Die Europäische Union hat mit dem Cyber Resilience Act (CRA) einen neuen Meilenstein für die Sicherheit vernetzter Produkte geschaffen. Die Verordnung, die voraussichtlich ab 2027 vollständig gilt, verpflichtet Hersteller, Importeure und Händler von Produkten mit digitalen Elementen zu umfassenden Sicherheits-, Update- und Transparenzpflichten – und zwar über den gesamten Lebenszyklus eines Produkts hinweg.
Erstmals wird damit die Cybersicherheit von Hardware, Software und eingebetteten Systemen als Teil des europäischen Binnenmarktrechts reguliert. Ziel ist, dass jedes Produkt, das eine Verbindung zum Internet herstellen oder Daten verarbeiten kann, nach einheitlichen Mindeststandards sicher konstruiert, betrieben und gewartet wird.
Ergänzung bestehender Regelwerke
Der CRA ergänzt die bereits bestehenden Regelwerke NIS2, DORA und das KRITIS-Dachgesetz. Während diese auf organisatorische Resilienz, operative Stabilität und physische Sicherheit zielen, regelt der CRA die technologische Basis der digitalen Wertschöpfungskette – die Produkte selbst. Damit schließt er die letzte Lücke im europäischen Resilienzsystem.
Kerninhalte des Cyber Resilience Act
Der CRA gilt für nahezu alle vernetzten und softwaregestützten Produkte, von industriellen Steuerungen über Router und Smart-Home-Geräten bis hin zu Unternehmenssoftware, IoT-Komponenten und Automatisierungssystemen.
Zentrale Anforderungen sind:
- Security by Design und by Default: Sicherheitsanforderungen müssen bereits in der Entwicklung berücksichtigt werden. Standardkonfigurationen dürfen keine unnötigen Risiken bergen.
- Risikomanagement und Schwachstellenmanagement: Hersteller, Importeure und Händler müssen systematisch Bedrohungen analysieren, Schwachstellen bewerten und Gegenmaßnahmen dokumentieren.
- Melde- und Updatepflichten: Sicherheitslücken müssen unverzüglich geschlossen und gemeldet werden – sowohl an Nutzer als auch an die europäischen Cybersicherheitsbehörden.
- Konformitätsbewertung und CE-Kennzeichnung: Produkte dürfen nur in Verkehr gebracht werden, wenn sie den Sicherheitsanforderungen entsprechen und dies durch eine CE-Kennzeichnung nachgewiesen ist.
- Lebenszyklusverantwortung: Hersteller, Importeure und Händler sind verpflichtet, Produkte während ihres gesamten Lebenszyklus zu pflegen – durch Patches, Updates und Sicherheitskommunikation.
- Transparenzpflichten: Offenzulegen sind technische Komponenten, Softwareabhängigkeiten und Drittbibliotheken („Software Bill of Materials“, SBOM).
Damit wird Cyberresilienz zur Produkt- und Lieferkettenpflicht – nicht nur eine Frage der Unternehmensorganisation, sondern der gesamten digitalen Infrastruktur.
Kongruenz zu NIS2 und KRITIS-Dachgesetz
Der Cyber Resilience Act steht in direkter inhaltlicher Beziehung zu den europäischen Regelwerken NIS2 und KRITIS-Dachgesetz. Alle drei Instrumente beruhen auf demselben Prinzip:
„Resilienz als Dauerpflicht – von der Produktentwicklung über den Betrieb bis zur Versorgungssicherheit.“
NIS2 adressiert die Betreiber wesentlicher und wichtiger Einrichtungen und fordert ein Risikomanagement für Informationssysteme. Das KRITIS-Dachgesetz verpflichtet zur physischen Widerstandsfähigkeit kritischer Anlagen. Der CRA schließt den Kreis und verlangt technische Sicherheit direkt im Produkt – als Voraussetzung für jede sichere Anwendung.
Gemeinsam bilden sie eine europäische Resilienzarchitektur, die Organisation, Infrastruktur und Technologie miteinander verbindet. Damit wird Resilienz erstmals end-to-end gedacht: vom Code über den Betrieb bis zur gesellschaftlichen Wirkung.
Acht-Phasen-Modell der Resilienz als methodischer Rahmen
Das bewährte Acht-Phasen-Modell der Resilienz bietet eine geeignete Struktur, um die gesetzlichen Anforderungen des CRA praktisch umzusetzen und in Entwicklungs-, Beschaffungs- und Betriebsprozesse zu integrieren.
1. Verhindern
Bereits in der Entwurfsphase müssen Risiken identifiziert und Sicherheitsprinzipien angewandt werden – etwa Bedrohungsmodellierung, sichere Architekturprinzipien und Code-Reviews. So werden potenzielle Schwachstellen frühzeitig ausgeschlossen.
2. Schützen
In dieser Phase erfolgt die technische und organisatorische Härtung. Dazu gehören sichere Standardkonfigurationen, Signatur- und Verschlüsselungsmechanismen, Zugriffskontrollen sowie sichere Update-Mechanismen.
