-
» Herausragend «
Der Cyber Resilience Act (CRA) stellt einen Meilenstein des europäischen IT-Sicherheitsrechts dar. Mit ihm werden erstmals einheitliche Mindeststandards für die Cybersicherheit sämtlicher digitaler Produkte geschaffen – von vernetzten Spielzeugen bis hin zu industrieller Software. Ziel ist es, IT-Sicherheit über den gesamten Lebenszyklus hinweg zu verankern und damit die bisherige regulatorische Lücke im Binnenmarkt zu schließen. Die Analyse zeigt, wie der CRA mit anderen EU-Rechtsakten verzahnt ist, welche Spannungsfelder sich ergeben und welche Zukunftsfragen insbesondere mit Blick auf Post-Quantum-Kryptografie zu beachten sind.
Eine besonders enge Verbindung besteht zwischen dem CRA und der neuen Produkthaftungsrichtlinie (RL (EU) 2024/2853). Während der CRA präventive Pflichten für Hersteller formuliert – etwa die Umsetzung von „Security by Design“ und die Pflicht zu Sicherheitsupdates – regelt die Richtlinie die zivilrechtliche Haftung, wenn Produkte fehlerhaft sind.
Verstöße gegen die Cybersicherheitsanforderungen des CRA indizieren künftig unmittelbar einen Produktfehler. Ein IoT-Gerät mit voreingestellten Standardpasswörtern gilt demnach nicht nur als unsicher, sondern als haftungsbegründend fehlerhaft. Hersteller haften verschuldensunabhängig auf Schadensersatz. Auch Versäumnisse bei Updates begründen künftig eine Haftung, da die Richtlinie die frühere Möglichkeit ausschließt, sich auf den „Entwicklungsrisiko-Einwand“ zu berufen. Damit wird eine zentrale Lücke des bisherigen Rechts geschlossen: Auch nach der Markteinführung bleibt der Hersteller für die fortlaufende Sicherheit verantwortlich.
Zwar bleibt dem Nutzer eine Mitwirkungspflicht, indem er bereitgestellte Updates installieren muss. Doch wird ein böswilliger Angriff nicht als „höhere Gewalt“ gewertet, solange die Unsicherheit auf einem Produktmangel beruht. Das neue Zusammenspiel von CRA und Produkthaftungsrecht schafft damit ein ausgewogenes Gefüge, das Hersteller in die Pflicht nimmt, zugleich aber Verbraucherschutz und Rechtssicherheit stärkt. Ergänzend schützt der Rechtsrahmen Open-Source-Entwickler und Kleinstunternehmen, indem er sie weitgehend von übermäßigen Haftungs- und Compliancepflichten ausnimmt.
Neben der Produkthaftung spielt die NIS-2-Richtlinie (RL (EU) 2022/2555) eine zentrale Rolle. Während NIS-2 die Sicherheit kritischer Dienste adressiert, zielt der CRA auf die Produkte selbst. Beide Instrumente ergänzen sich: NIS-2 verpflichtet Betreiber kritischer Infrastrukturen, angemessene Schutzmaßnahmen umzusetzen, während der CRA sicherstellt, dass die eingesetzten Produkte bereits mit einem Mindestmaß an Sicherheit entwickelt wurden.
Darüber hinaus besteht eine Schnittstelle zur EU-Cybersicherheitsverordnung (VO (EU) 2019/881), die freiwillige Zertifizierungsschemata etabliert hat. Der CRA baut darauf auf, indem er Mindeststandards verbindlich macht und die Nutzung bestehender Zertifizierungen als Nachweis zulässt. Perspektivisch ist eine engere Verzahnung denkbar: Zertifizierte Produkte könnten zugleich als CRA-konform gelten.
Sektorale Vorschriften, etwa für Medizinprodukte, Fahrzeuge oder die Luftfahrt, gehen dem CRA vor. Hier soll Doppelregulierung vermieden werden. Der CRA wirkt somit primär als „Auffangregelung“ für Produkte ohne spezifische Cybersicherheitsvorgaben – insbesondere im IoT-Bereich. Im Zusammenspiel mit DSA und KI-Verordnung entsteht ein kohärenter Rechtsrahmen, der die unterschiedlichen Aspekte der Digitalisierung systematisch abdeckt.
Mit dem CRA will die EU die Resilienz digitaler Produkte steigern, gleichzeitig jedoch Innovation nicht ersticken. Der Gesetzgeber hat daher versucht, Pflichten verhältnismäßig auszugestalten. Besonders Kleinstunternehmen und nicht-kommerzielle Open-Source-Projekte werden entlastet. Für sie gelten längere Übergangsfristen, teilweise auch Ausnahmen.
Gleichzeitig sind die Anforderungen für professionelle Hersteller hoch. Sie müssen Sicherheitsexperten einstellen, Entwicklungsprozesse neu ausrichten, umfangreiche Risikoanalysen vorlegen und Schwachstellenmanagement betreiben. Prognosen zufolge werden die Umstellungskosten für globale Technologiekonzerne Milliardenbeträge erreichen. Gerade für Start-ups und KMU könnten die Compliance-Anforderungen eine erhebliche Belastung darstellen.
Dennoch liegt im CRA auch eine Chance. Indem er einheitliche Standards setzt, schützt er Unternehmen, die in Sicherheit investieren, vor Billiganbietern, die bislang durch Verzicht auf Schutzmaßnahmen Wettbewerbsvorteile erzielen konnten. So entsteht ein fairerer Markt, in dem Sicherheit als Qualitätsmerkmal gilt.
Ein Ausblick zeigt, dass der CRA kein statisches Regelwerk bleiben kann. Technologische Entwicklungen wie Quantencomputer bedrohen bestehende Verschlüsselungsverfahren. Heute als sicher geltende Algorithmen könnten in naher Zukunft obsolet sein. Der CRA schreibt keine konkreten Kryptoverfahren vor, verlangt jedoch stets „State-of-the-Art“-Sicherheit.
Sobald quantensichere Verfahren allgemein anerkannt sind, werden Hersteller verpflichtet sein, diese einzusetzen, um CRA-konform zu bleiben. Besonders betroffen sind langlebige Produkte, die über Jahrzehnte im Einsatz sind – etwa industrielle Steuerungssysteme. Hier wird sich zeigen, ob die EU durch harmonisierte Normen oder delegierte Rechtsakte nachsteuern muss.
Darüber hinaus rücken weitere Zukunftsthemen in den Fokus: die Absicherung von KI-Systemen, die Bekämpfung von IoT-Botnetzen und Cloud-Angriffen. Der CRA ist bewusst prinzipienorientiert ausgestaltet, sodass er auch künftige Gefahren adressieren kann. Gleichwohl hängt seine Wirksamkeit entscheidend von der praktischen Umsetzung ab: von der Standardisierung, der Ressourcenausstattung der Marktaufsicht und der Bereitschaft der Industrie, Cybersicherheit als gemeinsame Verantwortung zu akzeptieren.