EU-Kommission verschärft Cybersicherheits-Regeln für Unternehmen

Brüssel stellt die Weichen für einen der strengsten digitalen Märkte der Welt. Noch in dieser Woche will die EU-Kommission den Cybersecurity Act nachschärfen – und setzt damit den bereits laufenden Countdown für den Cyber Resilience Act (CRA) fort. Für Tausende Hersteller wird die Anpassung an die neuen Pflichten zur Zertifizierung und Transparenz zur Mammutaufgabe.

Ein Regelwerk für die digitale Festung Europa

Der Cyber Resilience Act (CRA) ist seit Dezember 2024 in Kraft und stellt das Fundament dar. Die Verordnung schreibt erstmals verbindliche Sicherheitsstandards für nahezu alle Produkte mit digitalen Elementen vor – vom smarten Thermostat bis zur Industrieanlage. Kern ist das Prinzip „Security by Design“: Sicherheit muss von Anfang an in der Entwicklung integriert sein. Hersteller müssen ihre Produkte zudem mindestens fünf Jahre lang mit Updates versorgen. Die Einhaltung wird künftig über die erweiterte CE-Kennzeichnung nachgewiesen.

Kommission plant massive Ausweitung der Zertifizierung

Jetzt folgt der nächste Schritt: Am Dienstag, den 20. Januar, will die Kommission eine Überarbeitung des Cybersecurity Acts vorschlagen. Der Plan sieht vor, die bisherigen Zertifizierungssysteme erheblich auszuweiten. Künftig sollen nicht nur einzelne Produkte, sondern ganze Unternehmensprozesse im Risikomanagement zertifiziert werden können.

Dieser Schritt ist eine Reaktion auf die schleppende Umsetzung der seit 2019 bestehenden, freiwilligen Rahmenwerke. Ziel ist eine europaweit harmonisierte und verbindliche Zertifizierung, die auch Cloud-Dienste, 5G-Netzwerke und Managed Security Services umfasst. Die EU-Agentur für Cybersicherheit ENISA soll gestärkt werden und eine zentrale Koordinierungsrolle übernehmen.

Viele Unternehmen sind auf die kommenden EU-Auflagen und die steigende Bedrohung durch Cyberangriffe nicht vorbereitet. Ein kostenloses E‑Book zeigt praktische, sofort umsetzbare Maßnahmen: von einem SBOM-Check über Priorisierung kritischer Komponenten bis zu einfachen Prozessänderungen, mit denen KMU die neuen Zertifizierungsanforderungen und Meldepflichten meistern. Ideal für IT‑Verantwortliche, die Fristen wie die 24‑Stunden‑Meldepflicht ab 2026 sicher einhalten wollen. Kostenlosen Cyber-Security-Guide für Unternehmen herunterladen

Hohe Hürden: Von der Selbstbewertung zur externen Prüfung

Der CRA unterscheidet zwischen vier Risikoklassen, die den Aufwand für Hersteller bestimmen:
* Standardprodukte: Hier reicht eine Konformitätserklärung durch den Hersteller selbst.
* Wichtige Produkte I & II (z.B. Betriebssysteme, Firewalls): Erfordern teilweise oder vollständig eine Bewertung durch eine unabhängige dritte Stelle.
* Kritische Produkte (z.B. Smart-Meter-Gateways): Unterliegen den strengsten externen Prüf- und Zertifizierungspflichten.

Eine zentrale neue Anforderung ist die Software-Stückliste (SBOM). Sie listet alle Software-Komponenten eines Produkts transparent auf und soll das Schwachstellen-Management revolutionieren. Produkte müssen zudem „sicher ausgeliefert“ werden – ohne bekannte, kritische Sicherheitslücken.

Wettbewerbsvorteil oder Bürokratie-Albtraum?

Das entstehende Regelwerk aus CRA, Cybersecurity Act und neuen Technikstandards positioniert die EU als globalen Vorreiter in der digitalen Regulierung. Für Verbraucher und den Binnenmarkt verspricht es mehr Sicherheit.

Doch für viele Unternehmen, insbesondere KMU, bedeuten die komplexen Vorgaben eine enorme Herausforderung. Die EU hat zwar Unterstützungsmaßnahmen wie Leitlinien und Testumgebungen („Regulatory Sandboxes“) angekündigt. Dennoch bleibt der administrative und technische Aufwand hoch. Wer ihn jedoch frühzeitig meistert, kann Sicherheit zu einem klaren Wettbewerbsvorteil machen.

Countdown läuft: Erste Pflichten beginnen schon 2026

Die Zeit drängt. Zwar gilt die volle Anwendbarkeit des CRA erst ab Dezember 2027, doch erste kritische Fristen starten deutlich früher. Ab dem 11. September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle innerhalb von nur 24 Stunden melden.

Die anstehende Gesetzesinitiative zeigt: Brüssel will das Tempo hochhalten. Unternehmen sind gut beraten, ihre Entwicklungs- und Lieferkettenprozesse jetzt auf den Prüfstand zu stellen. Die Ära der freiwilligen Cybersicherheit in Europa geht ihrem Ende entgegen.

PS: Übrigens – wenn Sie Ihre Entwicklungs- und Lieferkettenprozesse jetzt auf Compliance und Resilienz trimmen wollen, hilft der kostenlose Leitfaden mit konkreten Checklisten für SBOM, Risikoklassen und Notfallprozesse. Er zeigt, wie Sie ohne teure Beraterpflichten praxisnah dokumentieren, Meldeprozesse einrichten und erste Zertifizierungen vorbereiten. Jetzt kostenloses E‑Book ‘Cyber Security Awareness Trends’ anfordern