Sind Sie bereit für die Vorschriften des CRA?

Ende 2024 hat die Europäische Union (EU) ein neues Gesetz in Kraft gesetzt. Der sogenannte Cyber Resilience Act (CRA) soll „Verbraucher und Unternehmen schützen, die Software oder Hardware mit digitalen Elementen erwerben“.¹

Zu den zentralen Zielen des CRA gehört es, die aus Sicht der EU unzureichenden Cybersicherheitsstandards bestimmter Produkte anzuheben. Auch das Problem verspäteter oder fehlender Sicherheitsupdates soll angegangen werden. Entscheidend ist, dass mit dem CRA anerkannt wird, dass es für Verbraucher und auch für viele Unternehmen schwierig ist zu beurteilen, ob ein Produkt ihren Anforderungen an Cybersicherheit tatsächlich genügt.

Die neuen Regeln sollen es Endnutzern und -nutzerinnen erleichtern, Hardware und Software zu finden und einzusetzen, die über angemessene Sicherheitsfunktionen verfügen. Anders gesagt: Produkte sollen als „cyberresilient“ erkennbar werden. Ziel ist ein höheres Niveau an Cybersicherheit in der gesamten EU und im digitalen Binnenmarkt, einschließlich der Sicherheit von Cloud-Infrastrukturen.

Für Endnutzerinnen und Endutzer klingt das zunächst positiv. Für Unternehmen, die Produkte herstellen, importieren oder vertreiben, die unter den CRA fallen, bringt die Verordnung jedoch erhebliche Herausforderungen mit sich. Ab dem 11. September 2026 müssen betroffene Organisationen mit dem Reporting beginnen. Spätestens zum 11. Dezember 2027 müssen sämtliche Vorgaben erfüllt sein.

Wer die Regeln nicht einhält, riskiert Verwarnungen oder finanzielle Sanktionen. Im schlimmsten Fall wird die CE-Kennzeichnung verweigert. Ohne dieses Zeichen dürfen bestimmte Produktkategorien in der EU nicht verkauft werden. Fehlt die Zertifizierung, kann das die Geschäftstätigkeit eines Unternehmens erheblich beeinträchtigen. Auch wenn das Jahresende 2027 noch weit entfernt scheint: Ohne rechtzeitige Vorbereitung vergeht die Zeit schnell.

Wer ist betroffen?

Die Vorschriften richten sich nicht nur an Hersteller. Auch Unternehmen, die entsprechende Produkte in die EU importieren oder innerhalb der EU vertreiben, unterliegen dem CRA. Darüber hinaus beschränkt sich die Verordnung nicht auf Hardware und Software. Auch Datenverarbeitungslösungen, die für deren Funktion erforderlich sind, fallen darunter. Ebenso umfasst der Geltungsbereich Produkte mit Cloud-Anbindung.

Es gibt allerdings auch Ausnahmen: Produkte in Bereichen, die bereits mit besonders ausgereiften Cybersicherheitsvorgaben reguliert sind, sind ausgenommen. Dazu zählen etwa Verteidigung und nationale Sicherheit, die Luftfahrt sowie die Automobilindustrie. Die Begründung: Die dort geltenden Anforderungen erfüllen die Standards des CRA ohnehin.

Für alle anderen gilt die Verordnung. Betrifft sie ein Unternehmen und seine Produkte, besteht eine klare Pflicht zur Umsetzung.

Knowledge is key to compliance

Für Unternehmen und Organisationen in vom CRA erfassten Bereichen ist Wissen der entscheidende erste Schritt. „Unternehmen müssen zunächst feststellen, wo sie auf ihrem Weg stehen“, sagt Rodrigo do Carmo, Principal Consultant bei secunet. „Sie müssen ihre eigenen Produkte genau kennen und verstehen, in welchem Umfang sie von der Regulierung betroffen sind. Erst dann können sie beginnen, die notwendigen Maßnahmen für die Compliance zu planen.“

Wichtig ist: Die Verordnung bezieht sich auf jedes einzelne Produkt, nicht auf eine gesamte Produktfamilie. Jedes eigenständige Produkt, das ein Unternehmen herstellt, importiert, vertreibt, transportiert oder verkauft, muss die Anforderungen erfüllen. Deshalb ist es hilfreich, die vom CRA definierten Produktkategorien und die jeweils erforderlichen Zertifizierungs- und Nachweisverfahren genau zu kennen.

Die eigene Ausgangslage kennen

Die Vorgaben des CRA betreffen Hardware, Software und Komponenten mit Cloud-Anbindung. Innerhalb dieses Rahmens unterscheidet die EU drei Kategorien, die sich nach Umfang der Nachweis- und Zertifizierungspflichten unterscheiden. Die zuständigen Zertifizierungsstellen und deren Länder hat die EU entsprechend festgelegt.

