Der Cyber-Resilience-Act bringt ab 2026 neue Sicherheitsanforderungen für digitale Produkte. Dieser Überblick zeigt, was sich ändert und wer handeln muss.

Inhalt

1. Zusammenfassung
2. Wer ist betroffen
3. Check & Assessment
4. Timeline
5. CRA Anforderungen
6. Unterschied NIS2

Zusammenfassung: Was der Cyber-Resilience-Act regelt

Der Cyber-Resilience-Act ist eine EU-Verordnung. Sie definiert einheitliche Sicherheitsanforderungen für Produkte mit digitalen Elementen, also auch für Software. Die Pflichten gelten über den gesamten Lebenszyklus. Für das Inverkehrbringen im EU-Binnenmarkt brauchen Unternehmen eine nachweisbare Konformität, meist über eine Konformitätsbewertung und die CE-Kennzeichnung.

Hersteller setzen Sicherheitsanforderungen um und liefern Updates. Importeure und Händler prüfen, ob Produkte die Vorgaben erfüllen. Vorgeschrieben sind außerdem ein strukturiertes Schwachstellenmanagement und klare Prozesse für Meldung, Behandlung und Bereitstellung von Sicherheitsupdates.

Eine kompakte Übersicht zum Cyber-Resilience-Act bietet die Europäische Kommission. Der Überblick des BSI zum Cyber-Resilience-Act ergänzt die offiziellen Informationen.

Wer ist vom Cyber-Resilience-Act betroffen?

Der Cyber-Resilience-Act gilt für alle Unternehmen, die Produkte mit digitalen Elementen entwickeln, importieren oder vertreiben. Er adressiert damit zentrale Rollen entlang der Lieferkette.

Hersteller entwickeln Produkte oder integrieren Software und Hardware. Sie bringen das Produkt erstmals in Verkehr.
Importeure führen Produkte aus Drittstaaten ein und prüfen die Konformität.
Händler vertreiben Produkte innerhalb der EU und achten auf die formalen Vorgaben.

Typische Beispiele für Produkte mit digitalen Elementen sind 

• Betriebssysteme
• Apps
• Firmware
• Router
• Switches
• Firewalls
• Smart-Home- und Office-Geräte
• Bürotechnologie
• industrielle Steuerungen
• Wearables 
• Unternehmens-IT wie Server und Storage-Systeme

Eine kompakte Orientierung bietet die Übersicht zu Produkten mit digitalen Elementen im Umfeld des Cyber-Resilience-Act.

Selbstcheck und Assessment: Einstieg in die Umsetzung

Ein kurzer Selbstcheck zeigt Ihnen, wie gut Ihre Organisation bereits auf Cyber-Resilienz vorbereitet ist. Das gilt auch dann, wenn Sie keine Software oder Produkte herstellen. Prüfen Sie, ob Richtlinien, Schulungen, Patch-Prozesse, Meldewege und Kontrollen in der Lieferkette etabliert sind. Daraus entsteht eine erste Prioritätenliste für Ihren Cyber-Resilience-Check.

Ein anschließendes Cyber-Resilience-Assessment vertieft die Ergebnisse. Es führt zu einer Roadmap, die Verantwortlichkeiten, Meilensteine, ein begleitendes Awareness-Programm und ein regelmäßiges Reporting bündelt. Dashboards unterstützen die transparente Übersicht.

Bestimmen Sie Ihre Cyberresilienz in weniger als 5 Minuten

Testen Sie Ihre
Cyberresilienz

Wie steht es um die Cyberresilienz Ihrer Organisation? Beantworten Sie ein paar kurze Fragen und erfahren Sie sofort, auf welcher Stufe unserer Cyberresilienz-Skala Ihre Organisation steht.

Start assessment

Your results

Score:

Level 1Foundational

Level 2Proactive

Level 3Resilient

Sie wollen Ihre Organisation auf das nächste Level bringen?

