Cyber Resilience Act: EU verschärft Sicherheitspflichten für Hersteller

Die neue EU-Verordnung stellt die Industrie vor immense Herausforderungen.

Meldefristen: 24 Stunden für die Erstmeldung

Die erste große Hürde kommt am 11. September 2026. Dann werden die Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle verbindlich. Betroffen sind nicht nur neue Produkte, sondern auch bereits auf dem Markt befindliche Geräte – solange sie noch unterstützt werden.

Da die neuen EU-Regulierungen wie der Cyber Resilience Act die rechtlichen Anforderungen massiv verschärfen, müssen Betriebe ihre Sicherheitsstrategie grundlegend überdenken. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Neue KI-Gesetze und Cyberrisiken: Kostenlosen Report anfordern

Der Meldeweg ist streng getaktet: Innerhalb von 24 Stunden nach Bekanntwerden einer Sicherheitslücke muss eine Frühwarnung bei den Behörden eingehen. Nach 72 Stunden folgt eine detaillierte Analyse des Vorfalls. Und spätestens 14 Tage nach Bereitstellung eines Sicherheitspatches ist ein Abschlussbericht fällig.

Die EU-Agentur für Cybersicherheit (ENISA) arbeitet dafür an einer zentralen Meldeplattform. Sie soll Herstellern ermöglichen, ihre Meldungen nur einmal einzureichen – die Plattform leitet sie dann automatisch an die zuständigen nationalen Behörden weiter. Ein Testlauf für dieses System soll noch vor dem Herbst starten.

Zertifizierung: Drittparteien-Prüfung für kritische Produkte

Bereits am 11. Juni 2026 tritt ein weiterer Meilenstein in Kraft: Dann müssen unabhängige Prüflabore („Notified Bodies“) benannt werden, die künftig Produkte aus den Kategorien „kritisch“ und „hochkritisch“ zertifizieren. Dazu zählen etwa industrielle Steuerungssysteme oder Smart-Meter-Gateways.

Zwar werden rund 90 Prozent aller vernetzten Produkte voraussichtlich unter die Selbstbewertung fallen. Doch wer Hochrisikogeräte auf den Markt bringen will, braucht künftig ein externes Prüfsiegel. Branchenkenner warnen bereits vor Engpässen in der Zertifizierung, wenn die vollständigen Anforderungen 2027 in Kraft treten.

Parallel arbeiten die europäischen Normungsorganisationen CEN und CENELEC an harmonisierten Standards. Mehrere Kernnormen – etwa zur allgemeinen Cyber-Resilienz und zum Umgang mit Schwachstellen – sollen bis Ende August 2026 fertig sein.

Strafen: Bis zu 15 Millionen Euro Bußgeld

Die finanziellen Risiken bei Verstößen sind enorm. Nationale Marktüberwachungsbehörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten weitreichende Befugnisse. Bei schwerwiegenden Verstößen drohen Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.

Weniger schwerwiegende Verstöße können mit bis zu 10 Millionen Euro oder 2 Prozent des Umsatzes geahndet werden. Falsche Angaben gegenüber Behörden kosten bis zu 5 Millionen Euro oder 1 Prozent des Umsatzes. Darüber hinaus können Aufsichtsbehörden die Rückruf nicht konformer Produkte aus dem gesamten EU-Markt anordnen.

Angesichts drohender Bußgelder in Millionenhöhe wird ein proaktiver Schutz vor digitalen Angriffen für die Geschäftsführung zur Pflicht. Ein Gratis-E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. IT-Sicherheit ohne teure Investitionen: Gratis-E-Book herunterladen

Die Verordnung führt zudem eine Kaskadenhaftung ein: Hersteller haften für die Sicherheit aller verbauten Komponenten – einschließlich Drittanbieter-Hardware und Open-Source-Bibliotheken. Das hat zur Anerkennung des „Open-Source-Stewards“ als eigenständige wirtschaftliche Einheit geführt, der für die Basissicherheit weit verbreiteter Community-Codes sorgen soll.

Strategische Bedeutung: Vom Freiwilligkeitsprinzip zur Rechtspflicht

Der Cyber Resilience Act markiert einen Paradigmenwechsel: Aus einer freiwilligen Sicherheitskultur wird ein gesetzlich verpflichtender „Secure-by-Design“-Ansatz. Compliance ist nicht länger interne Politik, sondern Voraussetzung für den Marktzugang im digitalen Binnenmarkt.

Viele Unternehmen haben bereits mit der Implementierung von Software-Stücklisten (SBOM) begonnen. Diese Inventare sind entscheidend, um Schwachstellen in den komplexen Lieferketten moderner Digitalprodukte zu identifizieren.

Die Überschneidungen mit anderen EU-Regularien wie der NIS2-Richtlinie machen die Lage nicht einfacher. Während NIS2 auf die Resilienz von Unternehmen abzielt, richtet sich der CRA direkt auf die Produkte. Dieser zweistufige Ansatz soll Sicherheitslücken schließen, die Angreifern bislang erlaubten, über ungepatchte Geräte in Netzwerke einzudringen.

Ausblick: Der Stresstest kommt im September

Für die zweite Jahreshälfte 2026 steht die Stabilität der Meldeinfrastruktur im Fokus. Hersteller sollten ihre Produktportfolios analysieren und interdisziplinäre Teams für das 24-Stunden-Meldeverfahren aufbauen.

Die erfolgreiche Umsetzung der Meldepflichten im September wird zum Lackmustest für die gesamte Verordnung. Funktioniert das System wie geplant, erhält die EU eine beispiellose Transparenz über die Bedrohungslage. Bis Dezember 2027, wenn die vollständigen Anforderungen für CE-Kennzeichnung und Lebenszyklus-Management in Kraft treten, will die EU den weltweit strengsten Cybersicherheitsmarkt für vernetzte Produkte etabliert haben.

de | wirtschaft | 69266396 |