Cyber Resilience Act: EU beschleunigt Umsetzung der strengsten IT-Sicherheitsregeln weltweit

Die EU macht ernst mit ihren neuen Cybersicherheitsvorschriften: In dieser Woche präsentierte die Kommission der Arbeitsgruppe Cybersicherheit des EU-Rats konkrete Pläne zur praktischen Umsetzung des Cyber Resilience Act (CRA). Was lange nur auf dem Papier stand, wird jetzt zu handfesten Compliance-Vorgaben – und das schneller als erwartet. Für Hersteller digitaler Produkte weltweit beginnt damit eine kritische Phase, denn die erste Deadline liegt bereits in weniger als einem Jahr.

Das Gesetz, das im Dezember 2024 in Kraft trat, markiert einen Paradigmenwechsel: Erstmals trägt der Hersteller die volle Verantwortung für die Cybersicherheit eines Produkts über dessen gesamten Lebenszyklus. Vom Smart-Home-Gerät bis zur Industriesteuerung – praktisch jedes Produkt mit digitalem Komponenten und Netzwerkanbindung fällt unter die neuen Regeln.

Einheitliche Standards nehmen Gestalt an

Ein zentraler Fortschritt: Das Europäische Institut für Telekommunikationsnormen (ETSI) entwickelt derzeit die sogenannten “vertikalen Standards” – maßgeschneiderte Sicherheitsvorgaben für spezifische Produktkategorien. Die erste Konsultationsrunde zu Passwort-Managern und Betriebssystemen lief bereits im September 2025.

Diese Standards sind mehr als technische Richtlinien. Sie definieren, was Hersteller konkret erfüllen müssen, um das CE-Kennzeichen als Cybersicherheits-Nachweis führen zu dürfen. Für Unternehmen bedeutet das endlich Rechtssicherheit in einem Regulierungsumfeld, das bisher mehr Fragen als Antworten lieferte.

Apropos Cybersicherheit – während Hersteller künftig für Software-Schwachstellen haften, sind oft die Endgeräte der Nutzer das Einfallstor. Viele Android‑Anwender übersehen einfache Schutzmaßnahmen, die Datendiebstahl und Schadsoftware verhindern. Ein kostenloses Sicherheitspaket erklärt Schritt für Schritt die 5 wichtigsten Maßnahmen für WhatsApp, Online‑Banking & Co. Jetzt kostenlosen Android‑Sicherheits‑Guide sichern

24 Stunden Zeit – sonst drohen Millionenstrafen

Die wohl härteste Vorgabe des CRA: die Meldepflicht für Sicherheitslücken. Ab September 2026 läuft die Uhr gnadenlos: Entdeckt ein Hersteller eine aktiv ausgenutzbare Schwachstelle, bleiben ihm nur 24 Stunden für die Erstmeldung an die EU-Cybersicherheitsagentur ENISA und das nationale Computer-Notfallteam.

Nach 72 Stunden muss ein detaillierter technischer Bericht folgen, nach 14 Tagen die finale Analyse mit Gegenmaßnahmen. ENISA wird dafür eine zentrale EU-Plattform betreiben – ein einheitliches System für alle 27 Mitgliedstaaten. Zum Vergleich: Selbst für DAX-Konzerne mit etablierten Sicherheitsteams ist dieses Tempo eine Herausforderung.

Kann dieser Zeitplan überhaupt eingehalten werden? Die EU-Kommission arbeitet gerade die Ausnahmeregeln aus. Ein Entwurf vom Oktober 2025 nennt nur zwei Szenarien, in denen Verzögerungen erlaubt sind: wenn ein Sicherheitspatch innerhalb von 72 Stunden bereitsteht oder die Meldeplattform selbst kompromittiert ist. Die Rückmeldungsfrist läuft noch bis zum 13. November 2025 – dann wird die finale Fassung erwartet.

“Security by Design” wird Pflicht

Der CRA verankert das Prinzip “Security by Design” als verbindliche Anforderung. Übersetzt heißt das: Cybersicherheit muss vom ersten Konzept an mitgedacht werden, nicht als nachträgliche Ergänzung. Hersteller müssen umfassende Risikoanalysen durchführen und dürfen Produkte nur noch ohne bekannte ausnutzbare Schwachstellen auf den Markt bringen.

Hinzu kommt die Pflicht zur Software-Stückliste (SBOM) – eine vollständige Auflistung aller Software-Komponenten eines Produkts. Gerade für mittelständische Unternehmen mit komplexen Lieferketten gilt dies als eine der größten Hürden.

Deutsche Wirtschaft größtenteils unvorbereitet

Wie steht es um die Vorbereitung? Ernüchternd. Eine Studie aus dem Jahr 2025 zeigt: 27 Prozent der Unternehmen kennen die CRA-Anforderungen überhaupt nicht, weitere 27 Prozent haben noch keine Maßnahmen ergriffen. Besonders kleinere Firmen und App-Entwickler fürchten die Compliance-Kosten und den administrativen Aufwand.

Größere Konzerne und Branchenverbände begrüßen hingegen die Harmonisierung. Statt 27 unterschiedlicher nationaler Regelungen gilt künftig ein einheitlicher Standard für den EU-Binnenmarkt – das vereinfacht den Marktzugang erheblich. Der CRA ergänzt dabei die NIS2-Richtlinie, die sich auf die Betreiber kritischer Infrastruktur konzentriert, während der CRA die Produktsicherheit in den Fokus rückt.

Die Uhr tickt: Erste Deadline bereits 2026

Die Hauptbestimmungen des Cyber Resilience Act treten zwar erst am 11. Dezember 2027 in Kraft, doch die Meldepflicht für Schwachstellen gilt bereits ab September 2026. Wer bis dahin nicht gerüstet ist, riskiert drakonische Strafen: bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes – je nachdem, was höher ausfällt.

Marktüberwachungsbehörden erhalten zudem weitreichende Befugnisse: Sie können Produktrückrufe anordnen oder Geräte komplett vom Markt nehmen. Angesichts der langen Entwicklungszyklen vieler digitaler Produkte bleibt kaum noch Zeit. Experten raten dringend, jetzt mit den Vorbereitungen zu beginnen: Interne Strukturen für Schwachstellenmanagement aufbauen, Sicherheit in Designprozesse integrieren, Lieferketten auf die neuen Anforderungen vorbereiten.

Wer 2027 noch im EU-Markt mitspielen will, muss heute handeln. Die Frage ist nicht mehr ob, sondern wie schnell Unternehmen die digitale Resilienz in ihrer DNA verankern können.

PS: Sie wollen Ihre Geräte jetzt sofort besser schützen? Holen Sie sich den kostenlosen Guide mit den 5 effektivsten Schutzmaßnahmen für Android‑Smartphones – einfache Anleitungen, keine teuren Zusatz-Apps. Jetzt Gratis‑Sicherheits‑Paket anfordern