Um sicherzustellen, dass vernetzte Produkte entlang ihres gesamten Lebenszyklus gegen unberechtigten Zugriff und Manipulation geschützt sind, etabliert die EU mit dem Cyber Resilience Act (CRA) neue Vorgaben für Hersteller und Händler. In Hinblick auf die oft langwierigen Entwicklungszeiten sollten betroffene Unternehmen ihr Portfolio bereits jetzt umfassend prüfen.
Dank CRA können sich sowohl Verbraucher als auch B2B-Anwender zukünftig deutlich stärker auf die langfristige Sicherheit ihrer Produkte verlassen.
(Bild: gopixa - stock.adobe.com)
Die Zahlen sprechen für sich: Fast jede zweite Führungskraft aus Deutschland sorgt sich dem aktuellen CEO Survey von PwC zufolge um die Folgen von Cyberrisiken. Vor allem die fortlaufende Vernetzung in sämtlichen Geschäfts- und Lebensbereichen trägt dazu bei, dass die Angriffsfläche für Hacker immer größer wird. Das hat auch die Europäische Union (EU) erkannt und möchte die Risiken mit verschiedenen Regulierungsinitiativen in den Griff bekommen. Der Cyber Resilience Act (CRA) ist eine davon und zielt insbesondere auf die Sicherheit von vernetzten Produkten ab. Maßgeblich sind dabei digitale Elemente, die eine Datenverbindung ermöglichen, z. B. zu anderen Produkten und Komponenten. Ziel der Regulierung ist es, die Cybersicherheit in der EU durch einen gemeinsamen Rechtsrahmen für solche Produkte nachhaltig zu stärken. Dafür sollen zukünftig in allen Sektoren neue Standards, Leitlinien und bewährte Verfahren zum Einsatz kommen.
Der EU-Rat hat im Juli 2023 ein Verhandlungsmandat des CRA veröffentlicht, um mit der Kommission in die Diskussion zu gehen, bevor das Parlament im März 2024 final darüber abgestimmt hat. Die Zustimmung des Europäischen Rats ist noch notwendig, wird nunmehr aber als Formsache betrachtet und für das zweite Quartal 2024 erwartet. Nach der Verabschiedung treten die meisten Vorgaben mit einer Übergangsfrist von bis zu 36 Monaten in Kraft, einige jedoch bereits nach 21 Monaten. Weil die neuen Regeln nicht nur auf Produkte für Endverbraucher anzuwenden sind, sondern auch industrielle Komponenten innerhalb der kritischen Infrastrukturen betreffen, gibt es enge Wechselwirkungen zwischen CRA und anderen Regularien, wie der NIS-2-Direktive.
Regulierung mit Augenmaß
Die EU definiert die von der Verordnung betroffenen Produkte grundsätzlich so, dass so gut wie alle Endgeräte und Software-Komponenten unter die neuen Vorgaben fallen. An der Schnittstelle zu den Endverbrauchern sind das etwa Produkte aus dem Bereich der Unterhaltungselektronik, Smart-Home-Technologien oder auch Smartphone-Apps. Im B2B-Sektor fallen zukünftig viele Komponenten für Industrie-, Umwelt- und Energietechnologie unter die Verordnung. Dazu gehören etwa Sensoren, Steuersysteme oder Software für die Datenanalyse.
Um die Anforderungen an diese Produkte mit dem richtigen Augenmaß zu definieren, unterscheidet der Gesetzgeber zwischen vier verschiedenen Kategorien. In die normale Standardkategorie fallen Produkte, die keinerlei cybersicherheitsrelevante Aufgaben erfüllen – etwa Social-Media-Apps oder vernetzte Haushaltsgeräte. Die wichtigen Produkte der Klasse I gelten wiederum als cybersicherheitsrelevant und werden dementsprechend strenger geprüft. Zu dieser Klasse gehören unter anderem Antivirensoftware oder Netzwerkkomponenten. Darauf folgen die wichtigen Produkte der Klasse II, die nicht nur hoch relevant für die Cybersicherheit sind, sondern deren Manipulation auch weitreichende Folgen für andere digitale Produkte hätte. Das trifft etwa auf industrielle Firewalls, SCADA-Systeme und ähnliche Lösungen zu, die in Anhang III des Verhandlungsmandats aufgeführt sind. Die letzte der vier Kategorien ergibt sich aus Anhang IV und betrifft insbesondere Produkte, die im Bereich der kritischen Infrastrukturen wichtige Sicherheitsfunktionen einnehmen. Dazu gehören etwa Smart-Metering-Gateways, die zur Erfassung und Übertragung von Energieverbrauchsdaten in Echtzeit verwendet werden.
CE-Abzeichen nur nach Prüfung und Konformitätserklärung
Hersteller und Händler müssen im Zuge der neuen Vorgaben ein Risiko-Assessment vornehmen und eine umfassende Dokumentation über die Sicherheitsmerkmale und -funktionen ihrer Produkte und Dienstleistungen führen. Es ist zu erwarten, dass rund 90 Prozent der Produkte auf dem europäischen Markt in die Standardkategorie fallen werden. Hier gelten die technischen Anforderungen aus Anhang 1, in dem grundlegende Prinzipien wie ein angemessenes Cybersicherheitsniveau entlang des gesamten Lebenszyklus definiert sind. Unternehmen können Produkte dieser Kategorie selbst prüfen und eine Konformitätserklärung abgeben, bevor sie das CE-Kennzeichen auf dem Produkt anbringen dürfen.
