-
» Herausragend «
Die digitale Vernetzung von Alltagsgeräten, industriellen Systemen und Softwarelösungen schreitet rasant voran. Mit diesem Fortschritt wächst zugleich das Risiko von Cyberangriffen. Unsichere Hard- und Software können dabei nicht nur Verbraucher, sondern auch Unternehmen erheblich gefährden. Vor diesem Hintergrund hat die Europäische Union den Cyber Resilience Act (CRA) verabschiedet. Ab Dezember 2027 verpflichtet er Hersteller und Anbieter digitaler Produkte zur Einhaltung einheitlicher Cybersicherheitsstandards. Der Beitrag analysiert die zentralen Bestimmungen, ordnet sie in den unionsrechtlichen Kontext ein und zeigt praktische Wege zur Compliance-Vorbereitung.
Der CRA gilt für sämtliche „Produkte mit digitalen Elementen“. Erfasst sind also sowohl Hardware als auch Software, sobald diese eine Datenverarbeitung ermöglichen oder mit dem Internet verbunden sind. Dies reicht von Smart-TVs über IoT-Geräte bis hin zu Softwareanwendungen und Cloud-Diensten. Nur rein begleitende Dienstleistungen fallen nicht unter den CRA, können aber über die NIS-2-Richtlinie reguliert werden. Damit schafft der CRA erstmals ein umfassendes europäisches Rechtsinstrument, das praktisch den gesamten Markt vernetzter Produkte erfasst.
Zentrale Inhalte des CRA sind die verpflichtende Umsetzung von „Security by Design“, kontinuierliches Schwachstellenmanagement und die Einführung strukturierter Prozesse für Sicherheitsupdates. Hersteller müssen gewährleisten, dass Schwachstellen erkannt, dokumentiert und innerhalb von 14 Tagen behoben werden. Ergänzend sieht der CRA eine gestufte Meldepflicht vor: Bereits bei aktiven Schwachstellenausnutzungen oder sicherheitsrelevanten Vorfällen müssen die Hersteller innerhalb von 24 bis 72 Stunden Meldung erstatten. Ziel ist es, Behörden frühzeitig zu informieren und eine koordinierte Abwehr zu ermöglichen.
Zusätzlich verpflichtet der CRA die Hersteller, Nutzer über bekannte Schwachstellen und verfügbare Gegenmaßnahmen transparent aufzuklären. Damit werden etablierte Best Practices der IT-Sicherheit – wie Schwachstellen-Monitoring, Secure Development Lifecycle (SDLC) oder Incident Response – nicht länger freiwillig empfohlen, sondern rechtlich durchgesetzt.
Ähnlich wie im europäischen Produktsicherheitsrecht verankert der CRA ein Verfahren zur Konformitätsbewertung. Hersteller müssen nachweisen, dass ihre Produkte die Sicherheitsanforderungen erfüllen, und diese durch eine CE-Kennzeichnung belegen. Dabei unterscheidet der CRA zwischen gewöhnlichen Produkten, wichtigen Produkten und kritischen Produkten.
Für risikoorientierte Produkte ist eine interne Konformitätskontrolle ausreichend. Wichtige Produkte mit erhöhtem Cyberrisiko – etwa Identity-Management-Systeme oder Netzwerksicherheitslösungen – unterliegen strengeren Prüfungen durch unabhängige Stellen. Kritische Produkte wie Security-Boxen oder Smartcards müssen sogar eine EU-Zertifizierung nach der Cybersecurity-Verordnung (CSA) durchlaufen. Damit führt der CRA eine abgestufte, aber verbindliche Sicherheitsarchitektur für den europäischen Binnenmarkt ein.
Der CRA steht nicht isoliert, sondern ergänzt bestehende EU-Regelungen. Er fügt sich in das System des Produktsicherheitsrechts ein, erweitert die Marktüberwachung um den Aspekt der Cybersicherheit und steht in engem Bezug zur NIS-2-Richtlinie. Während NIS-2 auf Betreiber kritischer Infrastrukturen zielt, legt der CRA Pflichten für die Hersteller digitaler Produkte fest. Gemeinsam entsteht so ein kohärenter europäischer Rechtsrahmen für Cybersecurity.
Besonders hervorzuheben ist die Anbindung an das Produkthaftungsrecht. Schon heute gilt, dass Hersteller für fehlerhafte Produkte haften. Durch den CRA wird jedoch klargestellt, dass eine mangelhafte IT-Sicherheit ebenfalls einen Produktfehler darstellt. Unternehmen, die die neuen Sicherheitsvorgaben nicht beachten, riskieren damit nicht nur regulatorische Sanktionen, sondern auch zivilrechtliche Haftungsansprüche.
Die Haftungsdimension ist erheblich. Neben Bußgeldern drohen Herstellern Schadensersatzforderungen, wenn unsichere Produkte zu Datenverlusten, Betriebsunterbrechungen oder Personenschäden führen. Beispielhaft nennt der Beitrag den Fall eines gehackten IoT-Geräts, das einen Brand auslöst oder eine unzureichend geschützte Software, die einen massiven Datenschutzverstoß verursacht.
In solchen Fällen kann der Hersteller wegen Konstruktionsfehlern haftbar gemacht werden. Das gilt auch dann, wenn er versäumt hat, den Stand der Technik einzuhalten. Mit anderen Worten: Wer die regulatorischen Vorgaben des CRA ignoriert, riskiert nicht nur Reputationsverluste, sondern auch existenzbedrohende Schadensersatzforderungen.
Um die Vorgaben umzusetzen, empfiehlt es sich, rechtzeitig ein umfassendes Cybersecurity-Managementsystem aufzubauen. Dies umfasst unter anderem:
• die Einrichtung eines koordinierten Schwachstellenmanagements mit klaren Meldewegen,
• die Nutzung von Standards wie ISO/IEC 27001 oder ENISA-Empfehlungen,
• die Benennung eines Product Security Officers,
• die Einbindung externer Sicherheitsforscher durch Bug-Bounty-Programme,
• sowie die vorausschauende Planung von Zertifizierungsprozessen.
Darüber hinaus sollten Unternehmen vertragliche Absicherungen mit Zulieferern treffen, um sich gegen Risiken in der Lieferkette zu wappnen. Eine klare Kommunikation über Sicherheitsupdates und Incident Response-Prozesse gehört ebenfalls zum Pflichtenkatalog.