Grüner Kreis mit Haken ITmachen.de
Ein Richterhammer vor einer Europaflagge.

Cyber Resilience Act: Erste Pflichten für digitale Produkte ab September

Seit 2024 ist der EU Cyber Resilience Act in Kraft. Ab September 2026 gelten die ersten Meldepflichten für Hersteller und Importeure.

4. Mai 2026

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Hilfeseite zusammengestellt, um die wichtigsten Fragen zu beantworten. Diese Hilfeseite finden Sie hier.

Cyber Resilience Act (CRA)

Der EU Cyber Resilience Act ist eine neue EU-weite Vorgabe für digitale, vernetzte Produkte zum Schutz vor Sicherheitslücken und großflächigen Cyberangriffen.

Betroffen sind alle Produkte (Hardware und Software), die nach 2027 neu auf den Markt kommen und digital vernetzt werden können. Praktisch werden davon nahezu alle digitalen Produkte betroffen sein.

Produkte die nicht konform zu den neuen Standards sind, dürfen nach 2027 nicht mehr neu in der EU vertrieben werden.

Pflichten

Hersteller von digitalen Produkten müssen zukünftig umfangreiche Pflichten zur Sicherstellung einer hohen Cybersicherheit ihrer Produkte erfüllen. Darunter fallen z. B. folgende Punkte:

  • Durchführung einer Risikobewertung (Standard, Wichtig Klasse 1 & 2, Kritisch).
  • Erstellen einer technischen Sicherheitsdokumentation.
  • Produkte müssen standardmäßig sicher voreingestellt sein (Secure by default).
  • Bereitstellung von Sicherheitsupdates über einen längeren Zeitraum (mind. 5 Jahre).
  • Meldung von Sicherheitslücken und Vorfällen.

Bei Herstellern außerhalb der EU ist der Importeur in der Pflicht, die Konformität der Produkte zu überprüfen und sicherzustellen.

Bei Verstoß gegen die Vorgaben drohen hohe Bußgelder von bis zu 15 Millionen Euro oder 2,5 % des Jahresumsatzes.

Meldepflichten ab September

Ab dem 11.09.2026 gelten Meldepflichten für digitale Produkte. Sicherheitslücken und Sicherheitsvorfälle müssen innerhalb einer kurzen Zeitspanne umfangreich gemeldet werden. Es gelten folgende Zeitspannen:

  • 24 Stunden nach Kenntnis muss eine erste Meldung erfolgen.
  • 72 Stunden nach Kenntnis muss eine detaillierte Meldung erfolgen.
  • 14 Tage nach Kenntnis muss ein umfangreicher Bericht inkl. Gegenmaßnahmen eingereicht werden (Verlängerung auf 1 Monat bei besonders schweren Fällen).

Die European Network and Information Security Agency (ENISA) wird bis zur Frist im September eine europaweite, zentrale Meldeplattform aufgebaut und veröffentlicht haben.

Empfehlungen

  • Prüfen Sie, ob Sie digitale Produkte herstellen, importieren oder vertreiben.
  • Stellen Sie sicher, dass Sie ab September 2026 relevante Sicherheitsvorfälle fristgerecht bei der ENISA melden.
  • Stellen Sie sicher, dass alle Ihre Produkte ab Ende 2027 konform zu den CRA-Anforderungen sind.
  • Fangen Sie frühzeitig mit der Umsetzung der Maßnahmen an (am besten ab sofort).