Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die verbindliche Cybersicherheitsanforderungen für eine breite Palette von Hardware- und Softwareprodukten mit digitalen Komponenten festlegt. Für kleine und mittlere Unternehmen (KMU) ist dieses Thema besonders relevant, da sie oft digitale Geräte und Software einsetzen, ohne große IT-Abteilungen zu haben. Unsichere Produkte könnten hier schnell zu wirtschaftlichen Schäden, Datenverlust oder Betriebsunterbrechungen führen.
Angesichts der zunehmenden Zahl vernetzter Geräte, die aus dem Alltag nicht mehr wegzudenken sind, soll das Gesetz Schwachstellen vermeiden und sicherstellen, dass Sicherheitsupdates rechtzeitig bereitgestellt werden. Ziel ist es, Verbraucher und Unternehmen vor unsicheren Produkten zu schützen und die Sicherheit digitaler Geräte und Software zu verbessern. Die neuen Anforderungen sollen die Auswahl und Nutzung solcher Produkte sicherer und transparenter machen. Käufer:innen könnten leichter erkennen, welche Geräte über ein angemessenes Schutzniveau verfügen und so Risiken gezielt minimieren.
Welche Produkte fallen unter den CRA?
Der CRA gilt für alle Produkte mit digitalen Elementen, die direkt oder indirekt mit einem Netzwerk verbunden werden können. Dazu gehören sowohl Hardware, wie IoT-Geräte, als auch Software. Ausnahmen bestehen für bestimmte Open-Source-Software, die nicht kommerziell verbreitet wird, sowie für Produkte, deren Cybersicherheit bereits durch andere EU-Rechtsakte geregelt ist, etwa medizinische Geräte, Avioniksysteme oder Kraftfahrzeuge.
Da verschiedene Geräte unterschiedliche Risiken bergen, teilt das Gesetz digitale Produkte in 4 Kategorien ein:
„NORMALE“ PRODUKTE (STANDARDKATEGORIE)
Einfache Geräte mit Internetverbindung, etwa Sensoren für den Hausgebrauch oder IoT-Gadgets. Die Hersteller prüfen die Sicherheit selbst und haften dafür, dass die Produkte den Anforderungen entsprechen.
„WICHTIGE“ PRODUKTE – KLASSE I
Geräte mit bestimmten Cybersicherheitsfunktionen oder solche, die ein erhebliches Risiko für viele Nutzer darstellen können, zum Beispiel Antivirenprogramme, Passwortmanager oder Chips. Die Sicherheit wird entweder vom Hersteller selbst nach harmonisierten Normen oder von einem externen Experten geprüft.
„WICHTIGE“ PRODUKTE – KLASSE II
Produkte mit erhöhtem Risiko wie Firewalls oder Hypervisoren, von denen die Netzwerksicherheit abhängt. Hier ist eine obligatorische Prüfung durch eine unabhängige Stelle erforderlich, da diese Geräte mehrere kritische Funktionen gleichzeitig erfüllen.
„KRITISCHE“ PRODUKTE
Produkte mit höchstem Risikoniveau, die zentrale Infrastrukturen steuern, etwa Geräte für Strom- und Wasserversorgung oder Bank-Smartcards. Diese müssen von einer benannten Stelle zertifiziert werden, die die Einhaltung der Sicherheitsanforderungen bestätigt.
Wie sehen die konkreten Anforderungen für die Hersteller aus?
Der CRA legt die Verantwortlichkeiten für Hersteller und Verkäufer digitaler Produkte in allen Phasen fest: von der Entwicklung und dem Design über die Produktion und Bereitstellung von Updates bis hin zum Kundendienst während der gesamten Lebensdauer des Produkts.
Die wichtigsten Anforderungen sind:
- Security by Design: Die Cybersicherheit muss von Anfang an in die Produktentwicklung einbezogen werden. Dazu gehören Risikoanalysen und Schutzmaßnahmen bereits in der Planungsphase.
- Verantwortung während des gesamten Lebenszyklus: Hersteller müssen Schwachstellen zeitnah beheben und kostenlose Sicherheitsupdates bereitstellen. Kritische Schwachstellen oder Cybervorfälle müssen innerhalb von 24 Stunden den Behörden gemeldet und die Nutzer informiert werden.
- Konformitätsbewertung und Zertifizierung: Vor dem Verkauf muss die Einhaltung der CRA-Anforderungen bestätigt werden. Geringe Risiken können vom Hersteller selbst erklärt werden. Produkte mit höherem Risiko benötigen eine unabhängige Prüfung oder Zertifizierung. Alle konformen Produkte erhalten eine CE-Kennzeichnung für Cybersicherheit, sodass Käufer leicht geschützte Geräte erkennen können.
