Cyber Resilience Act: EU startet neue Ära der Produktsicherheit

Ab September müssen Hersteller kritische Sicherheitslücken binnen 24 Stunden melden – sonst drohen Millionenstrafen. Die EU setzt mit dem Cyber Resilience Act (CRA) weltweit Maßstäbe für sichere digitale Produkte.

Erste Frist rückt näher

Der Countdown läuft: Ab dem 11. September 2026 tritt die erste große Pflicht des neuen EU-Gesetzes in Kraft. Hersteller müssen dann aktiv ausgenutzte Sicherheitslücken in ihren Produkten innerhalb von nur 24 Stunden der EU-Agentur für Cybersicherheit (ENISA) melden. Das gilt auch für schwere Sicherheitsvorfälle, die Vertraulichkeit, Integrität oder Verfügbarkeit beeinträchtigen.

Innerhalb von 72 Stunden muss eine detaillierte Bewertung folgen, innerhalb eines Monats der abschließende Bericht. Diese Regel betrifft alle „Produkte mit digitalen Elementen“ – von Smart-Home-Geräten über Spielzeug bis zu Industrieanlagen. Selbst bereits verkaufte Produkte fallen unter die Meldepflicht.

Viele Unternehmen sind auf Cyberangriffe schlecht vorbereitet – eine Gefahr, die durch neue Pflichten des Cyber Resilience Act noch dringlicher wird. Das kostenlose E‑Book „Cyber Security Awareness Trends“ erklärt kurz und praxisnah, welche technischen und organisatorischen Maßnahmen Hersteller jetzt implementieren sollten: von SBOM‑Pflege über Incident‑Response bis zur lückenlosen Meldung an Behörden. Mit Checklisten für IT‑Leitung und Management. Ideal für Entscheider, Compliance‑ und IT‑Teams. Jetzt kostenlosen Cybersecurity‑Report herunterladen

Grundprinzip: Sicherheit von Anfang an

Das Gesetz beendet die bisherige „Ship-and-Forget“-Mentalität. Künftig gilt: Sicherheit muss von der ersten Planung an mitgedacht werden. Die zwei Kernprinzipien lauten Security by Design und Security by Default.

Konkret bedeutet das: Produkte müssen bereits im Werk in einer sicheren Grundkonfiguration ausgeliefert werden. Komplizierte Sicherheitseinstellungen durch Nutzer gehören der Vergangenheit an.

Die Pflichten enden nicht mit dem Verkauf. Hersteller müssen während der gesamten Unterstützungsdauer kostenlose Sicherheitsupdates bereitstellen – mindestens fünf Jahre lang. Zusätzlich benötigen sie transparente Richtlinien zur Meldung von Schwachstellen und eine detaillierte Software-Stückliste (SBOM).

Hohe Strafen bei Verstößen

Die Einhaltung ist keine Option, sondern Voraussetzung für den EU-Marktzugang. Produkte ohne CE-Kennzeichnung dürfen nicht verkauft werden. Bei Verstößen drohen empfindliche Strafen: bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.

Die Infrastruktur für die Umsetzung entsteht gerade. Ab Juni 2026 können Konformitätsbewertungsstellen benannt werden, die riskantere Produkte zertifizieren. Bis Dezember soll eine ausreichende Anzahl dieser Stellen zur Verfügung stehen, um Engpässe zu vermeiden.

Industrie vor tiefgreifenden Veränderungen

Der CRA ist Teil einer umfassenden Digitalstrategie der EU und ergänzt andere Regelungen wie die NIS2-Richtlinie. Die jüngsten Vorschläge zur Überarbeitung des Cybersecurity Acts sollen ein kohärenteres Regelwerk schaffen.

Für die Industrie bedeutet das Gesetz erhebliche Investitionen in sichere Entwicklungspraktiken, Lieferketten-Sicherheit und Incident-Response-Fähigkeiten. Branchenverbände begrüßen zwar die angestrebte Vereinfachung, doch die Umsetzung bleibt herausfordernd.

Bis alle Anforderungen am 11. Dezember 2027 vollständig gelten, bleibt zwar noch Zeit. Doch wer jetzt nicht handelt, riskiert viel: Die typischen mehrjährigen Entwicklungszyklen in Hard- und Software machen frühes Handeln unverzichtbar. Unternehmen, die die Prinzipien proaktiv umsetzen, könnten am Ende nicht nur Strafen vermeiden, sondern auch einen Wettbewerbsvorteil durch größeres Verbrauchervertrauen erlangen.

Übrigens: Hersteller, die die CRA‑Pflichten frühzeitig umsetzen, reduzieren nicht nur das Strafrisiko, sondern stärken auch das Vertrauen der Kunden. Holen Sie sich das praxisorientierte E‑Book „Cyber Security Awareness Trends“ – es zeigt Schritt für Schritt, wie Sie Meldungsprozesse, Sicherheitsupdates und Konformitätsdokumentation effizient aufsetzen und nachweisen. Enthält Vorlagen für Incident‑Reports und eine umsetzbare Roadmap für die nächsten 90 Tage. Kostenlosen Leitfaden für IT‑Verantwortliche sichern