Cyber Resilience Act: Ab Dezember 2027 droht Marktausschluss für unsichere Software

Ab Mitte 2026 müssen Entwickler aktiv ausgenutzte Sicherheitslücken melden – und bis Dezember 2027 droht nicht-konformen Produkten der Marktausschluss.

Compliance-Experten warnen: Wer die KI-Verordnung ignoriert, riskiert empfindliche Strafen. Dieser kostenlose Umsetzungsleitfaden zum EU AI Act hilft Ihnen, alle relevanten Übergangsfristen und Pflichten rechtzeitig im Blick zu behalten. Jetzt kostenlosen KI-Leitfaden herunterladen

Phasenweise Einführung mit harten Konsequenzen

Der Cyber Resilience Act (CRA) führt eine gestaffelte Umsetzung ein. Die erste kritische Hürde kommt bereits in den kommenden Wochen: Entwickler müssen dann Behörden über aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle informieren. Die vollständige Einhaltung aller Vorschriften wird ab dem 11. Dezember 2027 erzwungen.

Was bedeutet das konkret? Wer kommerzielle WordPress-Plugins oder andere Softwareprodukte in der EU vertreiben will, braucht dann ein dokumentiertes Vulnerability Disclosure Program (VDP). Fehlt dieses, ist der Verkauf schlicht verboten. Ein Blick auf die aktuelle Bedrohungslage zeigt, warum die EU handelt: Sicherheitsanalysten registrieren täglich rund 22 neue Schwachstellen im WordPress-Ökosystem.

Die finanziellen Risiken sind enorm. Bei Verstößen drohen Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ausfällt. Der Druck kommt nicht von ungefähr: Aktuelle Daten zeigen, dass 31 Prozent aller Sicherheitsverletzungen mittlerweile durch die Ausnutzung von Schwachstellen beginnen. Damit haben sie gestohlene Zugangsdaten als häufigste Angriffsursache abgelöst.

Marktbereinigung steht bevor

Die 2027er-Frist wird den Plugin-Markt massiv verändern. Kleinere und unabhängige Entwickler könnten die Kosten für ein dokumentiertes VDP und regelmäßige Sicherheitsaudits kaum stemmen. Software, die nicht den „Security by Design"-Prinzipien des CRA entspricht, wird vom EU-Markt faktisch ausgeschlossen.

Die Stimmung in der Wirtschaft ist bereits angespannt. Umfragen aus diesem Frühjahr zeigen: 81 Prozent der Unternehmen empfinden die Datenschutz-Grundverordnung (DSGVO) bereits als erhebliche Belastung. Dass der CRA ähnliche Reaktionen hervorruft, gilt als wahrscheinlich. Hinzu kommt eine zunehmende Komplexität der Lieferketten: Die Zahl der Supply-Chain-Angriffe ist um 60 Prozent gestiegen, sie machen mittlerweile 48 Prozent aller Sicherheitsvorfälle aus.

Der CRA ist nicht die einzige regulatorische Hürde. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte am 7. April 2026 die überarbeiteten C5:2026-Kriterien. Mit 168 Prüfkriterien in 17 Themenbereichen – darunter Container-Management, Confidential Computing und Post-Quanten-Kryptographie – setzen sie neue Maßstäbe. Zwar ist das C5-Testat bislang nur im Gesundheitswesen verpflichtend, doch sein Einfluss breitet sich auf den Finanzsektor und den NIS2-Rahmen aus.

NIS2, KI-Gesetz und Verbraucherrechte – ein Regelungsgeflecht

Während der CRA die Hersteller in die Pflicht nimmt, adressiert die NIS2-Richtlinie die Betreiber. Website-Betreiber bleiben für ihre eigene Sicherheit verantwortlich. „Wichtige" und „besonders wichtige" Einrichtungen müssen schwerwiegende Sicherheitsvorfälle innerhalb von 24 Stunden melden – in Deutschland beim BSI.

Der Start von NIS2 verlief holprig. Obwohl die Registrierungsfrist am 6. März 2026 endete, hatten sich bis dahin nur 11.000 von rund 29.500 betroffenen Unternehmen angemeldet. Die Strafen sind ebenfalls empfindlich: bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes.

