EU Cyber Resilience Act: Was auf Software-Hersteller und Händler zukommt

1 Min. Lesezeit

Der EU Cyber Resilience Act (CRA) ist mehr als eine weitere Compliance-Anforderung. Er verändert fundamental, wie Unternehmen digitale Produkte entwickeln, testen und auf dem Markt bringen dürfen. Wer jetzt mit der Vorbereitung beginnt, hat einen erheblichen Vorteil gegenüber Wettbewerbern, die bis zur letzten Minute warten.

Das Wichtigste in Kürze

Alle „Produkte mit digitalen Elementen“ betroffen: Von IoT-Geräten bis Software – wenn ein Netzwerkanschluss vorhanden ist, gilt der CRA.
Security by Design wird Pflicht: Sicherheit muss in der Entwicklung eingebaut werden, nicht nachgerüstet.
5 Jahre Support-Pflicht: Hersteller müssen Sicherheitsupdates für mindestens 5 Jahre oder die erwartete Produktlebensdauer bereitstellen.
24-Stunden-Meldepflicht: Aktiv ausgenutzte Schwachstellen müssen innerhalb von 24 Stunden an ENISA gemeldet werden.
Bußgelder bis 15 Mio. €: Oder 2,5% des weltweiten Jahresumsatzes.

Was der CRA regelt – und was nicht

Der Cyber Resilience Act gilt für alle Produkte, die direkt oder indirekt mit anderen Geräten oder Netzwerken verbunden werden können. Das umfasst Hardware mit Software, reine Software und SaaS (mit Einschränkungen). Ausgenommen sind unter anderem Open-Source-Software ohne kommerzielle Verwertung, medizinische Geräte (eigenes Regime) und Automobil-Software.

Kritische Produktklassen werden strenger reguliert: Klasse I (z.B. Passwortmanager, Browser) muss eine Konformitätsbewertung durchführen. Klasse II (z.B. Firewalls, Microcontroller) benötigt eine unabhängige Zertifizierung durch eine Notified Body.

Konkrete Pflichten für Hersteller

Entwicklung: Secure Development Lifecycle (SDLC) implementieren, Threat Modeling, Security Testing, Code Reviews. Nicht als Add-on, sondern als integrierter Teil des Entwicklungsprozesses.

Dokumentation: Technische Dokumentation, Software Bill of Materials (SBOM), Konformitätserklärung – all das muss für Behörden bereitstellbar sein.

Betrieb: Schwachstellen-Monitoring, Update-Management, koordiniertes Vulnerability Disclosure Programm (CVD/VDP). Aktiv ausgenutzte Schwachstellen müssen sofort gemeldet und gepatcht werden.

Abkündigung: Wenn ein Produkt aus dem Support fällt, müssen Nutzer aktiv informiert und Migrationspfade kommuniziert werden.

Zeitplan und nächste Schritte

Der CRA wurde im September 2022 von der EU-Kommission vorgeschlagen. Nach dem europäischen Legislativprozess wird er voraussichtlich 2024 in Kraft treten, mit einer Übergangsfrist von 36 Monaten – also vollständige Anwendung ab ca. 2027.

Hersteller sollten jetzt beginnen: Gap-Analyse des aktuellen Entwicklungsprozesses, SBOM-Implementierung für alle Produkte, Aufbau eines Vulnerability-Disclosure-Programms. 36 Monate klingt lang, ist für die Transformation eines Entwicklungsprozesses aber kurz.

Key Facts auf einen Blick

Betroffene Produkte in der EU: Schätzungsweise 400 Mio.+ (Kommissionsschätzung)

Support-Pflicht: Mindestens 5 Jahre oder erwartete Produktlebensdauer

Meldepflicht aktiv ausgenutzte Schwachstellen: 24 Stunden an ENISA

Maximales Bußgeld: 15 Mio. € oder 2,5% des weltweiten Jahresumsatzes

Voraussichtliche Vollständige Anwendung: 2027 (36 Monate nach Inkrafttreten)

Fakt: Laut Allianz Risk Barometer 2025 sind Cyberangriffe das größte Geschäftsrisiko weltweit.

Fakt: Nur 43 Prozent der deutschen KMUs haben laut Bitkom einen IT-Notfallplan.

Häufige Fragen

Gilt der CRA auch für Open-Source-Software?

Nicht für nicht-kommerzielle Open-Source. Wer Open-Source kommerziell nutzt oder vertreibt, kann jedoch betroffen sein. Stewards von sicherheitskritischen Open-Source-Projekten haben leichtere Pflichten.

Was ist ein SBOM und warum wird er wichtig?

Eine Software Bill of Materials (SBOM) ist ein maschinenlesbares Verzeichnis aller Komponenten, Abhängigkeiten und Lizenzen einer Software. Der CRA macht SBOMs zur Pflicht – und im Falle von Schwachstellen ist sofort klar, welche Produkte betroffen sind.

Gilt der CRA auch für SaaS?

Grundsätzlich ja, mit Nuancen. SaaS fällt unter den CRA, wenn es als Komponente in kritischen digitalen Produkten eingesetzt wird. Reine B2B-Dienste könnten Ausnahmen haben – die finale Regulierungstext wird hier mehr Klarheit schaffen.

Wer kontrolliert die CRA-Compliance?

Nationale Marktüberwachungsbehörden (in Deutschland die Bundesnetzagentur) sind zuständig. ENISA koordiniert auf EU-Ebene und nimmt Meldungen über Schwachstellen entgegen.

Was sollte ein Unternehmen jetzt tun?

Gap-Analyse: Welche Produkte sind betroffen? Was fehlt an Dokumentation, SBOM, SDLC, VDP? Einen Projektplan erstellen, der bis 2026/2027 compliant ist. Frühzeitig anfangen schafft Wettbewerbsvorteil.