EU Cyber Resilience Act ab 2026: Was CISOs beim Einkauf digitaler Produkte prüfen müssen
3 Min. Lesezeit
Der EU Cyber Resilience Act (CRA) ist seit dem 10. Dezember 2024 in Kraft. Ab September 2026 gelten die Meldepflichten, ab Dezember 2027 müssen alle digitalen Produkte im EU-Markt die vollständigen Sicherheitsanforderungen erfüllen. Für CISOs ändert sich damit nicht nur die eigene Compliance, sondern die gesamte Beschaffungslogik: Kein CE-Zeichen ohne Cybersecurity-Nachweis, kein EU-Markt ohne Konformitätserklärung.
Das Wichtigste in Kürze
- 🔒 Der CRA gilt als EU-Verordnung direkt in allen Mitgliedstaaten. Keine nationale Umsetzung nötig (anders als NIS2).
- ⚠️ Ab 11. September 2026: Meldepflicht für aktiv ausgenutzte Schwachstellen an ENISA binnen 24 Stunden.
- 🛡️ Ab 11. Dezember 2027: Volle Compliance. Ohne CRA-konformes CE-Zeichen kein Vertrieb in der EU.
- 📊 Bußgelder: bis 15 Mio. Euro oder 2,5 Prozent des weltweiten Jahresumsatzes.
- 🔧 CISOs brauchen neue Einkaufskriterien: Konformitätserklärung, SBOM, Support-Zeitraum, Update-Policy.
Was der CRA reguliert
Der CRA betrifft alle „Produkte mit digitalen Elementen“: Hardware und Software, die in der EU in Verkehr gebracht werden. Unabhängig davon, ob der Hersteller seinen Sitz in der EU hat. Ein IoT-Sensor aus Shenzhen, ein VPN-Client aus Kalifornien und eine Firewall aus München unterliegen denselben Regeln. Vertiefend dazu: Cyber Resilience Act.
Das Gesetz unterscheidet drei Klassen. Standardprodukte (die Mehrheit) können per Selbstbewertung zertifiziert werden. Klasse-I-Produkte (darunter Passwortmanager, VPN-Produkte, Webbrowser, Smarthome-Geräte und Betriebssysteme) unterliegen strengeren Verfahren. Klasse-II-Produkte (Firewalls, Intrusion Detection Systeme, manipulationssichere Mikroprozessoren) brauchen eine Drittbewertung durch eine notifizierte Stelle.
Ausgenommen sind nicht-kommerzielle Open-Source-Software, Medizinprodukte, Fahrzeuge und Produkte für nationale Sicherheit. Alles andere, was digital ist und verkauft wird, fällt unter den CRA.
Die fünf Kernpflichten für Hersteller
1. Secure by Design und Default. Cybersicherheit muss ab Entwicklungsbeginn eingebaut sein. Keine schwachen Standardpasswörter, minimierte Angriffsfläche, Verschlüsselung gespeicherter und übertragener Daten. Automatische Sicherheitsupdates müssen ermöglicht werden.
2. Schwachstellenmanagement und SBOM. Hersteller müssen eine Software Bill of Materials (SBOM) erstellen. Wichtige Nuance: Die Veröffentlichung der SBOM ist nicht verpflichtend. Sie dient dem internen Schwachstellenhandling und muss auf Anfrage der Marktaufsicht vorgelegt werden. Zusätzlich muss ein Prozess für koordinierte Schwachstellenoffenlegung etabliert werden.
3. Meldepflichten ab September 2026. Bei aktiv ausgenutzten Schwachstellen müssen Hersteller innerhalb von 24 Stunden eine Frühwarnung an ENISA senden. Innerhalb von 72 Stunden folgt der detaillierte Bericht. Der Abschlussbericht ist nach 14 Tagen fällig.
4. CE-Kennzeichnung für Cybersecurity. Ohne CRA-Konformität kein CE-Zeichen. Ohne CE-Zeichen kein EU-Markt. Hersteller müssen eine EU-Konformitätserklärung ausstellen. Importeure müssen diese zehn Jahre aufbewahren.
