Der Cyber Resilience Act (CRA) der Europäischen Union tritt ab 2026 schrittweise in seine operative Phase ein. | © Unsplash/Glenn Carstens-Peters
Der Cyber Resilience Act (CRA) der Europäischen Union tritt ab 2026 schrittweise in seine operative Phase ein. Für Hersteller digitaler Produkte mit Internetverbindung bedeutet das erstmals konkrete Pflichten – insbesondere bei der Meldung von Sicherheitslücken und Cybervorfällen.
Darauf weist das Cybersicherheitsunternehmen ONEKEY hin. Demnach müssen Unternehmen bereits in den kommenden Monaten ihre internen Prozesse anpassen, um den neuen Anforderungen gerecht zu werden.
Meldepflicht für Sicherheitslücken ab September 2026
Der CRA ist am 10. Dezember 2024 offiziell in Kraft getreten. Die erste operative Verpflichtung greift jedoch erst im Herbst 2026:
Ab 11. September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen sowie schwerwiegende Sicherheitsvorfälle melden, sobald sie davon erfahren. Die Meldungen sollen über eine zentrale Plattform erfolgen, die derzeit von der EU Agency for Cybersecurity (ENISA) aufgebaut wird.
„2026 beginnt die operative Phase des Cyber Resilience Act“, sagt Jan Wendenburg, Geschäftsführer von ONEKEY.
Konformitätsprüfungen starten bereits im Juni
Schon vorher werden erste Prüfstellen aktiv: Ab 11. Juni 2026 sollen sogenannte Konformitätsbewertungsstellen (CABs) ihre Arbeit aufnehmen. Diese unabhängigen Stellen prüfen, ob Produkte den Anforderungen des CRA entsprechen.
„Die betroffenen Hersteller müssen bis spätestens dahin ihre internen Prozesse, Dokumentationen, technischen Nachweise und Sicherheitsanforderungen so vorbereitet haben, dass eine CAB überhaupt etwas prüfen kann“, erklärt Jan Wendenburg.
Für besonders sicherheitskritische Produkte – etwa Komponenten kritischer Infrastruktur, industrielle Steuerungssysteme oder bestimmte IoT-Geräte – ist eine externe Prüfung verpflichtend.
Selbsterklärung für viele Produkte möglich
Für den Großteil der vernetzten Produkte gilt hingegen ein vereinfachtes Verfahren.
„Für rund 90 Prozent aller vernetzten Produkte genügt allerdings eine Selbsterklärung“, stellt Jan Wendenburg klar. Hersteller müssen darin nachweisen, dass ihr Produkt die Anforderungen des CRA erfüllt.
Spätestens ab 11. Dezember 2027 dürfen Produkte ohne entsprechenden Konformitätsnachweis nicht mehr auf dem EU-Markt verkauft werden.
Software-Stücklisten werden zum Pflichtbestandteil
Ein zentraler Bestandteil der neuen Regulierung ist die sogenannte Software Bill of Materials (SBOM) – eine vollständige Liste aller Softwarekomponenten eines Produkts.
Sie soll Transparenz über verwendete Bibliotheken, Frameworks und Abhängigkeiten schaffen und bekannte Sicherheitslücken sichtbar machen.
In der Praxis bereitet dies vielen Unternehmen Schwierigkeiten. „Viele SBOMS sind unvollständig, veraltet oder ohne Kontext zu Schwachstellen“, sagt Jan Wendenburg. „Für die in der EU-Regulatorik zwingend vorgeschriebene Nachweispflicht sind diese lückenhaften und teilweise überholten Software-Stücklisten unbrauchbar.“
Security-by-Design wird zur Pflicht
Der CRA verlangt außerdem, Sicherheitsanforderungen bereits während der Entwicklung digitaler Produkte zu berücksichtigen. Dazu zählen unter anderem:
- sichere Software- und Hardwaredesigns
- ein strukturiertes Risikomanagement
- klare Prozesse zur Behandlung von Schwachstellen
- verpflichtende Sicherheitsupdates über den gesamten Produktlebenszyklus
„Es wird höchste Zeit für die Hersteller, ihre vernetzten Geräte, Maschinen und Anlagen einer CRA-Konformitätsbewertung zu unterziehen“, warnt Jan Wendenburg.
Neue Sicherheitsregeln für Europas Digitalwirtschaft
Mit dem Cyber Resilience Act will die EU ein einheitliches Sicherheitsniveau für digitale Produkte schaffen. Für Unternehmen bedeutet die neue Regulierung jedoch zusätzlichen organisatorischen und technischen Aufwand.
„Die bevorstehende erste Umsetzungsphase des Cyber Resilience Act stellt zweifellos einen Meilenstein für die digitale Sicherheit in Europa dar, aber sie führt auch für die Hersteller zu einem Aufwand erheblichen Ausmaßes“, so Jan Wendenburg.