Erhalten Sie Ihr Ergebnis, Einblicke unserer Expertinnen und Experten sowie personalisierte Empfehlungen, um Ihren Schutz zu verbessern!

Get results

Timeline: Inkrafttreten und Übergangsfristen

Die Grafik zeigt die wichtigsten Meilensteine des Cyber-Resilience-Act von der Verabschiedung bis zur vollständigen Anwendung. Der Cyber-Resilience-Act tritt nach Veröffentlichung im EU-Amtsblatt in Kraft und entfaltet seine Pflichten schrittweise. So können Unternehmen ihre Prozesse und Nachweise rechtzeitig aufbauen.

Zentrale Schritte im Überblick:
2024: Verabschiedung des Gesetzestextes, Veröffentlichung im EU-Amtsblatt und Inkrafttreten am 11. Dezember.

2026: Ab Juni können Konformitätsbewertungsstellen die Erfüllung der Anforderungen prüfen. Ab September greifen Meldepflichten für Schwachstellen und Sicherheitsvorfälle.

2027: Ab Dezember müssen neue Produkte alle Anforderungen des Cyber-Resilience-Act einhalten.

Was Teams jetzt tun:
Roadmap entwickeln, Verantwortlichkeiten klären, Prozesse für Updates und Schwachstellenbehandlung testen und Konformitätsunterlagen strukturiert aufbereiten.

CRA-Anforderungen im Überblick

Die Anforderungen des Cyber-Resilience-Act verbinden technische und organisatorische Pflichten. Sie gelten über den gesamten Lebenszyklus eines Produkts und schaffen einen einheitlichen Rahmen für Cyber-Resilienz in Entwicklung, Betrieb und Update-Prozessen. Eine vertiefte Übersicht bieten die offiziellen Informationen des BSI zu den Produktanforderungen.

Security by Design und Default
Sicherheitsziele fließen von Beginn an in Architektur, Entwicklung und Konfiguration ein. Voreinstellungen müssen einen wirksamen Schutz bieten, ohne dass Nutzende zusätzliche Schritte ausführen müssen.

Schwachstellenmanagement und Updates
Organisationen benötigen Prozesse, die Schwachstellen identifizieren, bewerten und fristgerecht beheben. Sicherheitsupdates werden sicher bereitgestellt. Eine koordinierte Offenlegung erleichtert die schnelle Abhilfe.

Dokumentation und Konformität
Technische Unterlagen, Risikoanalysen und das passende Konformitätsverfahren bilden die Grundlage für das Inverkehrbringen im EU-Binnenmarkt. Die Dokumente müssen jederzeit auf dem aktuellen Stand sein und nachvollziehbar bleiben.

Meldewege und Incident-Prozesse
Teams legen eindeutige Verantwortlichkeiten, interne Meldeschritte und Eskalationsregeln fest. So lassen sich Sicherheitsvorfälle geordnet aufnehmen, beurteilen und an die zuständigen Stellen weitergeben.

Lieferkette und Komponenten
Sämtliche Komponenten und Abhängigkeiten eines Produkts werden dokumentiert, inklusive Open-Source-Bausteinen und Software-Bill-of-Materials (SBOM). Jegliche Änderungen müssen über den gesamten Lebenszyklus nachvollziehbar sein.

Informationen für Nutzende
Hinweise zu Sicherheit, Update-Zeiträumen und relevanten Änderungen müssen verständlich bereitgestellt werden. Das stärkt Transparenz und unterstützt einen sicheren Betrieb.

NIS2 und Cyber-Resilience-Act im Vergleich

NIS2 (Wer ist betroffen?) und der Cyber-Resilience-Act gehören zur aktuellen EU-Cybersicherheitsgesetzgebung, setzen aber an unterschiedlichen Stellen an. NIS2 fokussiert auf Cybersicherheitsmanagement in Organisationen, der Cyber-Resilience-Act regelt Sicherheit von Produkten mit digitalen Elementen über den gesamten Lebenszyklus. Im Vergleich werden Gemeinsamkeiten und Unterschiede der beiden EU-Regelwerke klarer sichtbar.

