Die Deadline steht: Bis 11. Dezember 2027 haben Unternehmen Zeit, die Vorgaben des Cyber Resilience Acts (CRA) umzusetzen. Mit dieser Verordnung möchte die EU die Cybersicherheit auf dem Kontinent stärken. In Zeiten steigender Bedrohungen in der digitalen Welt eine gute Idee – doch trotzdem war der Vorstoß anfangs umstritten. Wieso wurde so intensiv über den CRA verhandelt? Was kommt auf Unternehmen zu? Und worüber berät die Expertengruppe in Brüssel? Ein Einblick.
Der Cyber Resilience Act ist ein weiteres wichtiges Puzzleteil in der Sicherheitsstrategie der Europäischen Union.
Europa geht voran: Während in den USA das ‚Cyber Safety Review Board‘ von Donald Trump wieder aufgelöst wurde, nehmen die Politikerinnen und Politiker der EU das Thema Cybersicherheit weiterhin ernst. Mit dem Cybersecurity Act und NIS2 haben sie in der Vergangenheit schon entscheidende Ausrufezeichen gesetzt.
Im September 2022 legte die Europäische Kommission auch ihre erste Version vom Cyber Resilience Act vor. Was als neuer Meilenstein gedacht war, stieß aber zunächst auf einigen Gegenwind. Vor allem der Umgang mit Open Source-Technologien führte zu hitzigen Diskussionen zwischen Politik, Wirtschaft und Verbänden.
Der CRA ist, vereinfacht ausgedrückt, ein Prüfsiegel, das die Sicherheit einer Hard- oder Software bescheinigt. Oder ausführlicher: Vertreiber, Importeure und Hersteller müssen über den gesamten Lebenszyklus ihres Produkts Richtlinien erfüllen und regelmäßig Sicherheitsupdates anbieten. Und zwar bei jeder neuen Version. Insgesamt also eine gute Sache, um gegen Cyber-Bedrohungen gewappnet zu sein. Leider fühlten sich aber Hersteller von quelloffener Software zunächst verunsichert.
In den frühen Versionen des CRA sollten die Entwickler solcher Lösungen weitreichende Pflichten erfüllen – von der ständigen Pflege der Software über die Prüfung von Schwachstellen bis zur Herausgabe von Bewertungen. Zudem war die Unterscheidung zwischen kommerziellen und nicht-kommerziellen Herstellern nicht eindeutig. Non-Profit-Organisationen, wie z. B. die gemeinnützige Apache Foundation, hätten die Vorgaben niemals umsetzen können, weil eine Open Source-Software eigentlich immer aus Komponenten besteht, die viele Akteure über einen längeren Zeitraum beigesteuert haben.
Wäre es dabei geblieben, hätten wir den Todesstoß für Open Source in Europa erlebt. Dass es anders kam, haben wir der starken Community zu verdanken. Dank des Einsatzes zahlreicher Organisationen und Unternehmen ist der CRA heute im Hinblick auf kommerzielle und nicht-kommerzielle Aktivitäten viel genauer formuliert. Zudem wurde die Rolle des ‚Open Source Stewards‘ eingeführt – darunter fallen juristische Personen, die keine Hersteller sind, aber die Entwicklung quelloffener Software unterstützen. Insgesamt hat der CRA dadurch eine für die meisten Leute zufriedenstellende Form angenommen.
„Vielleicht fragen Sie sich, wie ich in dieser Situation gelandet bin“
Auch wir bei Stackable haben bei der Entwicklung unserer Big Data-Lösung von Beginn an auf Open Source gesetzt, weil die Vorteile eines quelloffenen Codes für uns immens sind. Jeder User kann ihn einsehen, bewerten und nach den eigenen Vorstellungen editieren. Um bei der Verbreitung und Gestaltung dieser Technologie mitzuhelfen, haben wir uns schließlich für die CRA-Expertengruppe der Europäischen Union beworben. Ernsthafte Hoffnung hatten wir uns als vergleichsweise junges und kleines Unternehmen nicht gemacht. Umso größer war dann die Freude, als Ende 2024 die Zusage kam.
Nun hat die erste Sitzung des Komitees stattgefunden. Selbst vor Ort in Brüssel zu sein und auf Vertreter von Branchenriesen wie Microsoft, Siemens oder Cisco zu treffen, war ein aufschlussreiches Erlebnis. Der direkte Austausch in der Expertengruppe hat mir wertvolle Einblicke in die Vorgänge und Mechanismen der EU-Gesetzgebung vermittelt.
