Die zunehmende Vernetzung von Alltagsgeräten, industriellen Anlagen und digitalen Anwendungen schreitet mit hohem Tempo voran. Parallel dazu steigt die Gefahr von Cyberangriffen. Unsichere Soft- und Hardware können nicht nur Verbraucher, sondern auch Unternehmen massiv beeinträchtigen. Vor diesem Hintergrund hat die Europäische Union den Cyber Resilience Act (CRA) erlassen. Ab Dezember 2027 verpflichtet er Hersteller und Anbieter digitaler Produkte zur Einhaltung einheitlicher Sicherheitsstandards. Der Beitrag stellt die wesentlichen Regelungen vor, ordnet sie in das europäische Rechtssystem ein und zeigt praxisorientierte Schritte zur Vorbereitung auf die neuen Anforderungen.
Der CRA gilt für alle „Produkte mit digitalen Elementen“. Darunter fallen sowohl Software als auch Hardware, sobald sie Daten verarbeiten oder über eine Internetanbindung verfügen. Erfasst werden damit Smart-TVs, IoT-Geräte, Softwarelösungen und Cloud-Angebote gleichermaßen. Lediglich reine Begleitservices sind ausgenommen, können aber durch die NIS-2-Richtlinie reguliert werden. Mit diesem Ansatz entsteht erstmals ein europaweites, umfassendes Regelwerk, das praktisch den gesamten Markt vernetzter Produkte abdeckt.
Kernstück des CRA sind Vorgaben wie „Security by Design“, ein kontinuierliches Schwachstellenmanagement und geregelte Prozesse für Sicherheitsupdates. Hersteller müssen sicherstellen, dass Schwachstellen erkannt, dokumentiert und binnen 14 Tagen behoben werden. Hinzu kommt eine gestufte Pflicht zur Meldung: Sobald Schwachstellen aktiv ausgenutzt werden oder sicherheitsrelevante Vorfälle auftreten, ist innerhalb von 24 bis 72 Stunden eine Meldung an die Behörden erforderlich. Ziel ist eine frühzeitige Reaktion und abgestimmte Gegenmaßnahmen.
Darüber hinaus schreibt der CRA Transparenz vor: Hersteller sind verpflichtet, ihre Nutzer über bekannte Schwachstellen und verfügbare Lösungen offen zu informieren. Damit werden bewährte Praktiken wie Schwachstellen-Monitoring, Secure Development Lifecycle (SDLC) und Incident-Response-Verfahren von freiwilligen Empfehlungen zu verbindlichen gesetzlichen Pflichten.
Analog zum klassischen Produktsicherheitsrecht verankert der CRA ein Konformitätsverfahren. Hersteller müssen nachweisen, dass ihre Produkte den Sicherheitsanforderungen genügen, und dies durch die CE-Kennzeichnung kenntlich machen. Dabei unterscheidet das Gesetz drei Risikostufen: Standardprodukte, Produkte mit erhöhtem Risiko und besonders kritische Produkte.
Für gewöhnliche Produkte genügt eine interne Kontrolle. Systeme mit höherem Risiko – etwa Identitätsmanagement- oder Netzwerksicherheitslösungen – müssen durch unabhängige Stellen überprüft werden. Kritische Produkte wie Smartcards oder Security-Boxen erfordern eine EU-weite Zertifizierung nach der Cybersecurity-Verordnung (CSA). Damit etabliert der CRA eine abgestufte, jedoch verbindliche Sicherheitsarchitektur für den Binnenmarkt.
Der CRA steht nicht isoliert, sondern ergänzt bestehende Regelungen. Er fügt sich in das Produktsicherheitsrecht ein, erweitert die Marktaufsicht um den Aspekt IT-Sicherheit und steht in engem Zusammenhang mit der NIS-2-Richtlinie. Während NIS-2 auf Betreiber kritischer Infrastrukturen zielt, richtet der CRA Pflichten an die Hersteller.
Zusammengenommen ergibt sich ein kohärenter europäischer Rahmen für Cybersicherheit.
Besondere Bedeutung kommt der Verbindung zum Produkthaftungsrecht zu: Schon heute haften Hersteller für fehlerhafte Produkte. Mit dem CRA wird klargestellt, dass unzureichende Cybersicherheit ebenfalls einen Produktmangel darstellt. Wer die Vorgaben nicht einhält, riskiert damit neben Verwaltungsstrafen auch zivilrechtliche Haftungsansprüche.
Die Haftungsfolgen können gravierend sein. Neben Bußgeldern drohen Schadensersatzforderungen, wenn unsichere Produkte zu Datenverlusten, Produktionsausfällen oder gar Personenschäden führen. Beispielhaft sei ein kompromittiertes IoT-Gerät genannt, das einen Brand verursacht, oder eine schlecht gesicherte Software, die zu einem schweren Datenschutzverstoß führt.
In solchen Konstellationen kann der Hersteller wegen Konstruktionsmängeln belangt werden. Dies gilt auch, wenn er es versäumt hat, den Stand der Technik einzuhalten. Damit ist klar: Wer die Regelungen des CRA ignoriert, riskiert nicht nur Reputationsschäden, sondern unter Umständen auch existenzbedrohende Schadensersatzforderungen.
Zur Umsetzung empfiehlt sich ein frühzeitiger Aufbau eines umfassenden Cybersecurity-Managementsystems. Dazu gehören insbesondere:
• Ein strukturiertes Schwachstellenmanagement mit definierten Meldewegen
• Die Orientierung an Standards wie ISO/IEC 27001 oder Leitlinien der ENISA
• Die Benennung eines Product Security Officers
• Die Einbindung externer Sicherheitsforscher über Bug-Bounty-Programme
• Die rechtzeitige Planung von Zertifizierungsverfahren
Ergänzend sollten Unternehmen vertragliche Regelungen mit Zulieferern treffen, um Risiken in der Lieferkette abzusichern. Ebenso wichtig sind eine klare Kommunikation zu Sicherheitsupdates und definierte Incident-Response-Prozesse.