Wann tritt das Gesetz in Kraft?
Der CRA ist seit dem 10. Dezember 2024 offiziell in Kraft. Die Umsetzung erfolgt allerdings schrittweise, um Unternehmen Zeit zur Vorbereitung zu geben. Die wichtigsten Verpflichtungen gelten ab dem 11. Dezember 2027. Bereits ab September 2026 müssen Hersteller Sicherheitsvorfälle innerhalb von 24 Stunden melden.
Bei Nichteinhaltung drohen erhebliche Konsequenzen. Produkte, die den Standards nicht entsprechen, dürfen vom EU-Markt entfernt werden. Zudem können Geldstrafen von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Umsatzes verhängt werden, je nachdem, welcher Betrag höher ist.
Was bedeutet der Akt für KMU?
KMU stehen im Rahmen des CRA besonders im Fokus. Zwar gelten die Anforderungen für alle Hersteller digitaler Produkte, unabhängig von der Unternehmensgröße, doch erkennt die EU an, dass die Umsetzung für KMU oft herausfordernd ist. Deshalb gibt es spezielle Unterstützungsmaßnahmen: Die Anforderungen für kleine Hersteller wurden vereinfacht, und Regulierungsbehörden sowie Branchenverbände bieten Beratung und zusätzliche Ressourcen an, um KMU bei der Verbesserung der Cyber-Resilienz ihrer Produkte zu unterstützen.
Gleichzeitig müssen auch kleine Unternehmen, die Geräte oder Software mit digitalen Komponenten herstellen, die CRA-Anforderungen vollständig erfüllen. KMU sollten Cybersicherheit daher von Anfang an in die Produktentwicklung integrieren und die Prinzipien von „Secure by Design“ konsequent anwenden. Dabei lohnt es sich, auf bestehende Standards und Zertifizierungen zurückzugreifen. Viele CRA-Anforderungen entsprechen bereits bekannten internationalen Cybersicherheitsstandards, die jetzt implementiert werden können, um spätere Zertifizierungen zu erleichtern. So sparen KMU Zeit und Ressourcen und erfüllen gleichzeitig die gesetzlichen Vorgaben.
Neben den Pflichten bringt der CRA auch Vorteile für KMU als Anwender digitaler Technologien. Kleine Unternehmen verfügen häufig nicht über große IT-Abteilungen und sind daher besonders anfällig für Cyberangriffe über unsichere Geräte. Mit der vollständigen Umsetzung des Gesetzes wird jedoch jedes digitale Produkt auf dem EU-Markt ein Mindestmaß an Sicherheit bieten, das durch die CE-Kennzeichnung bestätigt wird. KMU können sich auf zertifizierte Geräte und Programme verlassen und so ihre Risiken deutlich reduzieren. Insgesamt stärkt der CRA die Sicherheit des digitalen Ökosystems, wovon Hersteller, Nutzer und die Gesellschaft gleichermaßen profitieren.
Was KMU aus dem Cyber Resilience Act mitnehmen sollten
Die Ziele des Cyber Resilience Act sind klar: Das Gesetz soll Schwachstellen in digitalen Produkten reduzieren und die Hersteller für die Cybersicherheit während des gesamten Produktlebenszyklus verantwortlich machen. Gleichzeitig soll die Transparenz in Sachen Sicherheit verbessert werden, damit Verbraucher und Unternehmen besser verstehen, wie ein Produkt geschützt ist. Auf diese Weise werden Nutzer aktiv geschützt und erhalten mehr Vertrauen in digitale Geräte und Software.
Für KMU bringt der CRA sowohl neue Pflichten als auch Chancen mit sich. Wer frühzeitig auf Cybersicherheit setzt, kann Vertrauen bei Kunden aufbauen, Risiken reduzieren und von sicheren Produkten profitieren. Gerade KMU, die oft über begrenzte IT-Ressourcen verfügen, stärken so ihre Wettbewerbsfähigkeit und sichern ihre Geschäftsprozesse besser ab.
Der Cyber Resilience Act ist ein wichtiger Schritt, um das Vertrauen in digitale Technologien zu stärken und den EU-Markt insgesamt sicherer zu machen. Unternehmen, die Unterstützung beim Umsetzen der neuen Anforderungen suchen, finden im Kompetenzatlas hilfreiche Anlaufstellen. Dort gibt es Informationen zu Fördermöglichkeiten, Expert:innen sowie Hinweise auf Schulungen, Workshops und Veranstaltungen. Ein Blick in diese Angebote kann KMU helfen, das eigene Know-how zu erweitern und die Cybersicherheit ihrer Produkte und Prozesse gezielt zu verbessern.