Der Cyber Resilience Act im Überblick: EU verschärft regulatorische Anforderungen an Cybersicherheit digitaler Produkte

by|14. Mai 2025|Wissenswertes

Im Oktober 2024 wurde der Cyber Resilience Act (CRA) final verabschiedet. Der CRA wird den Cybersicherheitsrahmen für digitale Produkte und Software erheblich anheben. Nach dem CRA müssen Hersteller und Einführer künftig sicherstellen, dass ihre Produkte über den gesamten Lebenszyklus hinweg den hohen Sicherheitsanforderungen genügen. Für Unternehmen bedeutet dies neue Pflichten, strengere Sicherheitsvorgaben und eine tiefgreifende Überprüfung bestehender Informationssicherheitsstrategien.

Was ist der Cyber Resilience Act?

Der CRA ist eine EU-Verordnung, die für alle neuen Produkte mit digitalen Elementen gilt, die ab dem 11.12.2027 in der EU in Verkehr gebracht werden. Damit gemeint sind alle Software- und Hardwareprodukte, die mit Netzwerken oder anderen Geräten verbunden sind. Beispiele hierfür sind: Vernetzte Geräte (z.B. intelligente Haushalts- und Industriesysteme); Steuerungssoftware für vernetzte Haushaltsgeräte; Plattformen zur Smart-Home-Steuerung; Videobearbeitungstools und mobile Apps; intelligente Überwachungskameras oder Systeme für Gesichtserkennung, sofern diese mit einem Netzwerk verbunden sind.
Ausgenommen von der Verordnung sind branchenspezifisch geregelte Produkte wie Medizinprodukte, Luftfahrt‑ und Automobiltechnik sowie Schiffsausrüstung; Websites, Cloud- und SaaS-Dienste, sofern sie lediglich unterstützende Funktionen bieten sowie nicht-kommerzielle Open-Source-Software.
Produkte, die vor 11.12.2027 auf den Markt gebracht wurden, werden grundsätzlich von dem Gesetz betroffen, wenn sie wesentlich verändert werden, z. B. durch signifikante Software-Updates.
Ziel der Regelung ist es, ein Mindestmaß an Cybersicherheit zu gewährleisten – von der Entwicklungsphase über die Nutzung bis hin zur Außerbetriebnahme.

Kernpunkte und zentrale Anforderungen des CRA

  • Security by Design:

Bereits in der Entwicklungsphase müssen Hersteller Cybersicherheitsrisiken identifizieren und minimieren. Sicherheitsfunktionen wie Authentifizierung, Zugriffskontrolle und Verschlüsselung gehören zu den Standardanforderungen.

  • Regelmäßige Updates und Schwachstellenmanagement:

Produkte müssen kontinuierlich überwacht, Schwachstellen zeitnah identifiziert und behoben werden. Ein strukturierter Vulnerability Management-Prozess sowie die Einrichtung eines Product Security Incident Response Teams (PSIRT) sind hierbei zentrale Maßnahmen.
Hinweis: Innerhalb von 24 Stunden muss eine aktiv ausgenutzte Schwachstelle an ENISA (Agentur der Europäischen Union für Cybersicherheit) oder nationale Aufsichtsbehörde gemeldet werden.

  • Dokumentationspflichten:

Hersteller sind verpflichtet, umfassende technische Nachweise zu erbringen. Dazu zählen etwa die Systemarchitektur, ein Software Bill of Materials (SBOM), Risikobewertungen und das gesamte Patch-Konzept.

  • Produktkategorien und -klassen:

Der CRA ordnet digitale Produkte in zwei Hauptkategorien ein – wichtige und kritische Produkte. Während für die meisten Produkte eine Selbsterklärung (Internal Control) ausreichend ist, unterliegen kritische Produkte eventuell einer externen Zertifizierung.

  • Verpflichtender Unterstützungszeitraum:

Hersteller müssen eine Mindestunterstützung von fünf Jahren gewährleisten –oder einen entsprechend angepassten Zeitraum, wenn die erwartete Nutzungsdauer kürzer ist. Dies soll sicherstellen, dass Schwachstellen während der gesamten Lebensdauer des Produkts behoben werden können.