3. Reagieren
Tritt eine Schwachstelle auf, müssen Melde- und Reaktionsprozesse greifen. Der Hersteller, Importeur oder Händler informiert betroffene Kunden, veröffentlicht Sicherheitsmitteilungen und startet das Patch-Management.
4. Abwehren
Hier geht es um die aktive Eindämmung: Kompromittierte Komponenten werden isoliert, fehlerhafte Firmware ersetzt und schädliche Updates blockiert. Parallel läuft die Ursachenanalyse durch technische Forensik.
5. Folgen begrenzen
Organisationen und Betreiber, die ein betroffenes Produkt einsetzen, müssen ihre Business-Continuity-Pläne aktivieren – etwa redundante Systeme hochfahren oder zeitweise auf Ersatzlösungen umstellen.
6. Auffangen
Diese Phase umfasst Nachsorge und Kommunikation: Hersteller, Importeure, Händler, Lieferanten und Anwender koordinieren Transparenzmaßnahmen, Schadensanalysen und unterstützen betroffene Teams oder Kunden.
7. Bewältigen
Aus dem Vorfall werden Verbesserungen abgeleitet: Prozesse zur Schwachstellenbehandlung, Softwarequalität und Lieferantenprüfung werden optimiert.
8. Erholen
Langfristig mündet der Prozess in ein lernendes System. Hersteller, Importeure, Händler und Anwender etablieren Kennzahlen zur Sicherheitsreife, investieren in Schulungen und gestalten Produktzyklen resilienter.
Durch diesen zyklischen Ansatz wird der CRA zu einem operativen Resilienzsystem, das technische Sicherheit, organisatorische Reaktionsfähigkeit und nachhaltiges Lernen verbindet.
Mittelbare Auswirkungen auf Unternehmen als Anwender
Obwohl der CRA primär die Hersteller, Importeure und Händler adressiert, hat er massive mittelbare Wirkungen auf alle Unternehmen, die digitale Produkte einsetzen oder in ihren Prozessen nutzen.
Denn künftig dürfen nur noch Produkte mit gültiger CE-Kennzeichnung nach CRA beschafft oder betrieben werden. Anwenderunternehmen werden somit verpflichtet, im Einkauf und im Betrieb auf nachweisbare Sicherheitsmerkmale, Update-Fähigkeit und Supportfristen zu achten.
Zudem ergeben sich neue Pflichten im Lieferantenmanagement:
- Verträge müssen die CRA-Konformität, Patch-Bereitstellung und Supportdauer festschreiben.
- Sicherheitszertifikate und technische Dokumentationen (z. B. SBOM) sind Teil der Beschaffungsprüfung.
- Asset-Management-Systeme müssen die Produktlebenszyklen und Supportzeiträume erfassen.
- Bei End-of-Life-Produkten sind Ersatz- oder Abschaltstrategien vorzuhalten.
Damit entsteht ein neues Resilienz-Ökosystem, in dem Hersteller, Importeure, Händler, Lieferanten und Anwender gemeinsam Verantwortung für digitale Sicherheit übernehmen – über den gesetzlichen Adressatenkreis hinaus.
Integration mit dem Acht-Phasen-Modell im Betrieb
Für Anwenderunternehmen gilt: Der CRA endet nicht mit der Lieferung eines sicheren Produkts. Die Acht-Phasen-Logik kann auch hier zur Umsetzung beitragen:
- In der Präventionsphase erfolgt die Auswahl CRA-konformer Produkte.
- In der Schutz- und Reaktionsphase werden Schwachstellenmeldungen und Patches prozessual eingebunden.
- Abwehr- und Begrenzungsphasen sichern die Betriebsfortführung im Störungsfall.
- In den Bewältigungs- und Erholungsphasen wird das Beschaffungs- und Lieferantenmanagement kontinuierlich verbessert.
So schließt sich der Kreis zwischen Herstellern, Importeuren, Händlerpflichten und Anwenderverantwortung – Resilienz wird zum gemeinsamen Managementprinzip über die gesamte digitale Lieferkette.
Fazit
Der Cyber Resilience Act ist mehr als ein Produktgesetz: Er ist der fehlende Baustein in der europäischen Resilienzarchitektur. Gemeinsam mit NIS2, DORA und dem KRITIS-Dachgesetz bildet er ein durchgängiges System aus organisatorischer, physischer und technischer Sicherheit. Das Acht-Phasen-Modell macht diesen Ansatz praktisch anwendbar – es verbindet Produktentwicklung, Betrieb und Nachsorge zu einem geschlossenen Kreislauf der Sicherheit.
Der CRA betrifft damit nicht nur Hersteller, Importeure, Händler, sondern jedes Unternehmen, das digitale Produkte nutzt. Wer ihn frühzeitig umsetzt, stärkt seine digitale Lieferkette, verbessert Compliance und sichert sich Wettbewerbsvorteile in einer zunehmend vernetzten Wirtschaft.
Resilienz wird damit zur strategischen Führungsaufgabe – in jeder Organisation, in jedem Sektor, auf jeder Produktebene.
