Cyber Resilience Act (CRA): Was ab September 2026 gilt

von | 10.07.2026 | Internet

Cybersicherheit geht uns alle an! Denn jede Sicherheitslücke kann ausgenutzt werden, egal ob in deinem Smartphone, im Router, in einem Küchengerät oder dem Server des Online.-Dienstes deines Vertrauens.

Vernetzte Produkte sind heute überall: vom smarten Türschloss über die Überwachungskamera bis zur Industrie-Software. Und genau die waren in der EU bisher erstaunlich schwach reguliert, was Cybersicherheit angeht. Das ändert sich jetzt grundlegend.

Mit dem Cyber Resilience Act (CRA) hat die EU eine Verordnung beschlossen, die Cybersicherheit zur verbindlichen Produkteigenschaft macht – vergleichbar mit Sicherheitsstandards bei Elektrogeräten. Wer digitale Produkte in der EU verkauft, muss künftig nachweisen, dass sie sicher entwickelt, gepflegt und aktualisiert werden. Und ab September 2026 wird es richtig ernst: Dann greifen die ersten harten Meldepflichten.

Ich schaue mir an, was der CRA konkret verlangt, wen er trifft und was ihr – als Unternehmen oder als Nutzer – jetzt tun solltet.

Was regelt der Cyber Resilience Act? Die wichtigsten Punkte

Der CRA ist eine EU-Verordnung, die horizontale Cybersicherheits-Anforderungen für Produkte mit digitalen Elementen festlegt. Gemeint sind damit Hardware und Software, die direkt oder indirekt mit einem Gerät oder Netzwerk verbunden werden können. Das reicht vom smarten Thermostat über Router und Kameras bis zu Betriebssystemen, Apps und Entwicklertools.

Der Kerngedanke: Cybersicherheit soll über den gesamten Produktlebenszyklus mitgedacht werden – von der Entwicklung über den Verkauf bis zur langfristigen Pflege durch Updates. Hersteller müssen Risiken bewerten, Schwachstellen dokumentieren und Sicherheitsupdates bereitstellen, solange das Produkt am Markt genutzt wird.

Neu ist auch: Die Einhaltung dieser Anforderungen wird über die CE-Kennzeichnung nachgewiesen. Das kennt ihr von Elektrogeräten – künftig steht das CE-Zeichen also auch für ein Mindestmaß an Cybersicherheit. Ohne Konformität kein CE, ohne CE kein legaler Verkauf im EU-Binnenmarkt.

Ausgenommen sind Bereiche, die bereits durch andere EU-Regeln abgedeckt werden – etwa Medizinprodukte, Kraftfahrzeuge oder zivile Luftfahrt. Für den gesamten Rest der digitalen Produktwelt gilt: Der CRA setzt den neuen Standard.

September 2026: Diese CRA-Fristen müsst ihr kennen

Der CRA ist bereits Ende 2024 in Kraft getreten, wird aber schrittweise scharfgestellt. Der wichtigste Zwischentermin ist der 11. September 2026: Ab diesem Datum gelten die Meldepflichten für Hersteller.

Konkret heißt das: Wer eine aktiv ausgenutzte Schwachstelle in seinem Produkt entdeckt oder von einem schweren Sicherheitsvorfall erfährt, muss das den zuständigen Behörden – auf EU-Ebene der ENISA sowie den nationalen CSIRTs – innerhalb sehr kurzer Fristen melden. Vorgesehen sind mehrstufige Meldungen, beginnend mit einer Frühwarnung innerhalb weniger Stunden.

Die vollständige Anwendung des CRA – also inklusive aller Anforderungen an Produktdesign, Dokumentation und Konformitätsbewertung – greift dann ab Ende 2027. Bis dahin haben Hersteller Zeit, ihre Prozesse anzupassen. Wer jetzt erst anfängt, wird es allerdings knapp.

Auswirkungen des Cyber Resilience Act auf Hersteller

Bisher konnten Hersteller vernetzter Produkte relativ frei entscheiden, wie viel Aufwand sie in Sicherheit stecken. Ein billiger IP-Kamera-Hersteller aus Übersee konnte in der EU verkaufen, ohne jemals ein Sicherheitsupdate liefern zu müssen. Genau diese Lücke schließt der CRA.

