Die digitale Landschaft Europas steht vor einer großen Veränderung. Bislang herrschte in der digitalen Sphäre ein regulatorisches Vakuum: Während ein Toaster nicht überhitzen durfte, wurde Software oft mit bekannten Schwachstellen ausgeliefert und die Verantwortung per EULA auf den Kunden abgewälzt. Der Cyber Resilience Act (CRA) kehrt diese Logik um. Ab sofort liegt die Verantwortung für die digitale Unversehrtheit unmissverständlich und lebenslang beim Hersteller.

Der CRA steht nicht isoliert. Er ist ein zentraler Baustein einer umfassenden EU-Sicherheitsstrategie und agiert im Konzert mit anderen Großvorhaben wie der NIS-2 Richtlinie und DORA.

Viele Unternehmen betrachten diese Gesetze fälschlicherweise als getrennte Silos. Doch ein Blick auf das „Big Picture“ zeigt die Synergien:

• NIS-2 fordert von Betreibern kritischer Anlagen eine sichere Lieferkette.
• Der CRA liefert durch die CE-Kennzeichnung genau diesen Nachweis für die eingesetzten Produkte.

Wer seine Produkte jetzt CRA-konform aufstellt, sichert sich also nicht nur den Marktzugang, sondern wird zum bevorzugten Lieferanten für NIS-2-regulierte Kunden. Es geht nicht mehr nur um technische Compliance, sondern um eine Eintrittskarte in die digitale Wertschöpfungskette der Zukunft. Das Ziel ist ein Cyberresilienz Gesetz, das Vertrauen schafft und Wettbewerbsvorteile durch Differenzierung generiert.

Warum handelt die EU jetzt? Die aktuelle Situation („PAINS“) ist für Wirtschaft und Gesellschaft untragbar geworden:

• Intransparenz: Käufer können die Sicherheit eines Produkts vor dem Kauf nicht beurteilen (Informationsasymmetrie).
• Späte Erkenntnis: Cybersicherheitsprobleme werden oft erst erkannt, wenn es zu spät ist
• Hohe Kosten: Da Sicherheit nicht in der Produktentwicklung berücksichtigt wurde, entstehen im Nachhinein enorme Kosten für Patches und Incident Response.

Der CRA zwingt Unternehmen dazu, diesen Zustand zu beenden. Die Zielsetzung („GAINS“) ist klar definiert:

• Security by Design: Strukturierte Prozesse sorgen dafür, dass Sicherheit von Anfang an mitgedacht wird.
• Transparenz: Durch die Software Bill of Materials (SBOM) entsteht eine gesetzeskonforme Kontrolle über alle Software-Komponenten.
• Automatisierung: Sicherheits- und Compliance-Prozesse werden automatisiert, was langfristig Effizienz schafft.

Für Geschäftsführer bedeutet dies: Der CRA transformiert unsichere Lösungen in robuste, marktfähige Industrieprodukte.

Der CRA folgt einem risikobasierten Ansatz. Er unterteilt Produkte in vier Kategorien, die über die Strenge des Konformitätsbewertungsverfahrens entscheiden. Eine falsche Klassifizierung kann schwerwiegende Folgen haben: Eine zu niedrige Einstufung führt zu Vertriebsverboten, eine zu hohe zu unnötigen Kosten durch externe Prüfungen.

Kategorie 1: Die Standard-Kategorie (Default Category)

Hierunter fallen schätzungsweise 90% aller betroffenen Produkte. Dazu gehören Produkte ohne spezifische Sicherheitsfunktion und ohne hohes systemisches Risiko.

• Beispiele: Bildbearbeitungssoftware, Smart Speaker, intelligente Kaffeemaschinen, Festplatten, Spielekonsolen, Textverarbeitungsprogramme.
• Konformitätsweg: Der Hersteller führt eine Selbstbewertung (Modul A) durch. Er dokumentiert die Einhaltung der Anforderungen eigenverantwortlich. Die Selbstbewertung kann durch dritte durchgeführt werden.

Kategorie 2: Wichtige Produkte der Klasse I (Important Class I)

Diese Produkte spielen eine zentrale Rolle für die Sicherheit von Netzwerken oder werden häufig als Einfallstor für Angriffe genutzt. Sie sind in Anhang III des CRA gelistet.

