Cyber, Resilience

Cyber Resilience Act zwingt Hersteller zum Produkt-Redesign

05.01.2026 - 10:14:12

Der EU-Cyberresilienzakt verlangt ab 2027 sichere IoT-Geräte und wirkt rückwirkend. Eine Studie zeigt, dass die deutsche Industrie kaum vorbereitet ist und vor kostspieligen Neuentwicklungen steht.

Cyber Resilience Act zwingt Hersteller zum Produkt-Redesign - Foto: über boerse-global.de
Cyber Resilience Act zwingt Hersteller zum Produkt-Redesign - Foto: über boerse-global.de

Der EU-Kyberresilienzakt beendet die Ära des Sicherheits-Flickwerks und stellt Tausende bestehender IoT-Geräte vor das Aus. Eine aktuelle Studie zeigt: Die deutsche Industrie ist kaum vorbereitet.

Ab Dezember 2027 dürfen in der EU nur noch vernetzte Produkte verkauft werden, die von Grund auf sicher konstruiert sind. Das fordert der Cyber Resilience Act (CRA), der seit Ende 2024 in Kraft ist. Jetzt wird klar: Das „Security by Design“-Prinzip gilt nicht nur für Neuentwicklungen, sondern wirkt rückwirkend auf bestehende Systeme. Für Tausende IoT-Geräte und industrielle Steuerungssysteme bedeutet das eine einzige Alternative: komplettes Redesign oder EU-Marktrückzug.

Das Ende der „Patch-Lösung“

Jahrelang konnten Hersteller Sicherheitslücken mit nachträglichen Updates stopfen. Der CRA beendet diese Praxis. Die Verordnung verlangt, dass Produkte mit digitalen Elementen „so gestaltet, entwickelt und hergestellt werden, dass sie ein dem Risiko angemessenes Cybersicherheitsniveau gewährleisten“. Rechtsexperten deuten dies Anfang 2026 eindeutig: Architekturen, die sich nicht nachrüsten lassen, sind illegal.

Anzeige

Viele Hersteller stehen vor der Entscheidung Redesign oder EU‑Marktrückzug — und die Frist bis Dezember 2027 lässt kaum Luft. Das kostenlose E‑Book „Cyber Security Awareness Trends“ erklärt, welche Schutzmaßnahmen in IoT‑ und OT‑Umgebungen jetzt Priorität haben, welche Compliance‑Schritte 2026 nötig sind und wie Sie IT‑Sicherheit ohne große Zusatzinvestitionen umsetzen. Konkrete Checklisten helfen Produktmanagern und IT‑Verantwortlichen, Meldepflichten und Architektur-Anforderungen gezielt anzugehen. Jetzt gratis E‑Book für Unternehmen herunterladen

„Wenn die Hardware oder Grundarchitektur eines Geräts moderne Verschlüsselung oder sichere Update-Mechanismen verhindert, reicht ein Patch nicht mehr aus“, erklärt ein Cybersecurity-Analyst. Hersteller stehen vor einer binären Entscheidung: Kostspielige Neuentwicklung einleiten oder das Produkt vom EU-Markt nehmen. Besonders betroffen sind industrielle Steuerungssysteme und IoT-Geräte mit langer Lebensdauer, die nie für Sicherheit „by Design“ konzipiert wurden.

Deutsche Industrie schlägt Alarm

Wie schlecht die Wirtschaft auf diese Wende vorbereitet ist, zeigt der IoT & OT Cybersecurity Report 2025 des Düsseldorfer Sicherheitsunternehmens ONEKEY. Die Daten von Ende 2025 sind brandaktuell, denn die Fristen rücken näher.

Nur 14 Prozent der befragten deutschen Unternehmen haben demnach umfangreiche Maßnahmen für die CRA-Compliance ergriffen. 38 Prozent haben erste Schritte eingeleitet, der Großteil plant noch. Die größte Hürde? 35 Prozent der Befragten nennen die Erfüllung der „Secure by Design“-Kriterien.

„Die Industrie befindet sich auf der Zielgeraden“, warnt ONEKEY-CEO Jan Wendenburg. Ein Redesign-Zyklus für komplexe Industriehardware dauere oft 18 bis 24 Monate. Wer Anfang 2026 noch nicht begonnen hat, riskiert, die Frist Ende 2027 zu verpassen. Der Countdown läuft.

2026: Das entscheidende Jahr

Der Kalender für 2026 setzt die Industrie unter immensen Zeitdruck.

  1. Frühjahr 2026 (Q1): Die EU-Kommission veröffentlicht offizielle Leitlinien. Sie werden die technischen Spezifikationen für „Security by Design“ detaillieren und die strenge Haltung zur Architektur-Integrität bestätigen.
  2. 11. September 2026: Die Meldepflichten des CRA treten in Kraft. Hersteller müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle innerhalb von 24 Stunden melden. Dafür benötigen sie tiefe Einblicke in ihre Software – ohne moderne Architektur oft unmöglich.
  3. Ende 2026 – 2027: Das Zeitfenster für Redesigns schließt. Produkte, die bis Dezember 2027 die Anforderungen nicht erfüllen, verlieren die CE-Kennzeichnung und werden vom EU-Markt verbannt.

Der Zwang zum Handeln ist also nicht nur juristisch, sondern auch logistisch begründet. Die Entscheidung über ein Redesign muss jetzt fallen.

Marktbereinigung mit Milliardenfolgen

Die wirtschaftlichen Konsequenzen sind enorm. Für kleinere Hersteller oder Unternehmen mit großen Altprodukt-Portfolios könnten die Redesign-Kosten den erwarteten Umsatz übersteigen. Die Folge: ein freiwilliger Rückzug älterer Geräte.

Die Strafen bei Nichteinhaltung sind drakonisch. Bußgelder können bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes betragen – je nachdem, welcher Wert höher ist. Der Imageschaden durch erzwungene Rückrufe wäre zusätzlich verheerend.

Beobachter prophezeien eine deutliche Marktbereinigung in den kommenden zwei Jahren. Hersteller werden unsichere „Smart“-Geräte auslisten und sich auf wenige, robuste Plattformen konzentrieren, in die Sicherheit von Anfang eingebaut ist.

Die entscheidende Frage für Produktmanager lautet heute nicht mehr: „Können wir das patchen?“, sondern: „Ist diese Architektur legal?“ Fällt die Antwort negativ aus, muss der Redesign-Prozess sofort starten. Die Uhr tickt.

Anzeige

PS: Sie möchten sofort wissen, welche Maßnahmen Ihr Produkt legal halten und Bußgelder verhindern? Der Gratis‑Leitfaden fasst aktuelle Bedrohungen, EU‑Vorgaben (inkl. Meldepflichten) und praxisnahe Abwehrstrategien zusammen — plus eine Prioritätsliste für Redesigns und konkrete Schritte für 2026. Ideal für Geschäftsführung, Produktmanager und IT‑Verantwortliche, die schnell handeln müssen. Jetzt kostenlosen Cybersecurity‑Leitfaden anfordern

@ boerse-global.de
Lerne live von den Börsen-Profis – melde dich jetzt kostenlos an.