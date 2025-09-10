Der Cyber Resilience Act stärkt die Sicherheit vernetzter Geräte. Auf Hersteller kommen damit einige Pflichten zu. (Foto: FAMILY STOCK / Shutterstock)

Seit Dezember 2024 ist der Cyber Resilience Act (CRA) in Kraft – eine EU-Verordnung, die verbindliche Cybersicherheit für Produkte mit digitalen Elementen vorschreibt. Ab September 2026 gelten Meldepflichten für Hersteller zu Schwachstellen und Sicherheitsvorfällen, ab Dezember 2027 greifen alle Anforderungen vollständig.

Die Kernbotschaft: Wer vernetzte Produkte entwickelt oder verkauft, muss künftig Cybersicherheit systematisch gewährleisten – oder riskiert Bußgelder bis zu 15 Millionen Euro.

Der CRA erfasst alle „Produkte mit digitalen Elementen“ wie zum Beispiel Smartphones, Smart-TVs, IoT-Geräte, aber auch Software wie Passwort-Manager, Betriebssysteme oder Browser. Ausgenommen sind etwa reine Dienstleistungen und einige bereits anderweitig regulierte Bereiche wie beispielsweise Medizinprodukte. Die Anforderungen des CRA gelten für Produkte, die nach Dezember 2027 in Verkehr gebracht werden beziehungsweise für Produkte, die davor in Verkehr gebracht wurden, an denen aber nach dieser Frist wesentliche Änderungen vorgenommen werden.

Warum diese Checkliste für Hersteller wichtig ist

Die umfangreichsten Pflichten des CRA treffen die Hersteller. In der Praxis zeigt sich: Viele Unternehmen unterschätzen den Umfang der neuen Pflichten. Der CRA verlangt nicht nur technische Maßnahmen, sondern auch Konformitätsbewertungen, umfangreiche Dokumentation und neue Organisationsstrukturen.

Beispiel: Ein mittelständisches Unternehmen, das vernetzte Geräte herstellt, konzentrierte sich bislang vor allem auf Entwicklung und Vertrieb. Mit Inkrafttreten des CRA müssen zusätzlich neue Prozesse etabliert werden: So soll es künftig Kontaktmöglichkeiten für die Mitteilung von Schwachstellen geben, die technische Dokumentation muss den EU-Anforderungen entsprechen, kostenlose Sicherheitsupdates sind über mindestens fünf Jahre zu gewährleisten, und aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle müssen binnen 24 Stunden gemeldet werden. Auch müssen Konformitätsbewertungen durchgeführt werden.

Die nachfolgende Checkliste zeigt Schritt für Schritt, wie die wichtigsten Anforderungen angegangen werden können:

In 10 Schritten die CRA-Pflichten durchgehen

Produktabgrenzung klären

Was zu tun ist: Produkte darauf prüfen, ob beziehungsweise inwieweit CRA-Pflichten eingehalten werden müssen.

Praktische Beispiele: Vernetzte Türschlösser und deren Apps unterfallen dem CRA, rein mechanische Schlösser nicht. Fitness-Tracker fallen darunter, einfache Uhren ohne Konnektivität nicht. Software wie Browser oder Antivirus-Programme sind ebenfalls erfasst.

Rechtliche Einschätzung: Bereits einzelne Elemente können die Anwendbarkeit des CRA auslösen. Im Zweifel sollte eine rechtliche Bewertung eingeholt werden.

CRA-Risikoklasse bestimmen

Was zu tun ist: Ordnen Sie Ihre Produkte den CRA-Risikoklassen zu (Standard, wichtig Klasse I/II, kritisch). Ob ein Produkt wichtig/kritisch ist, steht in den offiziellen Listen des Cyber Resilience Act – konkret in den Anhängen III und IV, die die Produktkategorien und Risikoklassen auflisten.

Praktische Beispiele: Smart-Home-Geräte ohne Sicherheitsfunktionen gelten meist als „nicht kritisch“. Router und Passwort-Manager sind „wichtig Klasse I“. Firewalls fallen in „wichtig Klasse II“. Hardware-Sicherheitsmodule (HSM) sind „kritisch“.

Rechtliche Einschätzung: Die Risikoklasse bestimmt den Compliance-Aufwand erheblich. Eine falsche Einordnung kann teure Nachbesserungen und CRA-Verstöße zur Folge haben.

„Security by Design“ implementieren

Was zu tun ist: Bei der Konzeptionierung, Entwicklung und Herstellung von Produkten mit digitalen Elementen müssen insbesondere die Cybersicherheitsanforderungen aus Anhang I des CRA berücksichtigt werden.

Praktische Beispiele: Sichere Standardkonfigurationen ohne bekannte Schwachstellen, Sicherstellung von Vertraulichkeit, Verfügbarkeit und Integrität, Sicherheitsupdates und Datenminimierung sowie Möglichkeiten zur Löschung/Übertragung von Daten.

Rechtliche Einschätzung: „Security by Design“ ist unter dem CRA keine Empfehlung, sondern Rechtspflicht. Unternehmen müssen nachweisen können, dass Sicherheit von Anfang an berücksichtigt wurde.

Technische Dokumentation erstellen

Was zu tun ist: Erstellung einer lückenlosen technischen Dokumentation inklusive Software Bill of Materials (SBOM) nach CRA-Vorgaben.

Praktische Beispiele: Systemarchitektur-Diagramme, Listen aller verwendeten Verschlüsselungsverfahren, detaillierte Risikobewertungen, Testprotokolle und Nachweise aller Sicherheitsmaßnahmen.

Rechtliche Einschätzung: Die technische Dokumentation ist das Herzstück der CRA-Compliance. Bei Behördenanfragen muss diese vorgelegt werden können.

