Cyber Resilience Act: Warum Unternehmen jetzt handeln müssen

Autor :Martin Herfurt
Datum :02.06.2026
Kategorie : Schwachstellen

Nach der DSGVO kommt der Cyber Resilience Act (CRA). Mit dieser Verordnung schafft die Europäische Union erstmals einen verbindlichen Rechtsrahmen für die Cybersicherheit von Produkten mit digitalen Elementen. Wer Hard- oder Software auf dem EU-Markt bereitstellt, kommt an den neuen Pflichten nicht vorbei. Dieser Artikel fasst zusammen, worum es geht – und warum es sich lohnt, jetzt mit der Umsetzung zu beginnen.

Ein wichtiger Hinweis vorweg: IT-Wachdienst bietet keine Beratung im juristischen Sinn an. Wir unterstützen Sie bei der technischen Umsetzung der geforderten Maßnahmen. Die Interpretation der hier zitierten Rechtstexte ist naheliegend, erhebt aber keinen Anspruch auf Vollständigkeit oder Korrektheit.

Was ist der Cyber Resilience Act?

Der Cyber Resilience Act (Verordnung (EU) 2024/2847) ist am 10. Dezember 2024 in Kraft getreten. Er legt verbindliche Cybersicherheits-Anforderungen für Produkte mit digitalen Elementen fest – also für nahezu jede Hard- und Software, die in der EU in Verkehr gebracht wird. Anders als die DSGVO, die den Schutz personenbezogener Daten regelt, adressiert der CRA die Sicherheit der Produkte selbst und nimmt dabei Hersteller, Importeure und Händler in die Pflicht.

Die wichtigsten Fristen im Blick

Die Anwendung des CRA erfolgt gestaffelt. Auch wenn 2027 noch weit erscheint: Die ersten verbindlichen Pflichten greifen bereits 2026.

10. Dezember 2024 – Der CRA tritt in Kraft.
11. September 2026 – Die Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle gelten.
11. Dezember 2027 – Die vollständigen Hersteller-Pflichten (Security by Design, Konformitätsbewertung, CE-Kennzeichnung) gelten.

Welche Pflichten kommen auf Unternehmen zu?

Der CRA verlangt Maßnahmen über den gesamten Produktlebenszyklus:

Security by Design & by Default – Sicherheit muss von Anfang an mitgedacht und in den Werkseinstellungen aktiv sein.
Schwachstellen-Management – Schwachstellen müssen kontinuierlich erkannt, dokumentiert und durch Sicherheitsupdates behoben werden.
Software Bill of Materials (SBOM) – Eine nachvollziehbare Übersicht aller eingesetzten Komponenten und Abhängigkeiten.
Meldepflichten – Aktiv ausgenutzte Schwachstellen und schwere Vorfälle sind an ENISA bzw. das zuständige CSIRT zu melden: eine Frühwarnung binnen 24 Stunden, eine detaillierte Meldung binnen 72 Stunden.
Konformitätsbewertung & CE-Kennzeichnung – Die Einhaltung der Anforderungen ist nachzuweisen und zu dokumentieren.

Warum jetzt handeln?

Wie schon bei der DSGVO gilt: Wer zu spät beginnt, gerät unter Druck. Drei Gründe sprechen für einen frühen Start:

Security by Design lässt sich nicht nachrüsten. Sichere Produkte entstehen während der Entwicklung, nicht kurz vor einer Frist.
Prozesse brauchen Zeit. Schwachstellen-Management, technische Dokumentation und ein SBOM sind keine Einmal-Aufgaben, sondern dauerhafte Abläufe, die etabliert werden müssen.
Die Sanktionen sind empfindlich. Verstöße gegen die grundlegenden Anforderungen können mit Geldbußen von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes geahndet werden – zuzüglich Marktrücknahmen, Vertriebsverboten und Reputationsschäden.

So unterstützt Sie der IT-Wachdienst

Der CRA fordert auf vielen Ebenen technische Maßnahmen – und genau hier setzen wir an. Der IT-Wachdienst begleitet Sie vielseitig entlang des gesamten Produktlebenszyklus:

Mit unserem Threat-Modeling-Training verankern wir Security by Design direkt im Entwicklungsprozess.
Unser regelmäßiger Schwachstellen-Scan bildet das Fundament eines belastbaren Schwachstellen-Managements.
Mit Penetrationstests prüfen wir Ihre Produkte tiefgehend auf reale Angriffsmöglichkeiten.
Die Angriffsoberflächen-Analyse zeigt, wie ein Angreifer Ihre Produkte und Infrastruktur sieht.
Mit einer Vorab-Prüfung bereiten wir Sie gezielt auf Konformitätsbewertungen und externe Audits vor.