Der EU Cyber Resilience Act:
Was du als Unternehmen darüber wissen solltest

Der Cyber Resilience Act (CRA) ist, so wie die NIS-2 Richtlinie, eine neue EU-Verordnung, die einheitliche Cybersicherheitsanforderungen für Produkte mit digitalen Funktionen festlegt. Das Hauptziel der EU ist es, den gesamten Lebenszyklus dieser Produkte abzusichern – von der ersten Codezeile während der Entwicklung bis hin zum langfristigen Betrieb beim Endkunden.

Bislang lag das Risiko von Sicherheitslücken oft einseitig beim Käufer. Der CRA verschiebt diese Verantwortung nun direkt und unmissverständlich zu den Akteuren, die diese Produkte auf den Markt bringen. Für Dein Unternehmen bedeutet das, dass Cybersicherheit zu einem festen Qualitätsmerkmal Deiner Produkte wird, ähnlich wie der Brandschutz oder die elektrische Sicherheit. Die Verordnung sorgt dafür, dass nur noch Produkte in der EU verkauft werden dürfen, die ein Mindestmaß an digitaler Sicherheit aufweisen.

Den gesamten Cyber Resilience Act kann man im Detail auf der WKO-Seite und ganz umfassend auch auf der Eur-Lex-Seite nachlesen.

Ob der CRA für Dein Unternehmen relevant ist, hängt von Deiner Rolle in der Lieferkette ab. Die Verordnung unterscheidet zwischen drei Gruppen, die jeweils eigene Pflichten tragen:

• Hersteller: Wenn Dein Unternehmen Software programmiert oder Hardware entwickelt und unter eigenem Namen in der EU anbietet, trägst Du die Hauptverantwortung. Du musst die Sicherheit von der Entwicklung an garantieren.
• Importeure: Bringst Du Produkte von Herstellern außerhalb der EU auf den europäischen Markt, musst Du aktiv prüfen und sicherstellen, dass diese Produkte den CRA-Richtlinien entsprechen. Du haftest dafür, dass der ausländische Partner seine Hausaufgaben gemacht hat.
• Händler: Verkaufst Du Produkte mit digitalen Elementen weiter, hast Du eine Sorgfaltspflicht. Du darfst keine Produkte anbieten, bei denen offensichtlich ist, dass sie die gesetzlichen Sicherheitsvorgaben verletzen.

Der Anwendungsbereich des CRA ist sehr breit gefasst. Die Faustregel lautet: Jedes Produkt, das direkt oder indirekt mit einem anderen Gerät oder einem Netzwerk verbunden werden kann, fällt unter die Verordnung. Die EU unterscheidet hierbei zwischen Standardprodukten, wichtigen Produkten und kritischen Produkten.

Zu den Standardprodukten gehören beispielsweise:

• digitale Zeiterfassungssysteme
• smarte Bürobeleuchtungen
• vernetzte Maschinensteuerungen in Deiner Fertigungshalle

In die Kategorie der wichtigen Produkte fallen z.B.:

• Browser
• Passwort-Manager
• Firewalls für den industriellen Einsatz
• Router
• Betriebssysteme

Kritische Produkte umfassen Software und Hardware, die ein höheres Sicherheitsrisiko bergen:

• Hardwaregeräte mit Sicherheitsboxen
• Chipkarten oder ähnliche Geräte, einschließlich Sicherheitselemente
• Smart-Meter-Gateways

Unabhängig davon, ob Du eine einfache B2B-Software für das Kundenmanagement oder komplexe Steuerungsmodule vertreibst: Sobald Daten fließen oder eine Verbindung zum Internet besteht, greift der CRA.

Prinzipiell ist die CRA für alle Unternehmen von Relevanz. Allerdings gibt es ein paar wenige Ausnahmefälle:

• nicht kommerzielle Produkte
• reine Dienstleistungen
• medizinische Geräte und In-vitro-Diagnostika mit bereits bestehenden Regelungen
• Fahrzeuge, Flugsysteme, Schiffsausrüstung und Bereiche für die bereits Regelungen mit gleichwertigen Anforderungen bestehen
• Produkte mit digitalen Elementen, die ausschließlich für nationale Sicherheit oder Verteidigung eingesetzt werden

Der CRA verlangt von Dir ein Umdenken in der Produktentwicklung durch zwei Kernprinzipien.

Security by Design

Das bedeutet, dass IT-Sicherheit kein Pflaster ist, das Du nach der Fertigstellung auf Dein Produkt klebst. Die Sicherheit muss von der ersten Planungsphase an mitgedacht werden. Du musst potenzielle Einfallstore für Hacker bereits im Entwurf eliminieren.

Security by Default

Dieses Prinzip verlangt, dass Deine Produkte im Auslieferungszustand maximal sicher konfiguriert sind. Ein klassisches Business-Beispiel: Liefert Dein Unternehmen Router oder smarte Messgeräte an andere Firmen aus, dürfen diese keine leicht zu erratenden Standard-Passwörter wie „admin123“ mehr besitzen. Das System muss den Kunden bei der ersten Inbetriebnahme zwingen, ein individuelles, sicheres Passwort zu vergeben.

Ein kritischer Punkt des CRA ist die Transparenz über die verwendeten Bausteine in Deinen digitalen Produkten. Kaum ein Unternehmen schreibt Software heute noch komplett selbst; fast immer werden bestehende Open-Source-Komponenten oder Module von Drittanbietern genutzt.

Der CRA verpflichtet Dich dazu, eine Software Bill of Materials (SBOM) zu erstellen. Das ist im Grunde eine detaillierte Zutatenliste Deiner Software. Wenn in einer weit verbreiteten externen Softwarekomponente eine Sicherheitslücke entdeckt wird, musst Du durch Deine SBOM sofort auf Knopfdruck wissen, ob dieses Modul in Deinem eigenen Produkt verbaut ist. Nur so kannst Du Deine Kunden rechtzeitig warnen und das Problem gezielt beheben.