Für Unternehmen bedeutet das erheblichen Aufwand: Sicherheits-Prozesse müssen etabliert, Schwachstellen-Management aufgebaut und Update-Strategien geplant werden. Bei Verstößen drohen empfindliche Bußgelder, die – ähnlich wie bei der DSGVO – prozentual am weltweiten Jahresumsatz bemessen werden können.

Für Nutzer ist das eine gute Nachricht. Ihr bekommt Produkte, die von Haus aus sicherer sein müssen – mit klareren Informationen zum Support-Zeitraum, zu bekannten Risiken und zur Update-Politik. Der Zeitraum, in dem ein Hersteller Sicherheitsupdates liefern muss, orientiert sich an der zu erwartenden Nutzungsdauer des Produkts.

CRA-Compliance: 5 Schritte für eure Umsetzung

Cyber Resilience Act,EU-Regulierung,Cybersicherheit,IoT-Sicherheit,Compliance

Wenn ihr digitale Produkte entwickelt, vertreibt oder importiert, solltet ihr nicht auf 2027 warten. Die Vorbereitung auf den CRA ist umfangreich – und die Meldepflichten ab September 2026 kommen deutlich früher.

  • Produktportfolio prüfen: Welche eurer Produkte fallen unter den CRA? Faustregel: Alles, was Daten austauschen kann, ist relevant.
  • Risikoanalyse etablieren: Für jedes Produkt braucht es eine dokumentierte Bewertung der Cybersicherheits-Risiken.
  • Schwachstellen-Management aufbauen: Es muss klare Prozesse geben, wie Sicherheitslücken entdeckt, bewertet und behoben werden.
  • Meldeprozesse vorbereiten: Wer meldet an wen, in welchem Zeitraum? Diese Playbooks müssen vor September 2026 stehen.
  • Update-Fähigkeit sicherstellen: Produkte müssen technisch in der Lage sein, Sicherheitsupdates über ihre Lebensdauer zu erhalten.
  • Dokumentation und CE-Konformität: Technische Dokumentation und Konformitätserklärung müssen vorbereitet werden.

Besonders kleinere Hersteller und Open-Source-nahe Anbieter sollten früh prüfen, welche Sonderregelungen für sie gelten. Die Verordnung sieht Erleichterungen für bestimmte Gruppen vor – die Details sind aber komplex.

Welche Vorteile bringt der Cyber Resilience Act Verbrauchern?

Aus Verbraucher- und Anwendersicht ist der CRA einer der stärksten Hebel, die die EU im Bereich Cybersicherheit gezogen hat. Ihr solltet beim Kauf vernetzter Produkte künftig auf ein paar Punkte achten:

  • Wie lange verspricht der Hersteller Sicherheitsupdates? Diese Angabe wird künftig transparenter.
  • Gibt es eine klare Ansprechstelle für Sicherheitsmeldungen (etwa ein Security-Kontakt oder ein Bug-Bounty-Programm)?
  • Wie wird kommuniziert, wenn Schwachstellen bekannt werden? Seriöse Hersteller informieren aktiv.

Und ganz praktisch: Wenn ihr in Unternehmen für Einkauf oder IT verantwortlich seid, könnt ihr CRA-Konformität künftig als Ausschlusskriterium in Ausschreibungen verankern. Das ist ein starkes Signal an den Markt.

Wie der CRA die EU-Cybersicherheit langfristig stärkt

Der Cyber Resilience Act ist keine Detailregelung, sondern ein Paradigmenwechsel. Cybersicherheit wandert von der Kür in die Pflicht – so wie es bei Produktsicherheit, elektromagnetischer Verträglichkeit oder Datenschutz längst der Fall ist. Für Hersteller bedeutet das mehr Aufwand und mehr Verantwortung, für den europäischen Markt insgesamt aber eine deutlich höhere Grundsicherheit.

Meine Einschätzung: Der CRA wird die Spreu vom Weizen trennen. Anbieter, die schon heute sauber arbeiten, dokumentieren und aktualisieren, werden kaum Probleme haben. Wer Sicherheit bislang als Kostenfaktor betrachtet hat, muss umdenken – oder aus dem EU-Markt verschwinden. Der September 2026 ist dafür der erste echte Stresstest.

Und der 11. Dezember 2027, wenn der CRA vollständig gilt, dürfte in vielen Produktkategorien für spürbare Bereinigung sorgen. Für uns Nutzer ist das eine gute Nachricht.