Cyber Resilience Act: Neue Härte für digitale Produkte in der EU

Der Cyber Resilience Act (CRA) tritt in seine entscheidende Phase – und bringt Hersteller von Hard- und Software unter massiven Zeitdruck. Ab September 2026 gelten scharfe Meldepflichten für Sicherheitsvorfälle. Wer nicht rechtzeitig umstellt, riskiert Millionenstrafen.

Die Verordnung, die Ende 2024 in Kraft trat, schafft erstmals einen einheitlichen Rechtsrahmen für Cybersicherheit bei allen Produkten mit digitalen Komponenten im EU-Binnenmarkt. Branchenbeobachter warnen: Die Mehrheit der Unternehmen ist auf die neuen Anforderungen nicht vorbereitet.

Da der CRA eng mit anderen EU-Vorgaben wie dem AI Act verknüpft ist, müssen Unternehmen jetzt ihre gesamte regulatorische Strategie anpassen. Dieser kompakte Leitfaden hilft Ihnen, Fristen und Risikoklassen der neuen Verordnung sicher zu navigieren. EU AI Act in 5 Schritten verstehen

Stufenweise Einführung: Fristen, die unter Druck setzen

Die vollständige Anwendung des CRA ist für den 11. Dezember 2027 vorgesehen. Doch mehrere Zwischentermine kommen deutlich früher. Bis zum 11. Juni 2026 muss die EU die offiziellen Stellen für Konformitätsbewertungen benennen. Das ist entscheidend für Hersteller von „wichtigen" und „kritischen" Produktklassen, die eine Zertifizierung durch Dritte benötigen.

Noch relevanter: Die Meldepflichten nach Artikel 14 greifen bereits am 11. September 2026. Hersteller müssen dann jede aktiv ausgenutzte Sicherheitslücke oder schwerwiegende Vorfälle der EU-Agentur für Cybersicherheit (ENISA) und dem zuständigen CSIRT melden. Die Fristen sind extrem knapp:

• 24 Stunden: Erste „Frühwarnung" nach Bekanntwerden
• 72 Stunden: Detaillierter Bericht
• 14 Tage: Abschlussbericht nach Behebung

Aktuelle Daten aus April 2026 zeigen eine alarmierende Lücke: Schätzungen zufolge haben 84 Prozent der Unternehmen die Compliance-Anforderungen noch nicht erfüllt. Die Strafen sind drastisch: Bußgelder bis zu 15 Millionen Euro oder 2,5 Prozent des globalen Jahresumsatzes – je nachdem, welcher Betrag höher ist.

Neue Sicherheitsstandards: Wer was beachten muss

Der CRA führt ein risikobasiertes Klassifizierungssystem ein. Die meisten Produkte fallen in die Kategorie „Standard" und können eine Selbsteinschätzung durchführen. Anders sieht es bei sicherheitskritischen Produkten aus:

• Wichtig Klasse I und II: Erhöhte Anforderungen
• Kritisch: Höchste europäische Cybersicherheitszertifizierung nötig

Besonders Klasse-II-Produkte wie bestimmte Netzwerkschnittstellen oder sicherheitskritische Software müssen durch unabhängige Dritte geprüft werden. Zentral ist das Prinzip „Security by Design": Hersteller müssen künftig eine Software-Stückliste (SBOM) vorlegen, die alle Komponenten und Abhängigkeiten dokumentiert. Das ermöglicht schnelle Reaktionen bei Sicherheitslücken in Drittanbieter-Bibliotheken.

Hinzu kommt eine fünfjährige Mindest-Support-Pflicht: Hersteller müssen kostenlose Sicherheitsupdates bereitstellen. Das stellt besonders Branchen mit langen Produktlebenszyklen vor Herausforderungen – etwa die Nutzfahrzeugindustrie. Für Juli 2026 sind spezielle Webinare geplant, die sich mit diesen Fragen befassen.

Globale Spannungen: Handelskonflikte drohen

Die extraterritoriale Wirkung der EU-Regulierung sorgt international für Diskussionen. Die chinesische Mission bei der EU hat Bedenken geäußert und vor Vergeltungsmaßnahmen gewarnt. Kritisiert werden „nicht-technische Risikofaktoren" und die Einstufung „hochriskanter Lieferanten" – aus chinesischer Sicht politische Instrumente, um bestimmte Anbieter vom Markt auszuschließen.