Aspekt	NIS2	Cyber-Resilience-Act
Rechtsnatur	EU-Richtlinie. Sie wird in nationales Recht übertragen.	EU-Verordnung. Sie gilt direkt und einheitlich im EU-Binnenmarkt.
Fokus	Cybersicherheitsmanagement in Organisationen. Meldepflichten für Sicherheitsvorfälle.	Produktsicherheit über den gesamten Lebenszyklus. Security by Design, Schwachstellenmanagement und Konformität.
Adressaten	Wesentliche und wichtige Einrichtungen in definierten Sektoren.	Hersteller, Importeure und Händler von Produkten mit digitalen Elementen.
Pflichten	Aufbau und Betrieb eines ISMS, Risikoanalysen, Incident-Handling, Berichtspflichten.	Sicherheitsanforderungen in Entwicklung, Betrieb und Update-Prozessen. Technische Dokumentation und Konformitätsbewertung.
Nachweise	Policies, Prozesse, Risikoanalysen und Meldeketten.	Technische Unterlagen, CE-Kennzeichnung und produktbezogene Konformitätsnachweise.
Zielsetzung	Erhöhung der Cyber-Resilienz kritischer und wichtiger Organisationen.	Sicherere digitale Produkte im EU-Binnenmarkt.
Praxisnutzen	Stärkt organisatorische Sicherheitsstrukturen.	Ergänzt NIS2 durch produktbezogene Sicherheitsprozesse. Zusammen entsteht eine konsistente Sicherheits- und Compliance-Roadmap.

Wer bereits an der Umsetzung von NIS2 arbeitet, kann viele Grundlagen für den Cyber-Resilience-Act nutzen, denn beide Regelwerke verfolgen dasselbe Ziel: mehr Cyber-Resilienz in Europa. Der Vergleich zeigt jedoch, dass sie unterschiedliche Ansatzpunkte haben und sich damit ideal ergänzen. Für viele Organisationen entsteht so ein klarer Orientierungsrahmen für die nächsten Schritte in Sicherheit und Compliance.

Welche Veränderungen beim Cyber-Resilience-Act (CRA) gibt es ab 2026 und 2027?

Ab 2026 greifen erste Pflichten des Cyber-Resilience-Act, etwa Meldepflichten und Konformitätsprüfungen. Ab Dezember 2027 müssen neue Produkte mit digitalen Elementen alle CRA-Anforderungen erfüllen, inklusive Security by Design, Schwachstellenmanagement, Updates und technischer Dokumentation.

Was sind Best Practices für Cyber-Resilienz?

Best Practices für Cyber-Resilienz folgen einem klaren Ablauf: Systeme härten, Updates konsequent ausrollen, Schwachstellen priorisiert beheben und Vorfälle strukturiert melden. Ergänzend schaffen klare Zuständigkeiten, regelmäßige Tests und Awareness-Programme eine belastbare Grundlage für widerstandsfähige Prozesse und Produkte.

Was sind Produkte mit digitalen Elementen im Rahmen des Cyber-Resilience-Acts (CRA)?

Produkte mit digitalen Elementen im Cyber-Resilience-Act sind Hardware oder Software, deren Funktion wesentlich von Software abhängt. Dazu gehören Betriebssysteme, Apps, Router, Smart-Home-Geräte, industrielle Steuerungen, Wearables und Unternehmens-IT wie Server oder Storage-Systeme mit integrierter Software oder Firmware.

Wie können Unternehmen Cyber-Resilienz sicherstellen?

Unternehmen stärken ihre Cyber-Resilienz durch klare Prozesse, regelmäßige Updates, strukturiertes Schwachstellenmanagement und geübte Incident-Abläufe. Ergänzend bauen sie mit Awareness-Trainings, Phishing-Simulationen und dem Cyber-Readiness-Assessment eine starke menschliche Verteidigungslinie auf und erhöhen ihren organisatorischen Reifegrad.