Cyber Resilience Act: EU zwingt Industrie zum Sicherheits-Umbruch

Die neuen EU-Vorschriften für Cybersicherheit stellen Hersteller von Autos bis Medizingeräten vor eine Mammutaufgabe. Freiwilligkeit war gestern – ab sofort gilt: nachweisen oder vom Markt verschwinden.

Berlin. Ein neues Zeitalter für die Produktsicherheit bricht an. Mit dem Cyber Resilience Act (CRA) und dem erwarteten deutschen KRITIS-Dachgesetz schafft Europa einen der weltweit strengsten Rechtsrahmen für digitale Produkte. Die Botschaft an die Industrie ist klar: Wer in der EU verkaufen will, muss Sicherheit über den gesamten Lebenszyklus garantieren. Die Zeit für halbherzige Selbstverpflichtungen ist endgültig vorbei.

Der CRA, der Ende 2024 in Kraft trat, verlangt einen fundamentalen Wandel im Entwicklungsprozess. Das Prinzip „Secure by Design“ wird zur Pflicht. Hersteller müssen Sicherheit von der ersten Produktidee an mitdenken. Die kritischste Neuerung: Sie haften nicht mehr nur für den Zustand bei Auslieferung, sondern für Jahre danach.

Konkret bedeutet das: Für die erwartete Lebensdauer eines Produkts oder mindestens fünf Jahre müssen Sicherheitsupdates bereitgestellt werden. Wird eine kritische Schwachstelle aktiv ausgenutzt, muss der Hersteller sie innerhalb von 24 Stunden an Behörden wie die EU-Agentur für Cybersicherheit (ENISA) melden. Verstöße können empfindliche Strafen und den Entzug der Marktzulassung nach sich ziehen.

Viele Hersteller und Betreiber kritischer Systeme sind auf die neuen Melde‑ und Update‑pflichten nicht vorbereitet. Das kostenlose E‑Book „Cyber Security Awareness Trends“ erklärt, welche Schutzmaßnahmen jetzt Pflicht werden, wie Sie Meldeprozesse und SBOM‑Workflows rechtssicher aufsetzen und welche einfachen technischen Kontrollen Risiken deutlich reduzieren. Ideal für Entscheider in Industrie, Medizintechnik und kritischer Infrastruktur. Sofortdownload per E‑Mail, ohne Verpflichtungen. Jetzt kostenlosen Cyber‑Security‑Leitfaden herunterladen

Die Software-Stückliste (SBOM) wird zum Herzstück

Eine der größten praktischen Herausforderungen ist die Software Bill of Materials (SBOM). Für jedes Produkt muss der Hersteller eine detaillierte Liste aller verbauten Software-Komponenten führen – inklusive jeder Open-Source-Bibliothek. Diese Transparenz ist die Grundlage, um bei neuen Bedrohungen sofort reagieren zu können.

Die SBOM muss den Aufsichtsbehörden auf Verlangen vorgelegt werden. Sie ist das entscheidende Werkzeug, um die undurchsichtigen, global vernetzten Lieferketten zu beherrschen, die immer häufiger Ziel von Hackern werden. Ohne eine solche Stückliste ist ein effektives Risikomanagement unmöglich.

Kritische Infrastrukturen im besonderen Fokus

Für Betreiber kritischer Infrastrukturen (KRITIS) wie Energieversorger, Bahnunternehmen oder Krankenhäuser verschärft sich die Lage zusätzlich. Parallel zum CRA soll noch 2026 das deutschen KRITIS-Dachgesetz in Kraft treten. Es setzt die EU-CER-Richtlinie um und regelt die physische Sicherheit und Widerstandsfähigkeit essenzieller Anlagen.

Die Kombination beider Gesetze schafft einen umfassenden Schutzschirm. Für die Betreiber bedeutet das: Altsysteme, für die es keine Updates mehr gibt, werden zum unkalkulierbaren Risiko. Ein durchgängiges Risikomanagement über den gesamten Lebenszyklus der Technik wird überlebenswichtig.

ISO-Normen helfen – entbinden aber nicht von der Pflicht

Viele Unternehmen setzen auf internationale Standards wie ISO/IEC 5230 (OpenChain) für Lizenz-Compliance oder ISO/IEC 18974 für Open-Source-Sicherheit, um sich vorzubereiten. Konzerne wie Hitachi Energy haben entsprechende Zertifizierungen bereits umgesetzt.

Doch Vorsicht: Diese Zertifikate sind lediglich ein Indiz für gute Prozesse. Eine rechtliche „Konformitätsvermutung“ im Sinne des CRA entsteht erst, wenn die EU-Kommission einen Standard offiziell als harmonisierte Norm anerkennt. Bis dahin bleibt die volle Nachweispflicht gegenüber den Behörden beim Hersteller.

Strategische Notwendigkeit statt IT-Nische

Die neuen Regeln katapultieren das Thema Open-Source-Compliance aus der IT-Abteilung direkt in die Vorstandsetage. Es ist keine Option mehr, sondern eine strategische Voraussetzung für den Geschäftsbetrieb in Europa. Eine aktuelle Umfrage unterstreicht die Dringlichkeit: 76 Prozent der Unternehmen entdecken Compliance-Probleme erst, nachdem die Software bereits im Einsatz ist – ein Zustand, der unter dem CRA nicht haltbar ist.

Die Einrichtung spezialisierter Open Source Program Offices (OSPOs) und der Einsatz automatisierter Überwachungstools werden zum Wettbewerbsvorteil. Europa verfolgt mit dieser Regulierungsoffensive auch ein geopolitisches Ziel: die Stärkung der digitalen Souveränität und mehr Unabhängigkeit von Technologie-Lieferanten außerhalb der EU.

Der Countdown läuft: Unternehmen müssen jetzt handeln

Die Uhr tickt. Während die Meldepflicht für Schwachstellen voraussichtlich ab dem dritten Quartal 2026 gilt, treten die übrigen Pflichten Ende 2027 in Kraft. Die verbleibende Zeit ist knapp, um die oft trägen Entwicklungsprozesse in sicherheitskritischen Branchen wie dem Maschinenbau oder der Medizintechnik umzukrempeln.

Hersteller stehen vor einer umfassenden Aufgabe: Prozesse analysieren, Lücken schließen, Tools für SBOMs implementieren und Teams schulen. Die Investition in ein robustes Open-Source-Management ist keine lästige Pflicht mehr. Sie ist ein entscheidender Faktor für Kundenzutrauen und langfristigen Markterfolg in einer zunehmend verwundbaren digitalen Welt.

PS: Sie wollen Ihre IT-Sicherheit stärken, ohne teure Großprojekte zu starten? Der Gratis‑Report zeigt praxiserprobte Maßnahmen, Schulungsansätze für Entwicklerteams und Priorisierungspläne für SBOM‑Management – so erfüllen Sie CRA‑Anforderungen effizienter und kostengünstiger. Perfekt für IT‑Leiter und Compliance‑Verantwortliche, die jetzt handeln müssen. Kostenlosen Cyber‑Security‑Report hier sichern