Konformitätsbewertung vorbereiten

Was zu tun ist: Konformitätsbewertungsverfahren durchführen beziehungsweise durchführen lassen und CE-Kennzeichnung vorbereiten.

Praktische Beispiele: Erstellen einer EU-Konformitätserklärung, die bestätigt, dass das Produkt alle CRA-Anforderungen erfüllt.

Rechtliche Einschätzung: Ohne CE-Kennzeichnung dürfen Produkte mit digitalen Elementen ab 2027 nicht mehr in den Verkehr gebracht werden.

Schwachstellenmanagement aufbauen

Was zu tun ist: Meldeprozesse für ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle etablieren.

Praktische Beispiele: Einrichtung von internen und externen Meldeprozessen, über die Schwachstellen und Sicherheitsvorfälle gemeldet werden können, Definition klarer Eskalationsprozesse, Schulung der Mitarbeiter in den Prozessen und Meldepflichten. Gegebenenfalls können automatische Monitoring-Systeme eingerichtet werden, die verdächtige Aktivitäten sofort melden.

Rechtliche Einschätzung: Binnen 24 Stunden müssen aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle an die zuständigen Stellen gemeldet werden.

Update-Strategie definieren

Was zu tun ist: Kostenlose Sicherheitsupdates für mindestens fünf Jahre bereitstellen, Schwachstellenmanagement implementieren.

Praktische Beispiele: Aufbau einer Infrastruktur für Produktupdates, Implementierung eines strukturierten Schwachstellenmanagements nach Anhang I Teil II des CRA. Software-Unternehmen können etwa automatische Patch-Services implementieren, die Sicherheitsupdates separat von Funktionsupdates ausspielen.

Rechtliche Einschätzung: Die Update-Pflicht ist im CRA fest verankert und führt zu Pflichten auch nach Inverkehrbringen des Produkts.

Lieferanten rechtssicher einbinden

Was zu tun ist: Hersteller sind primär verantwortlich für die Konformität des Produkts und dürfen sich nicht allein darauf verlassen, dass Zulieferer eigenständig konform arbeiten.

Praktische Beispiele: Vertragliche Verpflichtung von Lieferanten zur Einhaltung CRA-relevanter Grundsätze, regelmäßige Nachweise einfordern. Ein Hardware-Hersteller bindet seine Chip-Zulieferer ein, ein Software-Entwickler prüft verwendete Bibliotheken und Softwarekomponenten auf Sicherheitslücken und CRA-konforme Standards.

Rechtliche Einschätzung: Hersteller haften für das Inverkehrbringen nicht konformer Produkte.

Interne Expertise aufbauen

Was zu tun ist: Team schulen und klare Verantwortlichkeiten definieren.

Praktische Beispiele: Benennung klarer Zuständigkeiten für die Umsetzung und das Monitoring von CRA-Pflichten, Schulungen zu CRA-Pflichten und zur Umsetzung von Cybersicherheitsanforderungen. Rechtliche Einschätzung: Die Schaffung interner Zuständigkeiten mit entsprechender Expertise hilft dabei, Compliance-Verstöße zu vermeiden und die Einhaltung der Pflichten nach dem CRA zu gewährleisten.

Monitoring etablieren

Was zu tun ist: Kontinuierlich rechtliche Entwicklungen und Cyberbedrohungen überwachen.

Praktische Beispiele: Abonnement entsprechender Rechtsdatenbanken, kontinuierliche Überwachung von Sicherheitslücken in verwendeten Komponenten, regelmäßige Aktualisierung der Risikobewertungen. Entlang der Lieferkette können entsprechende Audits helfen, frühzeitig Missstände aufzudecken und Lücken zu schließen.

Rechtliche Einschätzung: Best Practices entwickeln sich weiter, die Bedrohungslandschaft und die dazugehörigen Maßnahmen ebenfalls. Sowohl die technischen als auch die organisatorischen Compliance-Maßnahmen sind entsprechend kontinuierlich zu beobachten und anzupassen.

Praxis-Tipps für die CRA-Compliance

Der Cyber Resilience Act macht Cybersicherheit zu einer verbindlichen Pflicht – und das auf allen Ebenen: Vom Design über die Dokumentation bis hin zu Schwachstellenmanagement und Updates. Für Hersteller bedeutet das, dass frühzeitige Planung und klare Prozesse entscheidend sind. Wer die Checkliste Schritt für Schritt abarbeitet, kann systematisch Risiken minimieren und Bußgelder vermeiden.

Praktisch empfiehlt es sich, mit der Bestandsaufnahme der Produkte und ihrer Risikoklassen zu beginnen, „Security by Design“-Prinzipien so weit wie möglich zu implementieren und alles lückenlos zu dokumentieren. Gleichzeitig sollten interne Verantwortlichkeiten klar definiert und Schulungen durchgeführt werden, damit das Team die Anforderungen versteht und umsetzen kann. Auch die Einbindung von Lieferanten und die Überwachung neuer Bedrohungen sind essenziell.

Der CRA ist komplex, und Fehler können teuer werden. Unternehmen, die sicherstellen wollen, dass ihre Prozesse rechtlich solide sind, profitieren davon, rechtzeitig entsprechende Expertise aufzubauen oder hinzuzuziehen.

Raphael Jünemann Raphael Jünemann ist Rechtsanwalt der Technologiekanzlei Schürmann Rosenthal Dreyer Rechtsanwälte und spezialisiert auf Datenschutz- und IT-Recht.

Jakob Liebert Jakob Liebert ist Senior Security Consultant bei der ISiCO Datenschutz GmbH und spezialisiert auf Gap-Analysen (ISO 27001, VdS 10000, NIS-2), Umsetzung von Sicherheitsstandards und Risikoanalysen.

