Cyber Resilience Act: Registrierungsfrist endet am 31. Juli
Veröffentlicht: 09.07.2026 um 15:47 Uhr, Redaktion boerse-global.de
Der Cyber Resilience Act (CRA) zwingt Hersteller digitaler Produkte zu einem grundlegenden Umdenken – und das zu knappen Fristen.
Security by Design wird Pflicht
Seit Ende 2024 ist der Cyber Resilience Act in Kraft. Besonders der Maschinenbau und Hersteller vernetzter Geräte müssen jetzt handeln. Die Kernforderung: „Security by Design". Cybersicherheit muss bereits in der Entwicklungsphase beginnen. Hersteller sind verpflichtet, regelmäßige Sicherheitsupdates bereitzustellen und Schwachstellen proaktiv zu managen.
Die Auswirkungen gehen weit über die Technik hinaus. Cybersicherheit wird für den Mittelstand zunehmend zum Finanzierungsfaktor. Banken und Versicherer prüfen verstärkt, ob Unternehmen die regulatorischen Anforderungen erfüllen. Das minimiert operative Risiken – oder macht Kredite teurer.
Gestaffelte Fristen und hohe Bußgelder
Der Zeitplan ist eng. Erste Meldepflichten für Hersteller greifen am 11. September 2026. Die volle Anwendbarkeit aller Bestimmungen folgt am 11. Dezember 2027. Die Strafen bei Verstößen sind empfindlich: Bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Wert höher ist.
Parallel läuft eine weitere Frist: Bis zum 31. Juli 2026 müssen sich betroffene Unternehmen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Ende Mai hatten sich erst rund 18.500 von erwarteten 29.500 Firmen gemeldet. Rund 11.000 Betrieben drohen Bußgelder von bis zu 500.000 Euro, wenn sie die Frist versäumen.
Die neuen EU-Regularien stellen Unternehmen vor komplexe Herausforderungen bei der rechtssicheren Dokumentation ihrer digitalen Prozesse. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Kostenlosen Cyber-Security-Report jetzt herunterladen
NIS2 und CRA: Zwei Regelwerke, eine Pflicht
Unternehmen müssen die Unterschiede verstehen. NIS2 adressiert die Sicherheit der Organisation und ihrer IT-Infrastruktur. Der CRA konzentriert sich auf die Sicherheit der Produkte selbst. Wer die NIS2-Vorgaben erfüllt, ist noch lange nicht CRA-konform.
Erste Dienstleister reagieren bereits. Sie veröffentlichen Leitfäden und bieten Trainings an – speziell für Ingenieure und technische Führungskräfte. Themen sind Produktklassifikation, Konformitätsbewertung und die nötige technische Dokumentation.
Umsetzung hinkt hinterher
Die Realität sieht anders aus. Laut aktuellen Erhebungen von G DATA, Statista und brand eins verfügen zwar 97 Prozent der deutschen Unternehmen über einen Notfallplan für Cyberangriffe. Doch die technische Umsetzung klafft auseinander.
Während die gesetzlichen Anforderungen steigen, hinkt die praktische Absicherung in vielen Betrieben noch hinterher. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Jetzt IT-Sicherheits-Checkliste kostenlos sichern
Nur rund 51 Prozent der Firmen setzen technische Maßnahmen zur aktiven Eindämmung von Vorfällen ein. Weniger als die Hälfte führt regelmäßige Schulungen oder Krisenübungen durch. Besonders kritisch: die Lieferkettensicherheit. Automatisierte Vertragsanalysen zeigen häufig Lücken bei Klauseln zur Incident-Meldung oder zu Audit-Rechten. Unter den neuen Regeln sind diese aber zwingend erforderlich.
Der europäische IoT-Markt soll bis 2030 auf über 164 Milliarden USD wachsen. Die neuen Sicherheitsstandards entscheiden damit massiv über die Wettbewerbsfähigkeit der europäischen Industrie. Wer jetzt nicht handelt, riskiert nicht nur Strafen – sondern den Anschluss.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