Für Produkte der wichtigen Klasse I ist zunächst zu prüfen, ob ein harmonisierter Standard verfügbar ist. Solche harmonisierten Standards sind für den CRA noch nicht festgelegt, erwartet werden jedoch Standards, die bereits weitläufigen Einsatz finden, wie z. B. der IEC 62443. Ist ein solcher Standard verfügbar, so können Unternehmen diesen anwenden und schließlich die Konformitätserklärung bei den zuständigen Behörden abgeben. Ist das nicht der Fall, müssen sie Anhang 1 anwenden und durch eine externe Prüfstelle untersuchen lassen, ob die Konformität gegeben ist. Für Produkte der wichtigen Klasse II besteht immer die Pflicht, eine externe Prüfstelle zu involvieren. Bei Produkten aus Anhang IV kommt es wiederum darauf an, ob ein Zertifizierungssystem verfügbar ist. Auch hier gilt: Sofern vorhanden, müssen Unternehmen dieses auch anwenden. Andernfalls kommt Anhang I zur Anwendung und es folgt das beschriebene Prozedere inklusive der externen Prüfung.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Pflichten und Sanktionen
Neben dem initialen Risiko-Assessment und der internen oder externen Prüfung kommen mit der Verabschiedung des CRA weitere Pflichten auf Unternehmen zu. Der CRA sieht vor, dass Unternehmen die erwartete Lebensdauer eines Produktes angeben, wenn sie es verkaufen. Standardmäßig gelten hier mindestens fünf Jahre, in Sonderfällen kann diese jedoch auch kürzer ausfallen. Marktüberwachungsbehörden vergleichen dabei die Lebensdauer vergleichbarer Produkte im Markt, um korrekte Angaben sicherzustellen. Für die erwartete Lebensdauer der Produkte muss die Sicherheit der Produkte sichergestellt werden, also sind insbesondere Risiken und Sicherheitslücken schnell zu identifizieren. Treten sicherheitsrelevante Unregelmäßigkeiten auf, sind die Hersteller in der Pflicht, diese innerhalb von 24 Stunden an das nationale Cyber Security Incident Response Team zu melden, in Deutschland also dem BSI. Über die Lebensdauer des Produktes hinweg müssen kostenlose Sicherheitsupdates zur Verfügung gestellt werden, damit das Produkt nicht nur sicher ausgeliefert, sondern auch dauerhaft so betrieben wird. Bei Verstößen gegen den CRA drohen Strafen in Höhe von bis zu 15 Millionen Euro oder 2,5 Prozent des globalen Umsatzes. Außerdem können die Behörden Produkte bei Verstößen vom Markt nehmen.
Die Pflichten für betroffene Unternehmen nehmen mit dem CRA deutlich zu, dennoch ist die Verordnung eine sinnvolle Ergänzung für die europäische Regulierungslandschaft. Denn sowohl Verbraucher als auch B2B-Anwender können sich zukünftig deutlich stärker auf die langfristige Sicherheit ihrer Produkte verlassen. Gerade in sensiblen Bereichen wie dem produzierenden Gewerbe oder der Energiewirtschaft ist das nicht nur begrüßenswert, sondern obligatorisch. Da Unternehmen außerhalb der EU dieselben Anforderungen erfüllen müssen, um ihr Produkt in der EU anbieten zu dürfen, bleibt die Wettbewerbsgleichheit auf dem Markt gewahrt. Herstellern und Händlern von vernetzten Produkten bleibt jetzt noch genug Zeit, ihr Portfolio umfassend zu prüfen, mögliche Defizite aufzuarbeiten und im Sinne der geforderten Konformitätsnachweise zu dokumentieren. Wer zu lange damit wartet, riskiert jedoch, von der Regulierung eingeholt zu werden. Daher ist ein proaktiver Ansatz der einzig richtige Weg, um sich den kommenden Anforderungen zu stellen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/5c/e4/5ce4cfb0507a772153f22c5fb269c2e1/0128222866v1.jpeg "In der Artikelreihe der Technischen Hochschule Augsburg erläutern wir die Hintergründe und Anforderungen des Cyber Resilience Acts. Im vierten und letzten Teil erfahren Sie, welche Produktkategorien es gibt, wie Sie deren Konformität sicherstellen und welche Konsequenzen bei Nichteinhaltung drohen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/28/26/2826b8c9be56c061830ca3096bf73405/0127688180v1.jpeg "Der Cyber Resilience Act verpflichtet Hersteller, Sicherheits- und Entwicklungsprozesse zu prüfen und zu dokumentieren. Frühzeitige Vorbereitung reduziert spätere Compliance-Kosten. (Bild: © Maxim - stock.adobe.com)")