Ab dem 11. September 2026 gelten die Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle in deinen Produkten.

Du musst aktiv ausgenutzte Sicherheitslücken:

• Innerhalb von 24 Stunden nach Bekanntwerden an die zuständige nationale Behörde und an das europäische Cybersicherheitsnetzwerk deinen Vorfall melden.
• Innerhalb von 72 Stunden muss ein ausführlicher Bericht folgen, der die Art des Vorfalls und erste Gegenmaßnahmen beschreibt.

Gleichzeitig bist Du verpflichtet, Deine Geschäftskunden unverzüglich zu informieren und ihnen Handlungsempfehlungen bereitzustellen, wie sie sich vor den Auswirkungen des Angriffs schützen können.

Mit dem Verkauf eines digitalen Produkts ist Deine Verantwortung unter dem CRA nicht mehr beendet. Du bist gesetzlich dazu verpflichtet, über einen festgelegten Zeitraum, in der Regel über die erwartete Nutzungsdauer des Produkts, maximal jedoch fünf Jahre, Sicherheitsupdates bereitzustellen.

Entwickelt Dein Unternehmen beispielsweise eine ERP-Software für den Mittelstand, musst Du über diesen Zeitraum garantieren, dass neu auftauchende Sicherheitslücken durch kostenlose Updates geschlossen werden. Du kannst Dich nicht mehr darauf zurückziehen, dass der Kunde eine alte Version nutzt, solange sich diese im definierten Support-Zeitraum befindet. Das erfordert von Deinem Unternehmen eine langfristige Ressourcenplanung für die Produktpflege.

Wie weiß der Markt, dass Dein Produkt den CRA erfüllt? Die Antwort lautet: Über das bekannte CE-Kennzeichen. Der CRA integriert die Cybersicherheit in den bestehenden CE-Zertifizierungsprozess. Ohne die Erfüllung der CRA-Vorgaben darfst Du kein CE-Zeichen mehr anbringen, was einem sofortigen Verkaufsverbot in der gesamten EU gleichkommt.

Bei Standardprodukten darf Dein Unternehmen die Konformität in der Regel durch eine interne Selbstprüfung dokumentieren. Bei wichtigen und kritischen Produkten der höheren Risikoklassen musst Du jedoch eine unabhängige Prüfstelle einschalten. Diese Auditoren prüfen Deine Dokumentation, Deine Entwicklungsprozesse und das Produkt selbst, bevor Du die Freigabe für den Markt erhältst.

Quelle: WKO am 22.05.2026

Die EU verleiht dem CRA durch Sanktionen erheblichen Nachdruck. Bei Missachtung der wesentlichen Cybersicherheitsanforderungen drohen Deinem Unternehmen Bußgelder von bis zu 15 Millionen Euro oder bis zu 2,5 Prozent des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem welcher Betrag höher ist.

Selbst formelle Fehler, wie eine unvollständige Dokumentation oder das Versäumen der 24-Stunden-Meldepflicht, können mit Strafen von bis zu 5 Millionen Euro belegt werden. Neben den finanziellen Strafen wiegen die Marktüberwachungsmaßnahmen oft noch schwerer: Die Behörden können den Verkauf Deiner Produkte stoppen, einen Rückruf bereits verkaufter Geräte anordnen oder Dich zwingen, das Produkt komplett vom Markt zu nehmen.

Um die Auswirkungen des CRA zu verdeutlichen, betrachten wir ein mittelständisches Unternehmen, das digitale Zeiterfassungsterminals für Bürogebäude herstellt. Die Terminals hängen im WLAN des Kunden und senden Daten an eine Cloud.

Nach den alten Regeln reichte es oft aus, dass die Hardware stabil funktionierte. Unter dem CRA muss dieser Hersteller nun nachweisen, dass die Datenübertragung zwischen Terminal und Cloud stark verschlüsselt ist. Er muss eine SBOM pflegen, um die genutzten Software-Bibliotheken im Blick zu behalten.

Entdeckt ein Sicherheitsforscher eine Schwachstelle im Terminal, muss der Hersteller innerhalb des Support-Zeitraums per Fernwartung ein Update einspielen. Kann er das nicht oder ignoriert er die Pflichten, verliert das Terminal sein CE-Kennzeichen und darf nicht mehr an Neukunden ausgeliefert werden.

Der CRA erfordert eine gründliche Vorbereitung, die Du nicht auf die lange Bank schieben solltest, da die Anpassung von Entwicklungsprozessen Zeit benötigt. Nutze den folgenden Drei-Punkte-Plan, um Dein Unternehmen abzusichern:

• Bestandsaufnahme (Inventur): Erstelle eine vollständige Liste aller Produkte, Softwarelösungen und digitalen Services, die Dein Unternehmen anbietet oder importiert. Identifiziere, welche Produkte unter den CRA fallen und wer Deine Zulieferer sind.
• Prozessanpassung: Binde Deine IT-Verantwortlichen und Produktentwickler frühzeitig ein. Etabliere feste Prozesse für "Security by Design", definiere klare Abläufe für das Schwachstellenmanagement und bereite Vorlagen für die geforderten Meldepflichten vor.
• Vertragsgestaltung: Überprüfe Deine Verträge mit Zulieferern und externen Software-Dienstleistern. Stelle vertraglich sicher, dass diese Dir die notwendigen Informationen (wie SBOMs) liefern und Sicherheitslücken ihrerseits fristgerecht an Dich melden, damit Du Deine eigenen Pflichten erfüllen kannst.