Ab November 2027 wird es ernst: Dann müssen alle Hersteller, Händler und Betreiber von vernetzten Produkten im europäischen Binnenmarkt die Vorgaben des neuen Cyber Resilience Act (CRA) erfüllen. Diese EU-Verordnung, die bereits 2024 vom Rat der Innenministerinnen und Innenminister verabschiedet wurde, setzt ein klares Signal: Cybersicherheit soll künftig kein Zusatz, sondern ein verpflichtender Standard für digitale Produkte sein.

Wer vom CRA betroffen ist Der Cyber Resilience Act gilt für eine breite Palette von Lösungen: von industriellen Steuergeräten über Internet-of-Things-Anwendungen bis hin zu Software, die auf elektronischen Geräten läuft. Der Anspruch der EU ist hoch. Hersteller sollen die Sicherheit ihrer Produkte nicht nur bei Markteinführung garantieren, sondern während des gesamten Lebenszyklus. Ziel ist es, Transparenz über das Sicherheitsniveau zu schaffen und die Widerstandskraft des europäischen Binnenmarkts gegen Cyberangriffe zu stärken. Betroffen ist praktisch die gesamte Lieferkette – vom Hersteller über Importeure bis hin zu Händlern. Die Größe des Unternehmens spielt dabei keine Rolle. Ausgenommen sind nur wenige Bereiche, etwa militärische Produkte, bestimmte EU-regulierte Sicherheitsprodukte sowie Open-Source-Software, die ohne kommerzielle Absicht entwickelt wurde. Für Software-as-a-Service gilt die Verordnung nur dann, wenn sie ein essenzieller Bestandteil eines Produkts ist. Dagegen müssen Cloud-Dienste mit Datenfernverarbeitung die Anforderungen zwingend erfüllen.

Sicherheit und Dokumentationspflicht von Anfang an Der CRA basiert auf den Prinzipien „Security by Design“ und „Security by Default“. Sicherheit darf also nicht erst nachträglich eingebaut werden, sondern muss von Anfang an Teil des Produkts sein. Das bedeutet, dass Hersteller bereits in der Konzeptionsphase Risikoanalysen vornehmen müssen, um Schwachstellen frühzeitig zu erkennen. Über den gesamten Lebenszyklus gilt ein umfassendes Schwachstellenmanagement: Produkte müssen überwacht, Sicherheitsupdates bereitgestellt und eine Software Bill of Materials (SBOM) geführt werden – eine Art Zutatenliste aller eingesetzten Komponenten, die Transparenz über Abhängigkeiten schafft. Hinzu kommt eine strikte Meldepflicht. Ausnutzbare Schwachstellen und Sicherheitsvorfälle sind innerhalb von 24 Stunden an die zuständigen Behörden zu erklären, parallel dazu müssen auch Nutzer informiert werden. Zudem sieht die Verordnung weitreichende Dokumentationspflichten vor: Von technischen Details über Support-Zeiträume bis hin zu Anleitungen für eine sichere Nutzung müssen Informationen vollständig und leicht zugänglich bereitgestellt werden. Am Ende steht die CE-Kennzeichnung – nur Produkte, die die Vorgaben erfüllen, dürfen künftig auf den Markt.

Cybersecurity wird zum Wettbewerbsfaktor Für die Industrie bedeutet der CRA vor allem mehr Verantwortung. Hersteller müssen neue Prozesse einführen, Strukturen aufbauen und ihre Lieferketten durchleuchten. Denn auch Komponenten von Drittanbietern fallen unter die Regeln. Die Kosten können erheblich sein. Darunter fallen etwa der Aufbau interner Security-Abteilungen und auch neue Prüf- und Monitoringverfahren. Das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC weist zudem auf die möglichen Sanktionen hin: bis zu fünf Millionen Euro oder ein Prozent des Jahresumsatzes sollen für unvollständige Informationen aufgerufen werden können; bei groben Verstößen sogar bis zu 20 Millionen Euro oder 2,5 Prozent des Umsatzes. Die Einhaltung des CRA wird von den nationalen Behörden überwacht.

Internationaler Druck und Innovationstreiber Andererseits eröffnet der CRA auch Chancen: Wer früh in Sicherheit investiert, kann sich als verlässlicher Anbieter positionieren. Zudem hat der Act eine Außenwirkung: Auch Unternehmen außerhalb der EU, die ihre Produkte in Europa anbieten wollen, müssen seine Regeln einhalten. Damit setzt Brüssel – ähnlich wie bei der DSGVO – de facto Standards, die oft weit über den Binnenmarkt hinausreichen. Für viele Hersteller bedeutet das, ihre Produkte von vornherein global sicherer zu gestalten. Branchenkenner erwarten, dass dies Innovationen im Bereich Cybersecurity beschleunigt – etwa bei automatisierten Update-Prozessen, sichereren Software-Komponenten oder bei transparenten Lieferketten. Langfristig könnte sich der regulatorische Druck also als Treiber für technologische Weiterentwicklungen erweisen.

Vorteile für Verbraucher Auch Verbraucher profitieren. Sie sollen sich darauf verlassen können, dass ihre Geräte nicht nach kurzer Zeit bereits unsicher werden. Geräte müssen mit sicheren Standardeinstellungen ausgeliefert werden, Updates müssen über Jahre hinweg gewährleistet sein, und Nutzer erhalten klare Informationen über Risiken und sichere Nutzung. Das CE-Kennzeichen, bislang vor allem als Hinweis auf Produktsicherheit und Konformität mit EU-Standards bekannt, wird künftig auch für Cybersecurity stehen. Ohne CE-Label haben Produkte keinen Zugang mehr zum europäischen Markt.

Mehr Sicherheit – und mehr Verantwortung Mit dem Cyber Resilience Act will die EU die „digitale Hygiene“ im Binnenmarkt auf ein neues Niveau heben. Für die Unternehmen bedeutet das allerdings, ihre Prozesse und Produkte umfassend auf Sicherheitslücken zu prüfen – und zwar nicht einmalig, sondern kontinuierlich. Die Botschaft aus Brüssel ist eindeutig: Wer digitale Produkte auf den Markt bringt, trägt Verantwortung für deren Sicherheit.

Schwierigkeiten Ganz unumstritten ist die Verordnung nicht. Kleine und mittlere Unternehmen fürchten, von den neuen Pflichten überfordert zu werden. Auch die Abhängigkeit von globalen Lieferketten erschwert die Umsetzung. Was passiert, wenn ein Zulieferer keine SBOM bereitstellt oder Sicherheitslücken offenlässt? Offen bleibt auch, wie mit Open-Source-Software umzugehen ist. Viele Produkte setzen auf frei verfügbare Bibliotheken. Zwar sind nicht-kommerzielle Projekte ausgenommen, doch in der Praxis verschwimmt die Grenze oft. Zudem warnen Experten vor übermäßiger Bürokratie. Und: Nationale Behörden müssen ausreichend Ressourcen haben, um die Marktaufsicht überhaupt leisten zu können.

FACTBOX

Das Fraunhofer AISEC entwickelt mit seinem Tool Confirmate eine automatisierte Lösung, mit der Hersteller prüfen können, inwieweit ihre Produkte den Anforderungen des CRA entsprechen.