• Beispiele:
  • Identitätsmanagementsysteme: Software und Hardware für Authentifizierung und Zugriffskontrolle.
  • Netzwerk-Infrastruktur: Standalone- und Embedded-Browser, VPN-Produkte, Netzwerkschnittstellen (NICs), Router und Modems für den Hausgebrauch.
  • Sicherheitssoftware: Virenscanner, Passwort-Manager, SIEM-Systeme (Security Information and Event Management), Boot-Manager.
  • Betriebssysteme: Generelle Betriebssysteme (Commodity OS).
• Konformitätsweg: Hier hat der Hersteller ein Wahlrecht. Er kann eine Selbstbewertung durchführen, sofern er harmonisierte europäische Normen (die noch erarbeitet werden) vollständig anwendet. Wendet er diese Normen nicht oder nur teilweise an, muss eine Prüfung durch eine benannte Stelle (Notified Body) erfolgen.

Kategorie 3: Wichtige Produkte der Klasse II (Important Class II)

Diese Produkte bergen ein noch höheres Risiko, da sie oft kritische Sicherheitsfunktionen für ganze Systeme übernehmen oder manipulationssicher sein müssen.

• Beispiele:
  • Virtualisierung: Hypervisoren und Container-Laufzeitsysteme (die Basis moderner Cloud-Architekturen).
  • Netzwerksicherheit: Firewalls, Intrusion Detection/Prevention Systeme (IDS/IPS) für den industriellen Einsatz.
  • Hardware: Manipulationssichere Mikroprozessoren und Mikrocontroller (Tamper-resistant).
  • Industrie: Router und Switches für den industriellen Einsatz.
• Konformitätsweg: Für diese Produkte ist eine externe Prüfung durch eine benannte Stelle zwingend vorgeschrieben. Eine reine Selbstbewertung ist nicht zulässig, selbst bei Anwendung harmonisierter Normen.

Kategorie 4: Kritische Produkte (Critical Products)

Diese Kategorie umfasst Produkte, die für die nationale Sicherheit oder kritische Infrastrukturen essenziell sind und in Anhang IV gelistet werden.

• Beispiele: Hardware-Geräte mit Sicherheitsboxen, Smart-Meter-Gateways, Smartcards und Secure Elements.
• Konformitätsweg: Zwingende externe Prüfung, potenziell im Rahmen eines europäischen Cybersicherheitszertifizierungsschemas (EUCC).

Die Grauzonen

Die Klassifizierung ist nicht statisch. Die Kommission kann per delegiertem Rechtsakt Kategorien anpassen. Besonders herausfordernd ist die Bewertung von Open-Source-Software.

• Der „Open Source Steward“: Der CRA führt das Konzept des Open Source Stewards ein. Reine Non-Profit-Open-Source-Entwicklung ist weitgehend ausgenommen. Sobald jedoch eine kommerzielle Absicht besteht (z.B. bezahlter Support, Premium-Features, Spenden von Firmenkunden), greift der CRA vollumfänglich.
• Integrierte Komponenten: Hersteller eines Endprodukts (z.B. einer Industriemaschine) haften für das gesamte Produkt, einschließlich aller zugekauften Komponenten und Open-Source-Bibliotheken. Dies zwingt Hersteller dazu, ihre Lieferkette (Supply Chain) extrem eng zu überwachen.

Die Uhr tickt bereits. Die Verordnung trat im Dezember 2024 in Kraft. Während die vollständige Anwendung erst ab Dezember 2027 gilt, lauert eine gefährliche Falle im Zeitplan:

• September 2026: Bereits ab diesem Datum gilt die Meldepflicht. Hersteller müssen aktiv ausgenutzte Schwachstellen und Vorfälle innerhalb von 24 Stunden melden.

Das bedeutet: Ihre internen Prozesse für das Schwachstellenmanagement müssen lange vor der eigentlichen Produkt-Zertifizierung stehen.

Der Gesetzgeber meint es ernst. Die Sanktionen sind drakonisch und machen Cybersicherheit zur Chefsache.

• Bußgelder: Bei Verstößen gegen essenzielle Sicherheitsanforderungen drohen bis zu 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes.
• Vertriebsverbot: Behörden können den Rückruf von Produkten anordnen – ein Szenario, das für viele Marken extreme Reputationsschäden bedeutet.

Persönliche Haftung: Die Geschäftsleitung ist explizit verantwortlich und kann bei grober Fahrlässigkeit persönlich haftbar gemacht werden.