Ihr Produkt! Bald illegal?

Der EU Cyber Resilience Act (CRA) ist keine ferne Zukunftsmusik, sondern bereits geltendes Recht. Während die volle regulatorische Schärfe im Dezember 2027 greift, rücken kritische Zwischenziele wie die Meldepflicht für Schwachstellen bereits im September 2026 in greifbare Nähe. Für Hersteller, Importeure und Distributoren digitaler Produkte bedeutet dies eine fundamentale Umstellung: Cyber-Sicherheit wird von einer freiwilligen Qualitätsoption zu einer zwingenden Voraussetzung für den Marktzugang in der Europäischen Union. Wer den prozessualen Aufwand unterschätzt, riskiert nicht nur drakonische Bußgelder, sondern den kompletten Verkaufsstopp seiner Produkte auf dem EU-Binnenmarkt.

In dieser Runde begrüßt Moderator Dirk Leopold (itemis AG) drei Experten, die die Umsetzung des CRA aus verschiedenen industriellen Perspektiven begleiten. Michael Happ unterstützt als spezialisierter Berater Unternehmen bei der strategischen Ausrichtung und der Erstellung von Handlungsplänen zur CRA-Konformität. Max Schubert, Geschäftsführer der Inzeit GmbH, bringt tiefe Einblicke aus dem Bereich der OT-Security und dem Bahnumfeld ein, wo er aktiv an europäischen Guidelines für die praktische Anwendung der Regulierung arbeitet. Vervollständigt wird das Podium durch Tim Scherer von Microchip Technology, der als Standardisierungsexperte in technischen Komitees bei CEN/CENELEC die Interessen der Halbleiterindustrie vertritt und die internen Implementierungsprozesse eines globalen Komponentenherstellers steuert.

Zentrale Erkenntnisse zum EU Cyber Resilience Act

• Umfassender Geltungsbereich: Nahezu jedes Produkt mit digitalen Elementen – vom Mikrochip über Software bis hin zu komplexen Industriesystemen – muss ein Mindestniveau an Sicherheit nachweisen.
• Existenzbedrohende Sanktionen: Bei Nicht-Konformität drohen Bußgelder von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes sowie Rückrufe und Verkaufsverbote.
• Kritische Vorfristen: Bereits ab September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden an nationale Behörden wie das BSI melden.
• Prozess vor Dokument: Die bloße Dokumentation reicht nicht aus; Unternehmen müssen einen Secure Software Development Lifecycle (SSDLC) und Schwachstellen-Management-Prozesse (PSIRT) aktiv leben.

Der Cyber Resilience Act als horizontaler Sicherheitsstandard

Der CRA fungiert als horizontale Regulierung, die Lücken zwischen bereits bestehenden sektorspezifischen Regeln (wie für Medizinprodukte oder Automotive) schließt. Erstmals wird Cyber-Sicherheit direkt an das CE-Kennzeichen gekoppelt. Damit wird ein Produkt ohne nachgewiesene “Essential Requirements” (Wesentliche Sicherheitsanforderungen) rechtlich mit einem unsicheren Spielzeug oder einem gefährlichen Elektrogerät gleichgesetzt und verliert seine Verkehrsfähigkeit.

Akteure und betroffene Produktkategorien

Betroffen sind nicht nur europäische Unternehmen, sondern jeder Hersteller weltweit, der Produkte auf dem EU-Markt bereitstellt. Die Regulierung kaskadiert über die gesamte Lieferkette: Ein Integrator, der Komponenten in ein größeres System einbaut, muss sicherstellen, dass auch seine Zulieferer CRA-konform agieren. Dabei wird zwischen verschiedenen Risikoklassen unterschieden – von der “Default”-Klasse für Standardprodukte bis hin zu “Kritischen” Produkten, die eine Prüfung durch eine benannte Stelle (Notified Body) erfordern.

Strategische Vorbereitung: Von der Risikoanalyse zur Konformität

Unternehmen sollten nicht auf die finale Veröffentlichung aller harmonisierten Standards warten. Bestehende Frameworks wie die IEC 62443 (speziell Teil 4-1 für Prozesse und 4-2 für Komponenten) oder die ISO 21434 bieten bereits heute eine Abdeckung von etwa 80 % der künftigen Anforderungen. Ein risikobasierter Ansatz ist hierbei der Kern: Hersteller müssen individuell bewerten, welche Sicherheitsrisiken für ihre Endanwender bestehen und entsprechende Schutzmaßnahmen “by Design” implementieren.

Herausforderung Meldepflichten und Bestandsprodukte

Ein häufig unterschätzter Aspekt ist der Umgang mit Produkten, die bereits im Markt sind. Während die volle Konformität für Neuprodukte ab Ende 2027 gilt, greifen die Meldepflichten für Sicherheitsvorfälle bei Bestandsprodukten bereits wesentlich früher.

Wird an einem alten Produkt eine “wesentliche Änderung” vorgenommen – etwa ein funktionales Update, das die Risikasituation verändert – wird es rechtlich wie ein neues Produkt behandelt und muss sofort alle CRA-Anforderungen erfüllen. Unternehmen müssen daher frühzeitig entscheiden, ob sie Altsysteme härten oder rechtzeitig durch konforme Nachfolgegenerationen ersetzen.

Kommunikation in der Lieferkette als Erfolgsfaktor

Besonders für KMU ist der CRA eine strategische Chance. Anstatt passiv auf Anfragen von Großkunden zu warten, sollten Zulieferer proaktiv Konformitätsangebote formulieren. Die kaskadierte Kommunikation über Anwendungsbedingungen und Sicherheitsfeatures reduziert die Komplexität für Integratoren und schafft Vertrauen im B2B-Umfeld. Der Aufbau eines Product Security Incident Response Teams (PSIRT) und die Nutzung von Formaten wie CSAF für die automatisierte Schwachstellenkommunikation werden zum Standard für die Aufrechterhaltung der Marktfähigkeit.