Hintergrund ist die „De-Risking"-Strategie der EU-Kommission. Berichte aus Anfang 2026 beziffern den Wert risikobehafteter Ausrüstung in europäischen Mobilfunknetzen auf rund 18,5 Milliarden Euro. Die jährlichen Ersatzkosten bis 2027 werden auf 3,4 bis 4,3 Milliarden Euro geschätzt. Trotz der Spannungen wuchs der EU-China-Handel im ersten Quartal 2026 um 17,6 Prozent.

Auch andere Länder ziehen nach. Das Canadian Centre for Cyber Security hat das CIREN-Programm gestartet – ein Zertifizierungsangebot für Betreiber kritischer Infrastrukturen in Energie, Finanzen und Gesundheitswesen.

Eingebettet in ein Netz neuer Regeln

Der CRA ist nur ein Teil eines komplexen Regelwerks, zu dem auch die NIS2-Richtlinie, der AI Act und die DSGVO gehören. In Deutschland hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) darauf hingewiesen, dass die Registrierungsfrist für NIS2-Organisationen am 6. März 2026 abgelaufen ist. Die Zahl der regulierten Einrichtungen stieg von rund 4.500 auf fast 29.500.

Parallel dazu melden Datenschutzbehörden steigende Aktivität. In Nordrhein-Westfalen stiegen die Beschwerden 2025 um 67 Prozent auf über 12.000 Fälle. Die Landesdatenschutzbeauftragte Bettina Gayk warnte vor „ungezügelter Datennutzung" und kritisierte unzureichende KI-Regeln in Sicherheitsgesetzen.

Der Europäische Datenschutzbeauftragte (EDPS) legte Anfang Mai 2026 eine neue Strategie zur Überwachung von KI in EU-Institutionen vor. Das wird brisant, denn bis zum 2. August 2026 müssen Hochrisiko-KI-Systeme – etwa in Personalwesen, Finanzen und Versicherungen – strenge Transparenz- und Kontrollauflagen erfüllen.

Daten als Wettbewerbsvorteil

Viele Unternehmen sehen die Flut neuer Regeln als bürokratische Last. Doch die Harvard Business Review argumentiert in ihrer aktuellen Ausgabe (Mai/Juni 2026), dass Datenschutz zum Wettbewerbsvorteil werden kann. Unternehmen mit nachweislich hoher Resilienz und Transparenz könnten bei Kunden und Partnern punkten.

Die finanziellen Risiken sind real: Seit Einführung der DSGVO 2018 wurden über 2.500 Bußgelder in Höhe von mehr als 7 Milliarden Euro verhängt. Allein 2025 waren es rund 1,2 Milliarden Euro. Zwar wurden einige Strafen angefochten – so eine 746-Millionen-Strafe gegen einen großen Einzelhändler, die im März 2026 aufgehoben wurde. Der Trend zeigt aber klar in Richtung härterer Durchsetzung. Irland bleibt mit 57 Prozent aller verhängten Strafen der aktivste Standort.

Angesichts der Milliardenbußgelder im Bereich der DSGVO ist eine lückenlose Dokumentation für Unternehmen heute überlebenswichtig. Diese praxiserprobte Vorlage unterstützt Sie dabei, Ihr Verarbeitungsverzeichnis rechtssicher und mit minimalem Aufwand zu führen. Kostenloses Muster-Verarbeitungsverzeichnis jetzt sichern

Ausblick: 2026 wird zum Jahr der Entscheidung

Für den Rest des Jahres 2026 steht der technische Übergang zur Pflichtmeldung im Fokus. Die für den 8. Juni 2026 angesetzte hochrangige Debatte soll Klarheit bringen, wie die EU Sicherheitsanforderungen mit industrieller Wettbewerbsfähigkeit verbinden will.

Für Hersteller ist die September-Frist der entscheidende Termin. Interne Prozesse für Schwachstellenmeldung und Vorfallmanagement sind kein „Nice-to-have" mehr, sondern rechtliche Voraussetzung für den Marktzugang. Mit dem ebenfalls im Sommer 2026 wirksam werdenden AI Act endet die Ära unregulierter digitaler Produkte in der EU endgültig. Unternehmen, die diese Anforderungen nicht in ihre Kernprozesse integrieren, riskieren nicht nur hohe Strafen – sondern den Ausschluss vom größten Binnenmarkt der Welt.

de | wirtschaft | 69274759 |