Mit dem Cyber Resilience Act (CRA) schafft die Europäische Union erstmals einheitliche und verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen. Betroffen sind unter anderem vernetzte Maschinen und Anlagen, industrielle Software, IoT-Geräte sowie eingebettete Systeme und Steuerungen.
Für viele Unternehmen bedeutet das einen grundlegenden Wandel: Cybersicherheit wird künftig nicht mehr ausschließlich Aufgabe der IT sein, sondern fester Bestandteil der Produktverantwortung. Hersteller müssen künftig nachweisen können, dass ihre Produkte während ihres gesamten Lebenszyklus sicher entwickelt, betrieben und gepflegt werden.
Was ist der Cyber Resilience Act?
Der Cyber Resilience Act ist eine EU-Verordnung, die Hersteller verpflichtet, die Cybersicherheit ihrer Produkte über den gesamten Produktlebenszyklus hinweg sicherzustellen. Ziel ist es, Sicherheitsrisiken systematisch zu reduzieren und ein einheitliches Sicherheitsniveau innerhalb der Europäischen Union zu schaffen.
Als EU-Verordnung gilt der CRA unmittelbar in allen Mitgliedstaaten und wird schrittweise verbindlich.
Warum Unternehmen schon heute aktiv werden sollten
Der Cyber Resilience Act ist bereits in Kraft. Die einzelnen Verpflichtungen treten jedoch stufenweise in Kraft:
- ab September 2026: erste Meldepflichten gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI)
- ab Dezember 2027: verbindliche Umsetzung der wesentlichen Sicherheitsanforderungen für Produkte
Auch wenn diese Fristen zunächst noch weit entfernt erscheinen, besteht bereits heute Handlungsbedarf. Anpassungen in der Produktentwicklung, Dokumentation, im Schwachstellenmanagement sowie in den zugrunde liegenden Datenstrukturen lassen sich meist nicht kurzfristig umsetzen.
Gerade mittelständische Unternehmen sollten die verbleibende Zeit nutzen, um ihre Prozesse frühzeitig auf die neuen Anforderungen auszurichten.
Welche Anforderungen kommen auf Unternehmen zu?
Der CRA verlangt unter anderem:
- Security by Design
Cybersicherheit muss bereits bei der Entwicklung neuer Produkte berücksichtigt werden. - Sichere Entwicklungsprozesse
Der gesamte Entwicklungsprozess muss nachweisbar sicherheitsorientiert gestaltet und dokumentiert werden (Secure Development Lifecycle). - Dokumentiertes Risikomanagement
Für jedes Produkt ist eine Cybersicherheits-Risikobeurteilung zu erstellen und nachvollziehbar zu dokumentieren. - Schwachstellenmanagement
Sicherheitslücken müssen systematisch erkannt, bewertet, dokumentiert und behoben werden. - Sichere Updates
Produkte müssen sicher aktualisiert werden können und während ihres Lebenszyklus mit Sicherheitsupdates versorgt werden. - Nachvollziehbare Dokumentation
Sicherheitsmaßnahmen sowie Änderungen müssen vollständig dokumentiert und auditierbar sein. - Transparente Nutzerinformationen
Anwender müssen verständlich über Sicherheitsfunktionen, Update-Versorgung und eine sichere Konfiguration informiert werden. - Verantwortung über den gesamten Produktlebenszyklus
Die Verantwortung der Hersteller endet nicht mit dem Inverkehrbringen eines Produkts, sondern besteht über dessen gesamten Lebenszyklus fort. - CE-Kennzeichnung
Produkte dürfen künftig nur dann in Verkehr gebracht werden, wenn sie die Anforderungen des CRA erfüllen und die erforderliche Konformitätsbewertung erfolgreich durchlaufen haben.
Der Cyber Resilience Act verändert damit die Anforderungen an Produktentwicklung, technische Dokumentation und Datenmanagement grundlegend.
Wo Unternehmen heute häufig an ihre Grenzen stoßen

In vielen Unternehmen sind Informationen zu Produkten, Softwareständen oder Sicherheitsmaßnahmen über verschiedene Abteilungen, Systeme oder Dokumente verteilt. Dadurch wird es schwierig, die geforderte Nachvollziehbarkeit sicherzustellen.
Typische Herausforderungen sind:
- fehlende Transparenz über Versionen und Änderungen
- manuelle und fehleranfällige Prozesse
- unstrukturierte Dokumentation
- fehlende Nachvollziehbarkeit sicherheitsrelevanter Informationen
Insbesondere mittelständische Unternehmen stehen deshalb vor der Aufgabe, ihre Prozesse und Datenstrukturen neu zu organisieren.
CRA, NIS-2 und Digitaler Produktpass: Die Anforderungen greifen ineinander
Der Cyber Resilience Act ist Teil eines umfassenden regulatorischen Wandels.
Während die NIS-2-Richtlinie zahlreiche Unternehmen aus kritischen und wichtigen Sektoren zu höheren Cybersicherheitsstandards verpflichtet, richtet sich der CRA gezielt an Hersteller von Produkten mit digitalen Elementen. Gleichzeitig gewinnt mit dem Digitalen Produktpass die strukturierte Bereitstellung von Produktinformationen zunehmend an Bedeutung.
Die gemeinsame Richtung ist eindeutig: Unternehmen benötigen künftig belastbare, strukturierte und langfristig verfügbare Informationen über ihre Produkte, Prozesse und Sicherheitsmaßnahmen.
Fazit
Der Cyber Resilience Act ist weit mehr als eine neue regulatorische Verpflichtung. Er wird zum Treiber für ein professionelleres Produkt-, Daten- und Sicherheitsmanagement.
Unternehmen, die sich frühzeitig vorbereiten, schaffen nicht nur die Grundlage für Compliance, sondern profitieren zugleich von:
- effizienteren Prozessen
- höherer Transparenz
- besserer Datenqualität
- geringeren Risiken
- einer nachhaltig höheren Zukunftsfähigkeit
Gerade für mittelständische Unternehmen empfiehlt sich deshalb ein frühzeitiger Einstieg, um Zeitdruck, unnötige Mehrkosten und aufwendige Nachbesserungen zu vermeiden.
- © Canva – Cyber_Resilience_Act.png
- © Canva – Cyber_Resilience.png