Teambesprechung mit Laptop, auf dem die EU-Flagge und ein Sicherheitsschloss zu sehen sind

Cyber Resilience Act: Was Unternehmen jetzt wissen müssen.

Author: Stefan Schweiger

Ab Dezember 2027 tritt der Cyber Resilience Act (CRA) endgültig in Kraft. Er gilt für alle digitalen Produkte, die in der Europäischen Union hergestellt, vertrieben oder importiert werden. Für Hersteller, Händler und Importeure bedeutet das eine grundlegende Veränderung: Sie sind künftig verpflichtet, Geräte und Software so zu entwickeln und bereitzustellen, dass Sicherheit von Anfang an berücksichtigt wird.

Wer die Anforderungen nicht erfüllt, riskiert gravierende Folgen. Ohne die nachgewiesene Einhaltung der Vorgaben erhalten Produkte kein CE-Kennzeichen mehr und dürfen damit nicht länger auf dem europäischen Markt angeboten werden. Zusätzlich drohen empfindliche Geldstrafen. Der CRA schafft damit einen neuen Standard für Cyber-Sicherheit und setzt die gesamte Branche unter Handlungsdruck, rechtzeitig die Weichen für die Umsetzung zu stellen.

Sie möchten mehr zum Thema CRA erfahren?

Schreiben Sie uns! Unsere Expert:innen freuen sich auf den Austausch mit Ihnen.

Kontakt aufnehmen

sensoren

Warum der CRA eingeführt wird.

Die digitale Vernetzung hat in den vergangenen Jahren rasant zugenommen. Ob Sensoren in der Produktion, Gateways für OT-Umgebungen oder Softwarelösungen für den Alltag: Immer mehr Produkte kommunizieren miteinander und greifen auf Netze oder das Internet zu. Mit den neuen Möglichkeiten steigt jedoch auch die Zahl der potenziellen Angriffspunkte. Gerade IoT- und OT-Geräte sind häufig Ziel von Cyber-Angriffen, weil sie mit unsicheren Standardkonfigurationen oder veralteten Protokollen ausgeliefert werden.

Die EU will mit dem Cyber Resilience Act ein einheitlich hohes Schutzniveau schaffen. Damit soll nicht nur die Sicherheit digitaler Produkte verbessert, sondern auch der freie Handel im Binnenmarkt gestärkt werden.

Sie möchten ausführlichere Informationen zum Cyber Resilience Act erhalten?

Melden Sie sich jetzt zu unserem Webinar an.

Jetzt anmelden

Richterhammer

Was Unternehmen mit dem CRA erwartet.

Seit Dezember 2024 ist der CRA in Kraft. Bis zum 11. Dezember 2027 müssen die Vorgaben umgesetzt sein. Kernelemente sind:

  • Verpflichtende Sicherheitsanforderungen über den gesamten Produktlebenszyklus
  • Pflicht zur CE-Kennzeichnung als Nachweis für CRA-Compliance
  • Strafen bis zu 2,5 Prozent des weltweiten Jahresumsatzes oder 15 Millionen Euro
  • Geltung für alle Hersteller, Importeure und Händler, unabhängig vom Firmensitz

 

CRA: Neuer Handlungsdruck für Hersteller.

Der CRA verlangt, dass Sicherheitsaspekte von Beginn an berücksichtigt werden. Dazu gehören:

  • Security by Design und Security by Default
  • Pflicht zur Bereitstellung von Updates und Patches
  • Meldepflicht für aktiv ausgenutzte Schwachstellen bereits ab September 2026
  • Nachweis durch Konformitätserklärungen für die CE-Kennzeichnung

Gerade Hersteller von IoT- und OT-Geräten müssen ihre Prozesse und Produkte anpassen, um die neuen Standards einzuhalten.

Richterhammer
Was Unternehmen mit dem CRA erwartet.

Seit Dezember 2024 ist der CRA in Kraft. Bis zum 11. Dezember 2027 müssen die Vorgaben umgesetzt sein. Kernelemente sind:

  • Verpflichtende Sicherheitsanforderungen über den gesamten Produktlebenszyklus
  • Pflicht zur CE-Kennzeichnung als Nachweis für CRA-Compliance
  • Strafen bis zu 2,5 Prozent des weltweiten Jahresumsatzes oder 15 Millionen Euro
  • Geltung für alle Hersteller, Importeure und Händler, unabhängig vom Firmensitz

 

CRA: Neuer Handlungsdruck für Hersteller.

Der CRA verlangt, dass Sicherheitsaspekte von Beginn an berücksichtigt werden. Dazu gehören:

  • Security by Design und Security by Default
  • Pflicht zur Bereitstellung von Updates und Patches
  • Meldepflicht für aktiv ausgenutzte Schwachstellen bereits ab September 2026
  • Nachweis durch Konformitätserklärungen für die CE-Kennzeichnung

Gerade Hersteller von IoT- und OT-Geräten müssen ihre Prozesse und Produkte anpassen, um die neuen Standards einzuhalten.

Bechtle team

Kleine Unternehmen, große Herausforderung.

Für viele kleine und mittlere Unternehmen ist die Umsetzung eine erhebliche Aufgabe. Zwar sieht die EU Erleichterungen wie vereinfachte Dokumentationen oder regulatorische Testumgebungen vor, dennoch ist klar: Ohne frühzeitige Planung wird es kaum möglich sein, die komplexen Anforderungen rechtzeitig zu erfüllen.

Unser Angebot: Wir helfen Unternehmen dabei, die neuen Vorgaben pragmatisch umzusetzen. Dazu gehören Gap-Analysen, mit denen bestehende Sicherheitslücken sichtbar werden, Beratungen zur Einhaltung der Konformitätsanforderungen sowie praxisnahe Workshops zur Sensibilisierung der Mitarbeitenden. Ergänzend stehen sichere Produktlösungen zur Verfügung, die nach den Prinzipien der Security by Design entwickelt wurden.

Fazit: Jetzt handeln statt abwarten.

Der Cyber Resilience Act verändert die Spielregeln für alle, die digitale Produkte entwickeln oder vertreiben. Was heute noch wie eine entfernte Regulierung wirkt, wird in wenigen Jahren zur zwingenden Voraussetzung, um am Markt bestehen zu können. Wer rechtzeitig beginnt, die eigenen Produkte und Prozesse anzupassen, verschafft sich nicht nur Sicherheit, sondern auch einen klaren Wettbewerbsvorteil.
Erfahren Sie mehr in unserem Whitepaper zum Cyber Resilicene Act!

Alle Details, konkrete Pflichten und praxisnahe Handlungsempfehlungen finden Sie in unserem Whitepaper „Cyber Resilience Act: Neue Anforderungen an Ihre digitalen Produkte. Was der CRA für Unternehmen bedeutet und wie Sie sich jetzt vorbereiten.“. Laden Sie es sich jetzt herunter!

Jetzt herunterladen