Darüber hinaus rücken weitere Zukunftsthemen in den Fokus: die Absicherung von KI-Systemen, die Abwehr von IoT-Botnetzen oder die Sicherheit von Cloud-Diensten. Der CRA ist prinzipienorientiert ausgestaltet und kann so auch kommende Bedrohungen erfassen. Ob er tatsächlich wirksam ist, hängt jedoch von der praktischen Umsetzung ab – insbesondere von der Standardisierung, den Ressourcen der Marktaufsicht und der Bereitschaft der Industrie, Cybersicherheit als gemeinsame Aufgabe zu begreifen.