Und worum ging es konkret? Ein wichtiger Punkt, über den wir länger diskutiert haben, war das Thema Risikobewertung. In meinem Berufsleben hatte ich damit bisher nur vereinzelte Berührungspunkte. Aus Gesprächen in den Monaten zuvor wusste ich, dass es anderen Unternehmern, vor allem bei Startups oder kleineren Unternehmen, ebenso geht. Was genau zu tun ist, welche Szenarien und Leitlinien zu beachten sind, bereitet vielen großes Kopfzerbrechen. Die Expertengruppe war bei dem Thema zweigeteilt: Manche Teilnehmer plädierten für minimale Vorgaben, damit die Risikobewertung nicht zu kompliziert wird. Andere, darunter auch ich, empfahlen der Kommission dagegen, Anleitungen zu erstellen, damit Unternehmen jederzeit ein Handbuch haben.
Ein weiteres Thema war die internationale Abstimmung. Mit dem Cyber Resilience Act schlägt Europa einen wichtigen Weg ein, doch in vielen anderen Ländern gibt es solche Regulierungen noch nicht. Die Gefahr dabei ist, dass europäische Unternehmen einen Nachteil haben, da sie höhere Auflagen erfüllen müssen. Um im weltweiten Wettbewerb mithalten zu können, ist die Kooperation mit anderen Wirtschaftsräumen enorm wichtig. Und daran werden wir in den kommenden Monaten arbeiten. Es liegt also noch einige Arbeit vor uns.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Bis zum 11. Dezember 2027 läuft die Übergangsfrist, um alle Anforderungen umzusetzen. Doch bereits ab 11. September 2026 müssen alle betroffenen Unternehmen Berichte abliefern, beispielsweise bei Schwachstellen oder Vorfällen. Kurzgesagt: Die Zeit drängt. Insbesondere, weil die internen Prozesse, Systeme und Vorgehensweisen genau analysiert und möglicherweise umgestellt werden müssen. Wer noch keine lückenlose Nachweisführung etabliert hat, sollte schleunigst damit anfangen, alle Software- und Security-Praktiken genau zu dokumentieren. Im Detail geht es darum, welche Komponenten und Drittanbieter-Lösungen verwendet werden und welche Sicherheitsvorgänge im Einsatz sind.
Wichtig ist dabei ein effizientes Schwachstellenmanagement. Um angemessen auf Risiken reagieren zu können, ist es unumgänglich, mögliche Schwachstellen früh zu erkennen. Und dafür muss die komplette Software-Lieferkette unter die Lupe genommen werden. Welche Komponenten des Codes kommen woher? Gibt es Risiken? Auf diese Fragen sollten schnell Antworten gefunden werden. Um nicht in Zeitprobleme zu geraten, sollten Unternehmen so schnell wie möglich mit einer schrittweisen Integration der Vorgaben beginnen. So können sie ihre Compliance-Prozesse sicher verankern.
Der Cyber Resilience Act ist ein weiteres wichtiges Puzzleteil in der Sicherheitsstrategie der Europäischen Union. Unser wichtigstes Ziel in der Expertengruppe ist es, einen gesunden Mittelweg zwischen Effizienz und Bürokratie zu finden. Die ersten Schritte sind geschafft, doch in den kommenden Monaten werden wir uns intensiv mit der Umsetzung beschäftigen. Für ein sicheres, wettbewerbsfähiges und zukunftsorientiertes Europa.
Über den Autor: Lars Francke ist Mitgründer und CTO von Stackable und Mitglied der Expertengruppe zum Cyber Resilience Act bei der Europäischen Kommission.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0b/0b/0b0bf8dd9dc859897cef8ae371f848c1/0129476551v2.jpeg "Claude-Hersteller Anthropic habe sich dazu entschieden, die gemeldete Schwachstelle vorerst nicht zu beheben, obwohl diese den Analysten von Layerx zufolge zu einer vollständigen Systemübernahme führen könnte. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/ae/f9ae9c429d322859241c2149e14bcd47/0129152047v2.jpeg "Am 14. Oktober 2025 endete der offizielle Suport für Windows 10. Unternehmen, die keine Alternative nutzen, sind Sicherheitslücken ausgeliefert. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/23/55/235504bbda4efcf043fbef7c7acc23d3/0129423267v2.jpeg "Omnichannel-Inboxen verbinden alle Kundenkanäle in einer Plattform, aber ohne Zero-Trust-Architektur wird diese zentrale Schnittstelle zum Einfallstor für Angreifer. (Bild: © kucherav - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/4c/9f4c8b769319bae704bc65017a4ada98/0129424999v2.jpeg "Cyber-Resilienz 2026 bedeutet Handlungsfähigkeit unter laufendem Angriff, aber unkontrollierte Identitäten untergraben genau diese Fähigkeit und machen Systeme unsteuerbar. (Bild: © AminaDesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/cd/dacd0e89cad4438353a1e68ce241ee08/0129347964v1.jpeg "Für die zentrale Verarbeitung von Log- und Ereignisdaten liefert die Windows-Ereignisweiterleitung die technische Basis. (Bild: © TommyNa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/5f/635fa941b839d13c5f8c58ebbaeecb96/0128893976v1.jpeg "Das neue ISC2-Zertifikat umfasst vier On-Demand-Kurse mit insgesamt rund elf Stunden Lernzeit. (Bild: ISC2)")