1. Die Basiskategorie umfasst grundsätzlich alle Produkte mit digitalen Komponenten.
2. Wichtige Produkte werden in zwei Klassen unterteilt: Klasse 1 umfasst sicherheitsrelevante Anwendungen wie Passwortmanager, Browser oder Systeme für Security Information and Event Management (SIEM). Klasse 2 betrifft sicherheitskritische Komponenten wie Firewalls, Systeme zur Erkennung und Abwehr von Eindringversuchen sowie Hypervisoren.
3. Kritische Produkte sind solche, bei denen Sicherheit als zentraler Bestandteil gilt. Dazu zählen etwa Smart-Meter-Gateways oder Smartcards.

Der Umfang der Konformitätsbewertung hängt von der jeweiligen Kategorie ab. Für Produkte der Basiskategorie kann unter Umständen eine Selbsteinschätzung ausreichen, um die CRA-Anforderungen zu erfüllen. Allerdings könne die zuständige Aufsichtsbehörde jederzeit zusätzliche Informationen anfordern oder überprüfen, ob ein Unternehmen seine Angaben tatsächlich einhält, sagt do Carmo. Für wichtige und kritische Produkte ist in der Regel ein formelles Zertifizierungsverfahren vorgesehen.

„Der CRA schreibt keine bestimmte Methode zur Bewertung von Cybersicherheitsrisiken vor“, erläutert do Carmo. „Unternehmen können eigene Verfahren entwickeln. Allerdings müssen sie die Vorgaben des CRA sehr sorgfältig auslegen und in allen Phasen ihrer Prozesse berücksichtigen, von der Entwicklung über die Herstellung bis hin zu Import und Logistik.“ Fehler können erhebliche Konsequenzen nach sich ziehen.

Vorbereitung auf den CRA

„Cybersicherheit muss zu einem strategischen Ziel des gesamten Unternehmens werden“, betont do Carmo. Eine rein technische Lösung für einzelne Produkte kann in bestimmten Kategorien und bei kleineren Unternehmen ausreichen. Größere Organisationen mit umfangreichen Produktportfolios müssen die Anforderungen des CRA jedoch deutlich umfassender verankern.

Dabei geht es nicht nur um die Produkte selbst. „Informationssicherheit umfasst auch Risiko- und Schwachstellenmanagement“, sagt do Carmo. „Diese Bereiche sind entscheidend für eine ganzheitliche Cybersicherheitsstrategie.“ Verfahren zum Umgang mit Angriffen, Sicherheitsverletzungen oder Systemausfällen werden künftig nicht mehr Ausnahmefälle sein, sondern zum Standard gehören. Ein Schwachstellenmanagement ist ausdrücklich Bestandteil der CRA-Vorgaben. Viele Organisationen sind darauf derzeit noch nicht ausreichend vorbereitet. Das muss sich ändern.

Auch hier gilt: Die eigene Ausgangslage zu kennen, ist entscheidend. „Eine Gap-Analyse ist der erste Schritt, um zu prüfen, wo ein Unternehmen mit Blick auf die CRA-Anforderungen tatsächlich steht. Werden Defizite identifiziert, lassen sich Risiken bewerten und konkrete Maßnahmen definieren“, erklärt do Carmo.

Orientierung im Regulierungsdschungel

Die relevanten Standards zu identifizieren, ist nur ein Teil der Herausforderung. Die Vielzahl an Vorschriften kann schnell unübersichtlich werden. Sie betreffen unterschiedlichste Bereiche, von IT-Systemen bis hin zu operativen Technologien.

Neben dem CRA müssen Unternehmen unter anderem die NIS2-Richtlinie (Network and Information Security Directive), die Funkanlagenrichtlinie RED (Radio Equipment Directive), die Datenschutz-Grundverordnung (DSGVO) sowie die neue Maschinenverordnung (MVO) berücksichtigen.

Bewährte Normen und Leitlinien können bei der Umsetzung helfen, etwa IEC 62443 oder ISO/IEC 27001. Dennoch gehört die Navigation durch diese komplexe Regulierungslandschaft nicht zwangsläufig zum Kerngeschäft vieler Unternehmen. Ein Partner mit umfassender Erfahrung in diesen Bereichen kann daher oft entscheidende Unterstützung bieten.

Zu den Unternehmen, die eine solche Rolle übernehmen können, zählt secunet. Mit 28 Jahren Erfahrung, mehr als 1.000 Mitarbeitenden an zwölf Standorten und über 500 Kunden aus dem öffentlichen und dem privaten Sektor, darunter Bundesministerien mehrerer EU-Mitgliedstaaten, verfügt das Unternehmen über umfangreiche Expertise. Diese reicht von Verteidigung und Raumfahrt bis hin zu Gesundheitswesen und kritischen Infrastrukturen. Damit ist secunet ein erfahrener Ansprechpartner für Unternehmen auf dem Weg zur CRA-Compliance.

Veröffentlicht: 19.03.2026