Doch damit nicht genug. Weitere Fristen rücken näher:

• 19. Juni 2026: Unternehmen müssen einen digitalen „Widerruf-Button" für Online-Verträge einführen. Verbraucher können dann Verträge in zwei Schritten ohne Login oder App-Download kündigen.
• 2. August 2026: Das EU-KI-Gesetz verlangt die Kennzeichnung KI-generierter Inhalte. Für B2B-Websites bedeutet das: Produktbeschreibungen oder Diagramme brauchen maschinenlesbare Meta-Tags.
• Juni 2027: Die BSI-C5:2026-Anforderungen werden für relevante Dienstleister verbindlich.

Die EU-Kommission veröffentlichte zudem am 22. Mai 2026 Leitlinien für Hochrisiko-KI-Systeme. In Bereichen wie Biometrie und Strafverfolgung drohen bei Verstößen Strafen von bis zu 30 Millionen Euro.

Welche KI-Systeme gelten als Hochrisiko und was müssen Unternehmen jetzt konkret tun? Da die EU-KI-Verordnung neue Regeln aufstellt, klärt dieser kostenlose Report über die dringenden Anforderungen für Ihre IT- und Rechtsabteilung auf. Kostenlosen Report zum EU AI Act sichern

Rekordwerte bei Ransomware und Schwachstellen-Ausnutzung

Der Vorstoß für CRA und NIS2 hat einen düsteren Hintergrund. Die Analyse der Daten aus dem Jahr 2025 offenbart: Der Februar 2025 war ein Rekordmonat für Ransomware-Angriffe mit 962 dokumentierten Fällen – ein Anstieg von 126 Prozent im Vergleich zum Vorjahr.

Sicherheitsforscher beobachten einen strategischen Wandel bei Angreifern. Sie entfernen sich zunehmend von traditionellen Phishing-Mails und setzen stattdessen auf die gezielte Ausnutzung von „Edge"-Schwachstellen sowie Social-Media-Manipulation.

Soziale Netzwerke haben E-Mail als primären Angriffsvektor abgelöst: 33,8 Prozent aller Vorfälle gehen auf ihr Konto. Ein weiteres Problem ist „Shadow AI" – die Nutzung nicht genehmigter KI-Tools durch Mitarbeiter. Dies ist mittlerweile die dritthäufigste Ursache für Datenlecks und betrifft rund 45 Prozent der Belegschaft.

Analyse: Vom freiwilligen Standard zur gesetzlichen Pflicht

Die aktuelle Regulierungswelle markiert einen fundamentalen Wandel. Aus freiwilligen Best Practices werden verbindliche Vorgaben. Für das WordPress-Ökosystem, das einen erheblichen Teil des Internets betreibt, bedeutet der CRA das Ende der „as-is"-Softwareverteilung in Europa. Entwickler haften künftig für den gesamten Sicherheitslebenszyklus ihrer Produkte.

Die Verzahnung der Gesetze – CRA für Produktsicherheit, NIS2 für organisatorische Sicherheit und das KI-Gesetz für Inhaltsintegrität – zeigt den Versuch der EU, ein ganzheitliches digitales Sicherheitsnetz zu schaffen. Doch die niedrigen Registrierungszahlen bei NIS2 und die hohe Belastungswahrnehmung der DSGVO deuten auf eine wachsende Kluft zwischen regulatorischem Anspruch und praktischer Umsetzbarkeit hin.

Ausblick: Bereinigungseffekt ab 2027

Blickt man auf das Jahr 2027, zeichnet sich ein „Reinigungseffekt" ab. Nur Produkte mit robuster Sicherheitsdokumentation und Compliance-Nachweisen werden überlebensfähig sein. Mit der Mitte 2026 anstehenden Meldepflicht für Schwachstellen kommt die erste Welle der Transparenz: Dann wird sichtbar, wie viele Sicherheitslücken tatsächlich aktiv ausgenutzt werden.

Kurzfristig müssen Unternehmen den Widerruf-Button bis Mitte Juni 2026 implementieren und sich auf die KI-Kennzeichnungspflicht im August vorbereiten. Die Umstellung auf die BSI-C5:2026-Standards im Jahr 2027 wird Cloud- und Softwaredienste weiter professionalisieren.

Die administrative Belastung ist hoch – doch das langfristige Ziel ist klar: Die Erfolgsrate von Angriffen über Schwachstellen soll sinken. Unternehmen, die jetzt in saubere Consent-Strukturen und automatisierte Compliance-Tests investieren, werden für die endgültige Durchsetzung des CRA im Dezember 2027 am besten gerüstet sein.

de | wirtschaft | 69419447 |