Cyber Resilience Act: EU-Kommission startet letzte Konsultationsphase

Die EU-Kommission hat den Entwurf für Leitlinien zum Cyber Resilience Act veröffentlicht. Damit beginnt die letzte Phase, in der die Industrie die konkrete Umsetzung der neuen IT-Sicherheitspflichten noch mitgestalten kann. Für Hersteller digitaler Produkte wird die Zeit knapp.

Letzte Chance zur Einflussnahme

Am 12. März 2026 hat die Europäische Kommission den entscheidenden Entwurf für praktische Leitlinien zum Cyber Resilience Act (CRA) zur öffentlichen Konsultation freigegeben. Bis zum 31. März 2026 können Unternehmen und Verbände noch Feedback geben. Diese Phase ist die finale Gelegenheit, die Auslegung der strengen Vorschriften mitzubestimmen, die ab September 2026 für alle in der EU vertriebenen digitalen Produkte gelten.

Angesichts der neuen EU-Vorgaben für digitale Produkte stehen viele Unternehmen vor der Herausforderung, ihre IT-Infrastruktur rechtssicher und zukunftsfähig aufzustellen. Dieser Experten-Report enthüllt effektive Strategien, wie sich insbesondere mittelständische Betriebe ohne Budget-Explosion gegen Cyberkriminelle wappnen können. Effektive Strategien zur Cyber-Security entdecken

Der CRA trat bereits im Dezember 2024 in Kraft. Sein Kernprinzip: Hardware und Software müssen von der Entwicklung an sicher sein – und das über ihren gesamten Lebenszyklus. Die jetzt vorgelegten Leitlinien richten sich besonders an KMU und sollen komplexe Regeln verständlich machen. Im Fokus stehen der Umgang mit Cloud-Lösungen, die Integration von Open-Source-Software und die Definition von Support-Zeiträumen.

Die neuen Pflichten sind umfassend. Hersteller müssen künftig eine maschinenlesbare Liste aller Software-Komponenten (SBOM) führen, Sicherheitsupdates kostenlos bereitstellen und Schwachstellen unverzüglich beheben. Während die meisten Regelungen erst ab Dezember 2027 voll gelten, startet die Pflicht zur Meldung schwerwiegender Vorfälle und aktiv ausgenutzter Sicherheitslücken bereits am 11. September 2026. Die Uhr tickt also laut.

EU weitet Befugnisse von Cybersicherheits-Agentur aus

Parallel zur CRA-Umsetzung reformiert die EU ihre Cybersicherheits-Architektur grundlegend. Ein im Januar 2026 vorgelegtes „Cybersecurity Package“ sieht eine Stärkung der EU-Agentur für Cybersicherheit (ENISA) vor.

ENISA soll dauerhaft eine zentrale EU-weite Bedrohungsdatenbank betreiben, eine einheitliche Meldeplattform für Vorfälle managen und die Reaktion auf großangelegte Cyberkrisen koordinieren. Ziel ist es, den Flickenteppich nationaler Regelungen zu beseitigen, der multinationalen Konzernen die Compliance bisher erschwert.

Zudem etabliert der reformierte Rahmen verbindliche Mechanismen zum Management von Risiken in der IT-Lieferkette. Dazu gehören Sicherheitsvorkehrungen in Hochrisikosektoren und die Identifizierung von Lieferanten aus Drittländern mit hohem Risiko. Durch eine vereinheitlichte Zertifizierungsarchitektur will die Kommission erreichen, dass digitale Produkte für Verbraucher einheitlich hohe Sicherheitsstandards erfüllen – und doppelte nationale Prüfungen entfallen.

Deutschland: BaFin und BSI schärfen Aufsicht

National setzen deutsche Behörden die europäischen Vorgaben mit Nachdruck um. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat Cybersicherheit in ihren Risikobewertungen für 2026 explizit mit dem Verbraucherschutz verknüpft.

Schwere Cybervorfälle und die Auslagerung von IT-Dienstleistungen stuft die BaFin als Hauptgefahren für die Marktstabilität ein. Die Aufsicht über Produktgovernance und digitale Vertriebskanäle im Retail-Bereich wird verschärft. Die Behörde warnt konkret vor den Einflüssen sozialer Medien auf Krypto-Investments und vor betrügerischen Finanzangeboten, die gezielt vulnerable Verbraucher ansprechen.

Gleichzeitig verfolgt das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine proaktivere Verteidigungsstrategie. Am 6. März 2026 stellte die Behördenleitung die Strategie „Rad der Bewegung“ vor. Sie begreift Cybersicherheit als permanente operative Aufgabe, nicht als reaktives Krisenmanagement. Ein im Februar vorgelegter Gesetzentwurf des Bundesinnenministeriums zur Stärkung der Cybersicherheit will die Befugnisse des BSI erweitern. Betreiber Kritischer Infrastrukturen müssten dann Angriffserkennungssysteme nicht nur einsetzen, sondern diese direkt mit dem BSI verbinden, um Sicherheitsparameter kontinuierlich und automatisiert zu streamen.

Da neue Gesetze wie der Cyber Resilience Act die Anforderungen an die IT-Sicherheit massiv verschärfen, müssen Geschäftsführer jetzt die Weichen für 2024 und darüber hinaus stellen. Erfahren Sie in diesem kostenlosen Leitfaden, welche neuen Regelungen Ihr Unternehmen betreffen und wie Sie den Schutz proaktiv stärken. Kostenlosen Cyber Security Leitfaden herunterladen

Globaler Trend und Ausblick

Der europäische Fokus auf Verbraucherschutz im Digitalen spiegelt einen globalen Trend wider. Anfang März 2026 erließ die US-Regierung eine Executive Order zur Bekämpfung transnationaler krimineller Organisationen, die für Ransomware-Angriffe und Cyberbetrug verantwortlich sind. Ein Programm zur Entschädigung von Betrugsopfern unterstreicht die transatlantische Priorität, Verbraucher vor den finanziellen Folgen digitaler Schwachstellen zu schützen.

Für Unternehmen in Deutschland und der EU bedeutet das: Die Toleranz für systemisches Versagen sinkt auf null. Sie müssen sofort ihre Software-Lieferketten überprüfen, strukturierte Schwachstellen-Management-Prozesse implementieren und sich auf die CRA-Meldepflichten ab September 2026 vorbereiten.

Rechtsexperten raten, Cybersicherheit nicht länger als rein technische Compliance-Übung zu behandeln. Da Aufsichtsbehörden zunehmend die persönliche Haftung des Senior-Managements für Digitalrisiken in den Blick nehmen, ist ein „Digital Fairness by Design“-Ansatz erforderlich. Unternehmen, die ihre Sicherheitsrahmenwerke jetzt proaktiv an die kommenden EU-Leitlinien und nationalen Vorgaben anpassen, sind für das komplexe und risikoreiche Umfeld des modernen Verbraucherschutzes am besten gewappnet.

de | boerse | 68690254 |