  • Gewährleistung der Cybersicherheit von Produkten durch Einführer und Händler:

Einführer und Händler müssen sicherstellen, dass Produkte, die sie importieren bzw. auf dem Markt bereitstellen, den Anforderungen des CRA entsprechen. Außerdem sind sie auch verpflichtet, entdeckte Sicherheitsrisiken oder Schwachstellen unverzüglich den zuständigen Aufsichtsbehörden zu melden.

Auswirkungen auf die Informationssicherheit

Der Cyber Resilience Act bedeutet einen Paradigmenwechsel: Cybersicherheit ist keine optionale Zusatzleistung mehr, sondern eine verpflichtende Anforderung. Im Detail ergeben sich folgende Auswirkungen:

  • Sicherheit schon beim Design:

Es gilt, schon in der Planungs- und Entwicklungsphase eine gründliche Bewertung der Cybersicherheitsrisiken vorzunehmen.

  • Schwachstellenmanagement und Incident Response:

Neben der regelmäßigen Überwachung ist die schnelle, koordinierte Reaktion auf Sicherheitsvorfälle unerlässlich. Durch den Aufbau interner Vulnerability-Management-Prozesse und den Einsatz automatisierter Analysetools können Unternehmen frühzeitig potenzielle Risiken identifizieren.

  • Updates und Patch-Management:

Der kontinuierliche Betrieb sicherer Produkte erfordert definierte Patch-Zeiten und klare Service-Level-Agreements (SLAs) zur Bereitstellung von Sicherheitsupdates.

  • Nachweisführung und technische Dokumentation:

Die umfangreichen Dokumentationspflichten führen zu einem erhöhten Aufwand – bieten aber zugleich die Chance, durch transparente Nachweise Vertrauen zu schaffen und Wettbewerbsvorteile zu erzielen.

Fristen und Sanktionen

  • Umsetzungszeitplan:
    • 23.10.2024: Verabschiedung des CRA
    • 11.12.2024: Inkrafttreten der Verordnung
    • 11.06.2026: Anforderungen für Konformitätsbewertungsstellen
    • 11.09.2026: Beginn der Meldepflicht für Schwachstellen und Sicherheitsvorfälle
    • 11.12.2027: Die sonstigen CRA-Regelungen treten vollständig in Kraft. Ab diesem Datum müssen alle neuen Produkte den CRA-Anforderungen entsprechen.
  • Sanktionen:

Verstöße gegen den CRA können empfindliche Geldbußen nach sich ziehen – bis zu 15 Mio. Euro oder 2,5 % des weltweiten Jahresumsatzes, abhängig vom Verstoß. Bei Feststellung schwerwiegender Sicherheitsmängel können die Aufsichtsbehörden zudem anordnen, dass die Unternehmen ihre Produkte vom Markt nehmen, bis die Sicherheitslücken geschlossen sind. Eine sorgfältige Einhaltung der Vorgaben ist also nicht nur sicherheitspolitisch, sondern auch wirtschaftlich entscheidend.

Fazit: Informationssicherheit wird zur Pflicht

Mit dem Cyber Resilience Act setzt die EU ein deutliches Signal: Unternehmen, die digitale Produkte in der EU entwickeln, müssen Sicherheitsaspekte ganzheitlich berücksichtigen. Wer die neuen Regelungen frühzeitig und konsequent umsetzt, stärkt nicht nur den eigenen Schutz, sondern erhöht auch das Vertrauen der Kunden in ein sicheres Produkt.

