Cyber Resilience Act: EU veröffentlicht erste Leitlinien für sichere Smartphones

Die EU-Kommission hat diese Woche die ersten Leitlinien zum Cyber Resilience Act veröffentlicht. Sie konkretisieren die Sicherheitspflichten für Hersteller vernetzter Geräte. Der Countdown für die Industrie läuft: Ab September 2026 müssen aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden gemeldet werden.

Security by Design wird zur Pflicht

Die Leitlinien machen den Grundsatz "Security by Design" verbindlich. Cybersicherheit muss künftig von der Planung bis zur Wartung in den gesamten Lebenszyklus eines Produkts integriert sein. Für Smartphone-Hersteller bedeutet das eine tiefgreifende Umstellung ihrer Entwicklungsprozesse.

Angesichts der neuen EU-Vorgaben und drohenden Millionenstrafen stehen viele Unternehmen vor der Herausforderung, ihre Sicherheitsstrategie grundlegend zu modernisieren. Dieser kostenlose Leitfaden zeigt Geschäftsführern und IT-Verantwortlichen, wie sie aktuelle Bedrohungen erkennen und Schutzmaßnahmen ohne Budget-Explosion umsetzen. E-Book: Cyber Security Trends jetzt kostenlos sichern

Hersteller sind verpflichtet, Sicherheitslücken systematisch zu identifizieren und zu beheben. Die Meldepflicht für kritische Vorfälle an die EU-Agentur ENISA gilt ab dem 11. September 2026. Diese Vorschrift zwingt Unternehmen zu robusten internen Prozessen für schnelle Reaktionen.

Fünf Jahre Updates für Ihr Smartphone

Für Verbraucher verspricht der CRA mehr Transparenz und Sicherheit. Die bekannte CE-Kennzeichnung wird künftig auch die Konformität mit den Cybersicherheitsstandards signalisieren.

Ein entscheidender Vorteil: Hersteller müssen ihre Produkte in der Regel mindestens fünf Jahre mit Sicherheitsupdates versorgen. Das beendet die Praxis, den Support für viele Geräte schon nach zwei bis drei Jahren einzustellen. Zudem müssen die Unternehmen klare Informationen über den Supportzeitraum bereitstellen.

Industrie steht vor massiven Investitionen

Während Verbraucherschützer die Regeln begrüßen, steht die Industrie vor erheblichen Herausforderungen. Die Umsetzung erfordert massive Investitionen in sichere Entwicklungsprozesse und neue Managementsysteme.

Der Zeitplan ist ambitioniert. Ab dem 11. Dezember 2027 müssen alle neu auf den EU-Markt gebrachten Produkte die Anforderungen vollumfänglich erfüllen. Bei Verstößen drohen Strafen von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes.

Europa setzt einen globalen Standard

Mit dem Cyber Resilience Act positioniert sich die EU als globaler Vorreiter in der Regulierung digitaler Produktsicherheit. Die Verordnung schließt eine kritische Lücke, die durch andere Gesetze wie die NIS2-Richtlinie offenblieb.

Analysten gehen davon aus, dass der CRA eine weltweite Signalwirkung entfalten wird – ähnlich wie die Datenschutz-Grundverordnung. Die Standards für Produktsicherheit könnten so weit über die Grenzen Europas hinaus beeinflusst werden.