Bis Ende 2027 müssen alle Anforderungen des Cyber Resilience Act erfüllt sein – von sicheren Entwicklungsprozessen bis zur Meldepflicht für Schwachstellen. Hersteller sollten nicht abwarten, sondern bestehende Standards nutzen, um frühzeitig compliant zu werden. Wer jetzt handelt, spart Zeit, Kosten und reduziert Risiken.
Der Cyber Resilience Act verpflichtet Hersteller, Sicherheits- und Entwicklungsprozesse zu prüfen und zu dokumentieren. Frühzeitige Vorbereitung reduziert spätere Compliance-Kosten.
Mit dem Cyber Resilience Act (CRA) reagiert die EU auf die zunehmende Bedrohung durch Cyberangriffe und die wachsende Abhängigkeit von digitalen Infrastrukturen. Ziel ist es, das Sicherheitsniveau von Produkten mit digitalen Elementen zu erhöhen und zu vereinheitlichen. Hersteller stehen nun vor der Herausforderung, die regulatorischen Anforderungen umzusetzen – sowohl auf technischer als auch auf organisatorischer Ebene: Spätestens im Dezember 2027 müssen sie erfüllt sein. Doch es gibt gute Nachrichten: Unternehmen können bestehende Best Practices nutzen und müssen das Rad nicht neu erfinden.
Die zunehmende Vernetzung und Digitalisierung unserer Gesellschaft birgt erhebliche Sicherheitsrisiken. Dies wurde durch spektakuläre Cyberattacken der vergangenen Jahre wie WannaCry, NotPetya und die SolarWinds-Attacke schmerzhaft deutlich. Als Reaktion darauf trat am 11. Dezember 2024 der Cyber Resilience Act (CRA) in Kraft. Diese EU-Verordnung verfolgt das Ziel, einheitliche Sicherheitsanforderungen für Produkte mit digitalen Elementen zu etablieren und damit die Resilienz gegenüber Cyberattacken zu erhöhen. Ab dem 11. September 2026 gelten erste verpflichtende Anforderungen wie die Meldung von Schwachstellen und ab dem 11. Dezember 2027, 36 Monate nach dem Inkrafttreten, müssen alle Anforderungen erfüllt sein, damit Hersteller ihre Produkte weiterhin auf dem EU-Markt verkaufen dürfen. Da der Cyber Resilience Act als Verordnung erlassen wurde, entfaltet er – im Gegensatz zu einer Richtlinie – unmittelbare Geltung in allen EU-Mitgliedstaaten, ohne dass es einer nationalen Umsetzung bedarf.
Die CRA-Regulierung betrifft Produkte mit digitalen Elementen, das heißt Hard- oder Softwareprodukte, welche digitale Daten verarbeiten und vernetzt werden können. Dies umfasst ein breites Spektrum von Produkten, von Smartphones und Browsern über Steuerungssysteme im industriellen Bereich bis hin zu kritischen Komponenten wie Smartcards und Hardware Security Modulen. Grundsätzlich lässt sich sagen: Alles, was smart ist oder vernetzt werden kann, ist betroffen.
Je nach Risikoklasse – von allgemeinen Produkten über Produkte mit direktem Cybersecurity bezug, bis hin zu hochsensiblen Anwendungen in kritischen Infrastrukturen – variiert die Tiefe des erforderlichen Nachweises der Konformität. Dabei sind insbesondere für kritische Produkte externe Prüfungen durch Dritte erforderlich, während allgemeine Produkte lediglich eine Selbsterklärung benötigen.
Pflichten der Hersteller
Die Pflichten des CRA lassen sich grundsätzlich in zwei Bereiche unterteilen: die Anforderungen an die Produktsicherheit und die Anforderungen an die Herstellerprozesse.
Die Anforderungen an die Produktsicherheit beziehen sich auf die Produkteigenschaften, auf dessen technische Sicherheit und die Kommunikationswege des Produktes. Gefordert wird unter anderem, dass Vertraulichkeit und Integrität der verarbeiteten Daten sichergestellt sein müssen, Schutz vor unbefugtem Zugriff besteht und wesentliche Funktionen auch im Angriffsfall verfügbar sein müssen. Angriffsflächen müssen reduziert, Logging- und Monitoring-Möglichkeiten vorhanden sein und Sicherheitsupdates durchgeführt werden.
Die Anforderungen an Herstellerprozesse betreffen die unternehmensinternen Abläufe. Hersteller müssen unter anderem Prozesse zur koordinierten Behandlung von Schwachstellen einführen, ein Schwachstellenmanagement etablieren und eine Meldepflicht gegenüber Behörden wie der ENISA einhalten. Die Prozesse, mit denen die Anforderungen erfüllt werden, müssen dokumentiert werden, um der Nachweispflicht Genüge zu tun. Das bedeutet, dass der CRA nicht nur formal die Konformität einfordert, sondern funktionierende Sicherheitsprozesse.
Unsicherheit bei der Umsetzung
Eine der zentralen Herausforderungen für Unternehmen liegt in der Umsetzung der regulatorischen Anforderungen, insbesondere weil viele konkrete Standards und Leitlinien derzeit noch fehlen oder erst kurz vor dem endgültigen Inkrafttreten der CRA-Pflichten im Dezember 2027 erwartet werden. Hersteller sehen sich mit der Schwierigkeit konfrontiert, Anforderungen umzusetzen, die teilweise interpretationsbedürftig formuliert sind. So lässt der CRA beispielsweise offen, wie konkret Datenintegrität geschützt oder der Zugriff auf sensible Daten kontrolliert werden soll. Die konkreten Anforderungen, die im CRA anderthalb Seiten umfassen, schaffen keine Klarheit, Behörden verweisen auf harmonisierte Standards und Leitliniendokumente der EU-Kommission, die aber noch nicht veröffentlicht wurden.