Nähere Informationen finden Sie unter: HIER

Sichere Kommunikation

Neueste Beiträge

  • TikTok: 530 Millionen Euro Bußgeld wegen Datenübermittlung nach China20. Mai 2025 - 13:06

    Die irische Datenschutzbehörde hat TikTok ein Bußgeld von 530 Millionen Euro auferlegt – wegen unzulässiger Datenübermittlung europäischer Nutzer*innen nach China. Trotz Sicherheitsmaßnahmen wie „Project Clover“ sah die DPC gravierende Mängel beim Schutz vor staatlichen Zugriffen und bei der Transparenz. Besonders sensibel: der Umgang mit Kinderdaten

  • BGH stärkt Verbraucherrechte: Datenschutzverstöße als Wettbewerbsverstöße14. Mai 2025 - 10:21

    Am 27. März 2025 hat der Bundesgerichtshof (BGH) mit drei wegweisenden Urteilen (I ZR 186/17, I ZR 222/19, I ZR 223/19) die Verbraucherrechte gestärkt und klargestellt, dass Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) auch als wettbewerbswidrige Handlungen einzustufen sind. Damit können künftig nicht nur Aufsichtsbehörden, sondern auch Verbraucherschutzverbände und Mitbewerber Datenschutzverstöße zivilrechtlich verfolgen. Dieser Paradigmenwechsel hat erhebliche Auswirkungen auf Unternehmen und deren rechtliche Risikolage.

  • LAG Baden-Württemberg, Urteil vom 27.07.2023, Az. 3 Sa 33/22: Schadensersatz wegen unzulässiger Bildverwendung eines Ex-Mitarbeiters14. Mai 2025 - 9:57

    Ein ehemaliger, angestellter Werbetechniker klagte gegen seinen früheren Arbeitgeber auf Schadensersatz. Während des laufenden Arbeitsverhältnisses hatte der Arbeitgeber Fotos und Videos des Klägers zu Werbezwecken auf der Firmenwebsite verwendet. Nach seinem Wechsel zu einem direkten Wettbewerber im Mai 2019 forderte der Kläger die Entfernung dieser Bildaufnahmen. Der ehemalige Arbeitgeber kam dieser Aufforderung jedoch erst im Februar 2020 vollständig nach.

  • AG Mainz: DSGVO-Rüge zur Kundengewinnung ist rechtsmissbräuchlich14. Mai 2025 - 9:48

    Ein Webdesigner hatte einen Zahnarzt per E-Mail auf angebliche DSGVO-Verstöße hingewiesen – verbunden mit einem kostenpflichtigen Dienstleistungsangebot. Als der Zahnarzt nicht reagierte, machte der Webdesigner Auskunfts- und Schadensersatzansprüche geltend (1.160,25 € für ein Gutachten seines Bruders).
    Das Amtsgericht Mainz (Urteil vom 27.03.2025 – Az. 88 C 200/24) wies die Klage ab: Das Vorgehen sei rechtsmissbräuchlich (§ 242 BGB). Der Kläger habe keine echte Betroffenheit i.S.d. DSGVO dargelegt, sondern den Datenschutz nur vorgeschoben, um Kunden zu akquirieren.
    Ein Auskunftsanspruch nach Art. 15 DSGVO sowie ein Schadenersatzanspruch nach Art. 82 DSGVO bestünden nicht. Auch das Gutachten sei unnötig und geschäftlich motiviert gewesen.

Schlagwörter

Abmahnwelle Art. 15 DSGVO Aufbewahrungsfristen Auskunft BAG Betroffenenrecht BGH Bildnisse Bußgeld Cyber Resilience Act Cybersicherheit Datenminimierung Datenschutz Datenschutz-Grundverordnung Datenschutzverstoß Datenübermittlung digitaler Produkte DPA Drittanbieter Drittland DSK Beschluss Einwilligung Ex-Mitarbeiter Google Fonts HmbBfDI IT-Sicherheit Kundengewinnung Kurzbeitrag Künstliche Intelligenz Löschkonzept Microsoft Natural Language Processing Patrick Vieregge PRev Recht auf Auskunft Schadensersatz Schadensersatzanspruch Social Media Technologien TikTok Tracking Update Verbraucherrechte Website Wettbewerbsverstoß
Angemessenheitsbeschluss für Datenschutzrahmen EU-USA von der EU-Kommission...Neue Speicherfristen beachten und veraltete Daten löschen