:quality(80)/p7i.vogel.de/wcms/1e/29/1e29d053c13587649cf5fbe0e204d588/0129230471v2.jpeg "Zwar liegen in deutschen Unternehmen Notfallpläne und -strategien vor, doch werden sie Dell zufolge zu selten getestet. (© Zerbor - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/de/13de074170ecd30e7a7f7a9788c2ad35/0129343385v2.jpeg "Aisle entdeckte mit seiner KI jahrealte Sicherheitslücken in der OpenSSL-Bibliothek. Die Code-Analyse mit KI könnte die Auswirkungen auf die Erbringung von Security Services haben. (Bild: © Maximusdn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f1/db/f1dbe322f0469f58d749a8d7439e02aa/0129455085v1.jpeg "ITDR-Lösungen erkennen Konfigurationsprobleme sowie Anomalien in Echtzeit, bevor Angreifer gestohlene Zugangsdaten ausnutzen können. (Bild: aldomurillo / gettyimages)")
:quality(80)/p7i.vogel.de/wcms/74/2e/742e28431b7c5c98c5f11c3ae9e51303/0128671170v2.jpeg "Microsoft ermöglicht unter Windows 11 die Verwendung externer Passwortmanager wie Bitwarden und 1Password für die Speicherung und Nutzung von Passkeys. (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/11/b9115df1d2563d3f5f0135fc29466adb/0129435205v2.jpeg "Cyberkriminellen ist es gelungen, die Infrastruktur für die Verwaltung mobiler Endgeräte der EU-Kommission anzugreifen und möglicherweise auch Mitarbeiterdaten zu stehlen. (Bild: Pixabay)")
:quality(80)/p7i.vogel.de/wcms/e9/5b/e95b18cce433513d0cfe49102fcad807/0129175753v2.jpeg "Wie viele Teams in Unternehmen müssen auch Datenschutzteams jeden Cent umdrehen und die Budgets werden wohl weiter sinken. (Bild: mrmohock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/3c/6b/3c6bf1848d69c47a00ce595ebd17c75f/0121156959v1.jpeg "Der Cyber Resilience Act betrifft alle vernetzten Geräte, die in der EU verkauft werden. Wer sich nicht an die Anforderungen hält, muss mit Sanktionen rechnen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/69/9e/699e84a150c0bc641469a608dcb581bf/0121871759v2.jpeg "Das Athene-Forschungsprojekt erläutert die Pflichten, die mit dem Cyber Resilience Act auf Hersteller, Händler und Importeure zukommen. (Bild: olly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c2/d4/c2d45b09a335f3f478c6b35fb9f025f6/0121562430v2.jpeg "Das BSI geht noch einmal genauer darauf ein, was Unternehmen, KMU und Startups bei der Umsetzung des Cyber Resilience Act beachten müssen. (Bild: ipuwadol - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/72/9a727561736d06f63114314f2c65058c/0118144646.jpeg "Dank CRA können sich sowohl Verbraucher als auch B2B-Anwender zukünftig deutlich stärker auf die langfristige Sicherheit ihrer Produkte verlassen. (Bild: gopixa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/d4/08d484b57ea4e03e6b7462e50c1559f9/0122410150v1.jpeg "Durch die Einführung strenger Cybersicherheitsmaßnahmen sorgt der Cyber Resilience Act (CRA) dafür, dass Produkte auf dem EU-Markt sicherer und widerstandsfähiger sind, was weniger Schwachstellen und geringere Risiken für Unternehmen und ihre Kunden bedeutet. (Bild: mixmagic - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/ac/83acf4ff4f6af37746cbdee6ccf3fa18/0124421890v1.jpeg "Der Cyber Resilience Act der EU verändert grundlegend, wie IoT-Geräte entwickelt und abgesichert werden müssen. Mit Strafen von bis zu 2,5% des weltweiten Jahresumsatzes bei Verstößen ist Konformität keine Option, sondern Pflicht. Dieser Artikel liefert wertvolle Einblicke in die praktische Umsetzung der Anforderungen und stellt eine mögliche Tool-Lösung vor, die von unabhängigen Experten auf ihre CRA-Konformität geprüft wurde. (Bild: KI-Generiert / DALL-E)")
:quality(80)/p7i.vogel.de/wcms/28/26/2826b8c9be56c061830ca3096bf73405/0127688180v1.jpeg "Der Cyber Resilience Act verpflichtet Hersteller, Sicherheits- und Entwicklungsprozesse zu prüfen und zu dokumentieren. Frühzeitige Vorbereitung reduziert spätere Compliance-Kosten. (Bild: © Maxim - stock.adobe.com)")