Diese Standards werden in drei Kategorien gemäß dem New Legislative Framework eingeteilt: Typ A Standards (horizontale Frameworks) legen die übergreifenden Prinzipien und Begriffe fest, sind aber nicht produktspezifisch. Typ B Standards (horizontale Standards) formulieren produktunabhängige Anforderungen und zielen auf Prozesse ab. Typ C Standards (vertikale Standards) konzentrieren sich auf konkrete Produktfamilien wie Firewalls oder Steuergeräte und sollen eine vollständige Abdeckung der Anforderungen ermöglichen. Mit der Veröffentlichung eines geplanten Typ A Standards wird im August 2026 gerechnet, 14 Typ B Standards sollen zwischen September 2026 und Oktober 2027 veröffentlicht werden, ein Typ C Standard im Oktober 2026.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Auch die Leitliniendokumente sind noch nicht veröffentlicht: Bisher wurde nur ein Veröffentlichungsdatum für ein Leitliniendokument zur Produktklassifikation benannt – der 11. Dezember 2025. Weitere Fragen, die durch diese Dokumente geklärt werden sollen, sind unter anderem welche Pflichten sich aus der Nutzung von Open-Source-Komponenten ergeben, wann ein Produkt als wesentlich verändert gilt oder wie eine Risikobewertung durchgeführt werden kann.
Warten ist keine Option
Dennoch gibt es auch eine gute Nachricht: Unternehmen müssen das Rad nicht neu erfinden. Viele der technischen und organisatorischen Anforderungen des CRA lassen sich durch bereits etablierte Best Practices und vorhandene Sicherheitsstandards wie die IEC 62443 Reihe oder branchenspezifische IoT-Richtlinien erfüllen.
Die proaktive Herangehensweise an den CRA spart Ressourcen und minimiert Risiken: Hersteller, die frühzeitig handeln und vorhandene Sicherheitsprozesse nutzen, vermeiden den immensen Zeitdruck und die hohen Kosten, die bei einer verzögerten Umsetzung zwangsläufig entstehen. Unternehmen sollten daher nicht auf vollständige Klarheit durch alle Leitlinien und Standards warten, sondern bereits jetzt beginnen, die Weichen für eine erfolgreiche Umsetzung zu stellen.
Essenziell ist die frühzeitige Durchführung einer verpflichtenden Risikoanalyse. Diese bildet die Grundlage, um zu bestimmen, welche Assets geschützt werden müssen, welche realistischen Bedrohungen existieren und welche Schwachstellen besonders kritisch sind.
Auf Seiten der Herstellerprozesse lohnt es sich auch jetzt bereits Wert auf CRA-konformität zu legen. Viele Anforderungen etwa zum Schwachstellenmanagement können bereits heute mit den bestehenden Prozessen umgesetzt werden.
Zusammenfassend lässt sich sagen, dass der Cyber Resilience Act zwar zunächst wie ein komplexer regulatorischer Dschungel erscheint, sich aber mit praxisorientierter Vorgehensweise gut bewältigen lässt. Durch Nutzung existierender Standards und durch eine frühzeitige, systematische Vorbereitung können Unternehmen nicht nur regulatorische Compliance sicherstellen, sondern auch ihre Resilienz gegenüber den stetig wachsenden Cyberrisiken nachhaltig stärken.
Über die Autoren: Philip Asmuth ist, Team Lead Security Architecture & Evaluation bei achelos. Denis Bock ist Sales Manager Cybersecurity bei der achelos GmbH.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/4b/38/4b3842a64741d2dbd1f76ec5478ae444/0126170958v1.jpeg "Der Cyber Resilience Act verschiebt Cybersicherheit vom „Nice-to-have“ zur Pflichtvoraussetzung für das CE-Zeichen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c2/d4/c2d45b09a335f3f478c6b35fb9f025f6/0121562430v2.jpeg "Das BSI geht noch einmal genauer darauf ein, was Unternehmen, KMU und Startups bei der Umsetzung des Cyber Resilience Act beachten müssen. (Bild: ipuwadol - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/9e/699e84a150c0bc641469a608dcb581bf/0121871759v2.jpeg "Das Athene-Forschungsprojekt erläutert die Pflichten, die mit dem Cyber Resilience Act auf Hersteller, Händler und Importeure zukommen. (Bild: olly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dd/74/dd74dc5f45b18903f449264959d2dfe3/0122180401v2.jpeg "Cyber Resilience Act (CRA): erstmals wird der Grundsatz ‚Security by Design‘ in das europäische Technikrecht aufgenommen. (Bild: harakir)")
:quality(80)/p7i.vogel.de/wcms/da/38/da3889157477ba71878663a90c7a9ab5/0126746662v2.jpeg "EU-Verordnung Cyber Resilience Act: Herausforderung für Hersteller, Importeure und Händler. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/5c/e4/5ce4cfb0507a772153f22c5fb269c2e1/0128222866v1.jpeg "In der Artikelreihe der Technischen Hochschule Augsburg erläutern wir die Hintergründe und Anforderungen des Cyber Resilience Acts. Im vierten und letzten Teil erfahren Sie, welche Produktkategorien es gibt, wie Sie deren Konformität sicherstellen und welche Konsequenzen bei Nichteinhaltung drohen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")