5. Mindestens fünf Jahre Sicherheitsupdates. Hersteller müssen das End-of-Support-Datum kommunizieren und für den gesamten Support-Zeitraum kostenlose Sicherheitsupdates bereitstellen.
„Der CRA verändert die Spielregeln für den gesamten EU-Digitalmarkt. Erstmals wird Cybersicherheit zur Voraussetzung für die CE-Kennzeichnung digitaler Produkte.“
BSI, Informationsseite zum Cyber Resilience Act
Was CISOs beim Einkauf jetzt ändern müssen
Der CRA verpflichtet nicht nur Hersteller, sondern alle wirtschaftlichen Akteure entlang der Lieferkette. Für CISOs und IT-Einkauf bedeutet das: Die Beschaffungskriterien brauchen ein Update.
Sieben Fragen die der Einkauf ab 2026 stellen muss:
1. Liegt eine EU-Konformitätserklärung (DoC) zum CRA vor?
2. Ist das CE-Zeichen vorhanden und auf die CRA-Anforderungen bezogen?
3. Wie lange ist der kommunizierte Support-Zeitraum? Was passiert am End-of-Support?
4. Gibt es eine SBOM (auf Anfrage)?
5. Welcher Konformitätsbewertungsweg wurde gewählt?
6. Existiert ein dokumentierter Prozess für koordinierte Schwachstellenoffenlegung?
7. Hat der Hersteller eine Policy für automatische Sicherheitsupdates?
Beschaffungsverträge sollten CRA-Konformitätsnachweise, Updatepflichten und End-of-Support-Regelungen explizit einschließen. Der CRA setzt den Standard dafür, was als Produktmangel gilt.
Abgrenzung: CRA, NIS2, DORA und AI Act
Der CRA reguliert Produkte vor der Marktzulassung. NIS2 reguliert Organisationen im laufenden Betrieb. DORA reguliert Finanzunternehmen und deren ICT-Anbieter. Der AI Act reguliert KI-Systeme nach Risikoklassen. CRA und NIS2 können gleichzeitig gelten.
Fazit: Cybersecurity wird zur Marktzugangsvoraussetzung
Der CRA macht Cybersecurity zum Gatekeeper für den EU-Markt. Kein CE-Zeichen ohne Security-Nachweis, keine Vermarktung ohne Konformitätserklärung, keine Schwachstelle ohne 24-Stunden-Meldung. Die Meldepflichten starten bereits im September 2026. Wer bis dahin wartet, hat ein Timing-Problem.
Häufige Fragen
Gilt der CRA auch für Software?
Ja. Der CRA betrifft alle „Produkte mit digitalen Elementen“, also Hardware und Software. Nicht-kommerzielle Open-Source-Software ohne Gewinnabsicht ist ausgenommen.
Muss die SBOM veröffentlicht werden?
Nein. Die SBOM muss erstellt werden und auf Anfrage der Marktaufsichtsbehörde vorgelegt werden können. Eine verpflichtende Veröffentlichung ist nicht vorgesehen.
Was passiert bei Nicht-Compliance?
Bußgelder bis 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes. Zusätzlich können Marktaufsichtsbehörden den Vertrieb verbieten oder Produktrückrufe anordnen. In Deutschland ist das BSI zuständig.
Wie hängen CRA und NIS2 zusammen?
Der CRA reguliert Produkte (vor Marktzulassung), NIS2 reguliert Organisationen (im laufenden Betrieb). Beide können gleichzeitig gelten.
Was muss der CISO bis September 2026 tun?
Einkaufskriterien aktualisieren, bestehende Lieferanten auf CRA-Readiness prüfen, Beschaffungsverträge um Konformitätsnachweise und Update-Pflichten ergänzen.
Lesetipps der Redaktion
Mehr aus dem MBF Media Netzwerk
- → Sovereignty-Washing: Cloud Act und Datensouveränität (cloudmagazin)
- → Cybersecurity-Boom: NIS2 als Wachstumsmotor (MyBusinessFuture)
Quelle Titelbild: Pexels
