Der EU Cyber Resilience Act (CRA) tritt 2026 schrittweise in Kraft und verpflichtet Hersteller von Produkten mit digitalen Elementen zu umfassenden Cybersicherheitsmaßnahmen. Von IoT-Geräten bis zu Industriesteuerungen – wer Produkte in der EU verkauft, muss handeln.
Der CRA gilt für alle Produkte mit digitalen Elementen – von Smart-Home-Geräten über Industrieroboter bis zu medizinischen Geräten. Ausgenommen sind nur Produkte, die bereits durch sektorspezifische Regelungen (z.B. MDR, Kfz-Typgenehmigung) abgedeckt sind. Die Verordnung verfolgt einen risikobasierten Ansatz: Produkte werden in drei Klassen eingeteilt (Standard, wichtig, kritisch), je nach Risiko für Cybersicherheit.
Zentrale Anforderungen für Hersteller: Security by Design und Security by Default ab Entwicklungsbeginn, Schwachstellenmanagement über den gesamten Produktlebenszyklus (mindestens 5 Jahre), Meldepflicht für aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden, sichere Software-Updates und Patch-Management sowie CE-Kennzeichnung mit Cybersicherheitsnachweis.
Besonders kritisch: Die Haftungsregelungen. Hersteller haften für Schäden durch Sicherheitslücken. Bußgelder bei Verstößen können bis zu 15 Mio. Euro oder 2,5% des weltweiten Jahresumsatzes betragen. Die Übergangsfrist läuft – Hersteller sollten jetzt mit der Implementierung beginnen.
Fazit
Der Cyber Resilience Act ändert die Spielregeln für Produkthersteller grundlegend. Security by Design wird zur Pflicht, nicht zur Option. Wer jetzt nicht handelt, riskiert nicht nur Bußgelder, sondern auch den Marktzugang in der EU. Eine frühzeitige Vorbereitung ist unverzichtbar.
Top 5 Empfehlungen:
1. Betroffenheit prüfen: Analysiere dein Produktportfolio – welche Produkte fallen unter den CRA?
2. Security by Design implementieren: Integriere Cybersicherheit von Anfang an in den Entwicklungsprozess.
3. Schwachstellenmanagement aufbauen: Etabliere Prozesse zur Identifikation, Bewertung und Behebung von Sicherheitslücken.
4. Update-Strategie entwickeln: Plane langfristige Software-Updates (mindestens 5 Jahre Support) und automatische Patch-Mechanismen.
5. Dokumentation sicherstellen: Erstelle die erforderliche technische Dokumentation für die CE-Kennzeichnung frühzeitig.