Vernetzte Geräte, die online gehen können oder sogar 24/7 online sind, finden sich heute überall: Smart-TVs, Router, Überwachungskameras, smarte Türschlösser, sogar die Kaffeemaschine funkt heute ins Netz. Das Problem: Viele dieser Produkte haben katastrophale Sicherheitslücken – und Hersteller schweigen sich darüber gerne aus. Damit ist ab September Schluss.
Der EU Cyber Resilience Act (CRA) bringt erstmals verbindliche Meldepflichten für Hersteller vernetzter Produkte. Wer aktiv ausgenutzte Schwachstellen entdeckt, muss die EU-Behörden innerhalb kurzer Fristen informieren. Für euch als Nutzer heißt das: mehr Transparenz, schnellere Warnungen und im Idealfall zügigere Sicherheitsupdates. Ich zeige euch, was hinter dem neuen Gesetz steckt, welche Fristen gelten und wie ihr konkret davon profitiert.
Was ist der EU Cyber Resilience Act?
Der Cyber Resilience Act ist eine EU-Verordnung, die einheitliche Cybersicherheits-Anforderungen für Produkte mit digitalen Elementen festlegt. Betroffen sind praktisch alle Hardware- und Softwareprodukte, die direkt oder indirekt mit einem Netzwerk verbunden werden können – vom smarten Heizungsthermostat bis zur industriellen Steuerungssoftware.
Kern des Gesetzes: Hersteller müssen Sicherheit über den gesamten Produktlebenszyklus gewährleisten. Dazu gehören sichere Grundeinstellungen, regelmäßige Updates und ein professionelles Schwachstellenmanagement. Die Verordnung ist bereits in Kraft, wird aber schrittweise anwendbar. Der große Sprung kommt ab September, wenn die Meldepflichten scharfgeschaltet werden.
Die volle Anwendung mit allen Konformitätsanforderungen folgt dann Ende 2027.
Wichtig zu verstehen: Der CRA gilt für Produkte, die in der EU auf den Markt kommen – egal, ob der Hersteller in München, Shenzhen oder Silicon Valley sitzt. Wer hier verkaufen will, muss sich an die Regeln halten. Bei Verstößen drohen empfindliche Bußgelder, die je nach Verstoß in die Millionen gehen können.
Meldepflicht Sicherheitslücken: Das müssen Hersteller beachten
Das Herzstück der neuen Regeln: Hersteller müssen aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle zügig melden. Zuständig ist die europäische Cybersicherheitsbehörde ENISA gemeinsam mit den nationalen CSIRTs – in Deutschland also das BSI.
Das Meldesystem ist mehrstufig angelegt: Zuerst eine schnelle Frühwarnung, danach eine ausführlichere Meldung mit technischen Details und schließlich ein Abschlussbericht. Die Fristen sind knapp bemessen – wir reden hier über Stunden bis wenige Tage, nicht über Wochen. Damit will die EU verhindern, dass Hersteller Probleme aussitzen oder still und leise unter den Teppich kehren.
Wichtig: Gemeldet werden müssen nicht alle Schwachstellen, sondern solche, die aktiv ausgenutzt werden. Also Lücken, bei denen es bereits konkrete Angriffe gibt. Das entlastet Hersteller einerseits – andererseits sorgt es dafür, dass akute Bedrohungen schnell auf dem Tisch der Behörden landen.
Welche Vorteile bringt die Meldepflicht für Nutzer?
Bisher lief es oft so: Ein Hersteller entdeckt eine Sicherheitslücke, hält den Ball flach und hofft, dass niemand etwas merkt. Manchmal kommen Patches erst Monate später – oder gar nicht. Betroffene Kunden erfahren im schlimmsten Fall nichts, bis ihr Gerät bereits Teil eines Botnets ist.
Der CRA verschiebt dieses Machtgefälle. Behörden bekommen frühzeitig Kenntnis von aktiven Bedrohungen und können koordinierte Warnungen aussprechen. Für euch bedeutet das: schnellere Updates, offizielle Warnhinweise über etablierte Kanäle wie das BSI und deutlich weniger Schweigen von Hersteller-Seite.
Auch bei der Kaufentscheidung hilft der CRA. Produkte, die den Anforderungen entsprechen, tragen künftig das CE-Kennzeichen – nur eben mit Cybersicherheits-Bezug. Wer Wert auf Sicherheit legt, hat damit erstmals ein verlässliches Kriterium, das über Marketing-Versprechen hinausgeht.
Sicherheitslücken melden: Praktische Tipps für Verbraucher
Der CRA ist kein Selbstläufer. Damit ihr das Maximum aus den neuen Regeln herausholt, solltet ihr aktiv werden. Hier meine Empfehlungen:
- BSI-Warnmeldungen abonnieren: Das Bundesamt für Sicherheit in der Informationstechnik veröffentlicht regelmäßig Warnungen zu Schwachstellen. Der Newsletter oder RSS-Feed ist Pflicht für alle, die vernetzte Geräte nutzen.
- Update-Politik prüfen vor dem Kauf: Wie lange verspricht der Hersteller Sicherheitsupdates? Der CRA fordert einen angemessenen Support-Zeitraum – nutzt diese Information als Kaufkriterium.
- Inventar eurer vernetzten Geräte anlegen: Router, Kameras, Smart-Home-Zentrale, NAS – wer weiß, was zuhause im Netz hängt, kann bei Warnungen schneller reagieren.
- Automatische Updates aktivieren: Klingt banal, ist aber Gold wert. Wenn Hersteller schneller patchen müssen, bringt das nur etwas, wenn die Patches auch bei euch ankommen.
- Alte Geräte kritisch prüfen: Produkte ohne Update-Support gehören perspektivisch aussortiert. Der CRA wird alte Modelle nicht schützen können.
Ein weiterer Hebel: Beschwerdemöglichkeiten. Wenn ihr den Eindruck habt, dass ein Hersteller Sicherheitsprobleme verschweigt oder zu langsam reagiert, könnt ihr das ab September gegenüber den Marktüberwachungsbehörden anzeigen. Das erhöht den Druck auf die Branche – und damit letztlich die Sicherheit für alle.
Cyber Resilience Act ab September: Das ändert sich jetzt
Der Cyber Resilience Act ist ein Meilenstein für die IT-Sicherheit in Europa. Zum ersten Mal gibt es verbindliche, EU-weite Regeln, die Hersteller in die Pflicht nehmen – und zwar nicht mit vagen Empfehlungen, sondern mit klaren Fristen und spürbaren Sanktionen. Die Meldepflichten ab September sind der erste große Praxistest.
Klar ist auch: Die Umstellung wird holprig. Viele Hersteller sind schlecht vorbereitet, gerade kleinere Anbieter und Importeure aus Drittländern werden Probleme bekommen. Manche Produkte könnten vom EU-Markt verschwinden – was für Verbraucher nicht nur schlecht ist, denn oft handelt es sich dabei um die schlimmsten Sicherheits-Sünder.
Für euch heißt das: Wachsam bleiben, offizielle Warnkanäle nutzen und beim Kauf vernetzter Geräte künftig genauer hinschauen. Der CRA gibt uns Werkzeuge an die Hand – nutzen müssen wir sie selbst. Und wer schon jetzt einen kritischen Blick auf sein digitales Zuhause wirft, ist im September klar im Vorteil.