Den Cyber Resilience Act verstehen

Der Cyber Resilience Act (Verordnung (EU) 2024/2847) ist eine horizontale EU-Verordnung, die verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (PDE) einführt, die auf dem EU-Markt in Verkehr gebracht werden. Er trat am 11. Dezember 2024 in Kraft.

Der CRA gilt über den gesamten Produktlebenszyklus hinweg — von Konzeption und Entwicklung bis zum Ende des Supports. Er legt grundlegende Sicherheitsanforderungen (Anhang I), Dokumentationspflichten, ein Schwachstellenmeldeverfahren und Konformitätsbewertungsverfahren fest. Ziel ist es, sicherzustellen, dass Hard- und Softwareprodukte von Anfang an sicher sind und während der gesamten unterstützten Lebensdauer sicher bleiben.

Der CRA gilt für jeden Wirtschaftsakteur, der:

• Herstellt: Produkte mit digitalen Elementen herstellt und auf dem EU-Markt in Verkehr bringt — einschließlich Hardware mit eingebetteter Software und eigenständiger Softwareprodukte
• Importiert: Produkte von Nicht-EU-Herstellern einführt und unter eigenem Namen oder Warenzeichen auf dem EU-Markt in Verkehr bringt
• Vertreibt: Produkte auf dem EU-Markt ohne Änderungen vertreibt
• Open-Source-Verwalter: systematisch kostenlose/quelloffene Software für den kommerziellen Einsatz bereitstellt

Nicht-EU-Hersteller, die Produkte in die EU verkaufen, fallen vollständig in den Anwendungsbereich. Sie müssen einen in der EU ansässigen Bevollmächtigten benennen (Artikel 17).

Ein Produkt mit digitalen Elementen (PDE) ist jedes Software- oder Hardwareprodukt sowie seine Fernverarbeitungslösung, das eine direkte oder indirekte Datenverbindung zu einem Gerät oder Netzwerk aufweist. Diese bewusst weite Definition umfasst:

• Verbraucher-IoT-Geräte (Smart Home, Wearables, Router)
• Industrielle Hardware mit Netzwerkanbindung
• Eigenständige Softwareanwendungen (Desktop, Mobil, Server)
• Betriebssysteme und Hypervisoren
• Softwarekomponenten und Bibliotheken, die auf den Markt gebracht werden
• Cloud-verbundene Geräte, bei denen der Hersteller das Backend kontrolliert

Bestimmte Sektoren sind teilweise oder vollständig ausgenommen, darunter Medizinprodukte nach MDR/IVDR, Kraftfahrzeuge nach der Typgenehmigungsverordnung, die Zivilluftfahrt und Meeresausrüstung.

Nicht alle Produkte mit digitalen Elementen werden gleich behandelt. Der CRA unterteilt die betroffenen Produkte anhand ihres Cybersicherheitsrisikoprofils in vier Klassen gemäß Anhang III und IV:

• Standard — alle in den Anwendungsbereich fallenden Produkte, die nicht in Anhang III oder IV aufgeführt sind. Die große Mehrheit der Produkte mit digitalen Elementen fällt hierunter.
• Wichtig — Klasse I (Anhang III, Klasse I) — Produkte mit einem erheblichen Cybersicherheitsrisiko, wie z. B. Software für das Identitätsmanagement, Browser, Passwort-Manager und Allzweck-Betriebssysteme.
• Wichtig — Klasse II (Anhang III, Klasse II) — Produkte mit höherem Risiko, darunter Hypervisoren, TPMs, industrielle Automatisierungssoftware und Smart-Meter-Gateways.
• Kritisch (Anhang IV) — Produkte mit dem höchsten Risiko, darunter Hardware-Sicherheitsmodule (HSMs), Chipkarten und Hardware-Geräte mit Sicherheitsboxen.

Die Klassifizierung bestimmt, welche Konformitätsbewertungsroute ein Hersteller vor der Anbringung des CE-Zeichens einschlagen muss:

Klasse	Selbstbewertung (Modul A)	Benannte Stelle (Modul B+C / H)
Standard	Immer verfügbar	Optional
Wichtig — Klasse I	Bei Anwendung harmonisierter Normen	Erforderlich ohne harmonisierte Normen
Wichtig — Klasse II	Nicht verfügbar	Erforderlich
Kritisch	Nicht verfügbar	Erforderlich (oder EU-Cybersicherheitszertifizierung)

→ Produktklassifizierungstool nutzen, um Klasse und Konformitätsbewertungsroute zu ermitteln

Der CRA sieht gemäß Artikel 64 ein abgestuftes System von Bußgeldern vor. Marktüberwachungsbehörden in den EU-Mitgliedstaaten können diese Bußgelder gegen Hersteller, Importeure, Händler und Open-Source-Software-Verwalter verhängen.

Stufe 1 — bis zu 15 000 000 € oder 2,5 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist):

Nichteinhaltung der grundlegenden Cybersicherheitsanforderungen in Anhang I oder Verstöße im Zusammenhang mit der CE-Kennzeichnung, der Konformitätsbewertung, der technischen Dokumentation oder der Pflicht zur Benennung eines Bevollmächtigten (Artikel 13, 16, 19–22, 24).

Stufe 2 — bis zu 10 000 000 € oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist):

Verstöße gegen die Meldepflichten für Schwachstellen und Sicherheitsvorfälle gemäß Artikel 14, Versäumnisse bei der Meldung von Konformitätsbewertungsstellen oder fehlende Zusammenarbeit mit Marktüberwachungsbehörden (Artikel 15, 17, 18, 23).

Stufe 3 — bis zu 5 000 000 € oder 1 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist):

Übermittlung falscher, unvollständiger oder irreführender Informationen an benannte Stellen oder Marktüberwachungsbehörden.

Für große Unternehmen mit erheblichem weltweitem Umsatz wird die umsatzbezogene Obergrenze in der Regel den festen Höchstbetrag übersteigen. Die Mitgliedstaaten können zudem weitere Sanktionen nach nationalem Recht verhängen. Der Stichtag nach Artikel 14 am 11. September 2026 ist der erste Zeitpunkt, ab dem Bußgelder der Stufe 2 vollstreckbar werden.