Die EU-Kommission verschärft den Druck auf Hersteller digitaler Produkte. Mit dem Inkrafttreten erster Kernpflichten des Cyber Resilience Act (CRA) ab September 2026 beginnt eine heiße Phase der Umsetzung. Ein jetzt veröffentlichter Leitfaden soll zentrale Unklarheiten beseitigen – bevor die Pflicht zur Meldung von Sicherheitslücken greift.

Leitfaden soll Grauzonen klären

Am 3. März 2026 veröffentlichte die Kommission einen Entwurf für Umsetzungsleitlinien. Dieses Dokument soll als zentrale Interpretationshilfe für die bereits seit Dezember 2024 geltende Verordnung (EU) 2024/2847 dienen. Branchenkenner sehen darin den Versuch, „Grauzonen“ auszuräumen, die sich in frühen Umsetzungsprojekten zeigten.

Anzeige

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind – neue Gesetze wie der CRA verschärfen die Lage und IT-Experten warnen vor teuren Konsequenzen. Dieser kostenlose Leitfaden zeigt Ihnen, wie Sie Ihr Unternehmen mit einfachen Maßnahmen schützen. Effektive Cyber-Security-Strategien jetzt kostenlos entdecken

Besonders bedeutsam ist die Klarstellung zum Anwendungsbereich. Der CRA gilt demnach für alle Hardware- und Softwareprodukte, die für eine Verbindung mit einem Gerät oder Netzwerk bestimmt sind. Das reicht vom Smart-Home-Gerät bis zur Industrie-Steuerungssoftware. Der Entwurf liefert auch dringend benötigte Details zum Umgang mit „wesentlichen Modifikationen“ – also Updates, die eine neue Konformitätsbewertung auslösen können.

Ein weiterer Fokus liegt auf Open-Source-Software (OSS). Hier sieht der Leitfaden einen abgestuften Ansatz vor. Die Pflichten variieren je nach Rolle in der Vertriebskette. Open-Source-Hersteller, die keinen wirtschaftlichen Gewinn aus ihrer Software ziehen, könnten außerhalb des primären Anwendungsbereichs fallen. Wer jedoch für technischen Support Geld verlangt oder die Software kommerzialisiert, muss strengere Auflagen erfüllen.

Erste große Hürde: Meldepflicht ab September

Während das volle Pflichtenpaket erst Ende 2027 gilt, konzentriert sich die Industrie jetzt auf die erste große Hürde: Artikel 14. Ab dem 11. September 2026 müssen Hersteller aktiv ausgenutzte Sicherheitslücken und schwerwiegende Vorfälle melden.

Der Rahmen ist straff: Eine „Frühwarnung“ muss innerhalb von 24 Stunden nach Kenntnisnahme an die EU-Agentur für Cybersicherheit (ENISA) gehen. Eine umfassende Meldung folgt binnen 72 Stunden. Der Abschlussbericht ist spätestens 14 Tage nach Verfügbarkeit einer Korrekturmaßnahme fällig. Bei schweren Vorfällen muss der finale Bericht innerhalb eines Monats vorliegen.

Rechtsexperten warnen: Diese kurzen Fristen erfordern eine grundlegende Neuausrichtung des Sicherheitsmanagements. Unternehmen müssen klare interne Verantwortlichkeiten für den Meldevorgang schaffen. Wer bis zum Stichtag im September keine funktionierenden Prozesse etabliert hat, riskiert erheblichen regulatorischen Druck.

Standardisierung als Schlüssel zur Konformität

Die technische Grundlage für CRA-Konformität war zentrales Thema der 10. Cybersicherheits-Standardisierungskonferenz in Brüssel am 12. März 2026. ENISA und europäische Normungsorganisationen wie CEN, CENELEC und ETSI arbeiten an harmonisierten Standards. Diese sollen Herstellern eine „Vermutung der Konformität“ verschaffen.

Anzeige

Neben der Produktsicherheit rücken auch neue Regeln für KI-Systeme in den Fokus der EU-Regulierung, was viele Unternehmen vor große Herausforderungen stellt. Erfahren Sie in diesem kostenlosen E-Book kompakt und verständlich, welche Kennzeichnungspflichten und Risikoklassen bereits seit August 2024 für Sie gelten. EU-KI-Verordnung: Kostenlosen Umsetzungsleitfaden sichern

Die Arbeiten gliedern sich in drei Kategorien: Typ-A-Standards für allgemeine Cyber-Resilience-Prinzipien sollen bis August 2026 finalisiert werden. Typ-B-Standards decken produktübergreifende Anforderungen ab, während Typ-C-Standards für spezifische Produktkategorien wie IoT-Geräte entwickelt werden.

ENISA betonte die Bedeutung der Abstimmung mit internationalen Rahmenwerken wie ISO/IEC 29147. Zudem veröffentlichte die Agentur am 10. März eine technische Empfehlung zur sicheren Nutzung von Paketmanagern. Sie soll Entwicklern helfen, ihre Software-Lieferketten zu sichern – eine Kernforderung des „Security by Design“-Grundsatzes im CRA.

Hohe Kosten bei Nichtbeachtung

Der CRA wandelt freiwillige Cybersicherheits-Features in rechtlich durchsetzbare Produktsicherheitsanforderungen um. Für Unternehmen hat dieser Übergang erhebliche finanzielle und operative Folgen. Neben den technischen Kosten für „Security by Design“ müssen sie die fortlaufende Wartung ihrer Produkte über den gesamten definierten Support-Zeitraum einplanen.

Der neue Leitfaden präzisiert: Hersteller müssen eine Support-Periode festlegen, die der erwarteten Lebensdauer des Produkts entspricht. In dieser Zeit sind sie für Sicherheitsupdates und den Umgang mit Schwachstellen verantwortlich. Für KMU sieht Artikel 26 spezielle Unterstützungsmechanismen vor.

Die Strafen bei Verstößen gehören zu den schärfsten im EU-Digitalregulierungsportfolio. Verstöße gegen die wesentlichen Cybersicherheitsanforderungen können zu Geldbußen von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes führen. Marktüberwachungsbehörden können zudem Produktrückrufe anordnen oder nicht konforme Waren vom EU-Markt nehmen.

Ausblick: Vollumsetzung bis 2027

Der aktuelle Aktivitätsschub um die Konsultation und die Meldepflicht ist nur der Beginn eines mehrjährigen Übergangs. Nach den Meilensteinen 2026 tritt die umfassendste phase des CRA am 11. Dezember 2027 in Kraft. Dann wird die gesamte Compliance-Architektur – inklusive verpflichtender Drittprüfungen für „wichtige“ und „kritische“ Produkte – voll anwendbar.

In den kommenden Monaten will die Kommission den Leitfaden finalisieren. ENISA wird unterdessen Zertifizierungssysteme testen und die zentrale Meldeplattform verfeinern. Für den globalen Technologiesektor wird der CRA zunehmend zu einem „Brüssel-Effekt“-Moment ähnlich der DSGVO. Die Verordnung gilt für jedes digitale Produkt auf dem EU-Markt – unabhängig vom Firmensitz des Herstellers. Sie dürfte damit einen neuen globalen Mindeststandard für Produkt-Cybersicherheit setzen.