Kontakt

Ob Sie lieber eine E-Mail senden, zum Telefon greifen oder das gute alte Fax nutzen. Wir freuen uns, von Ihnen zu hören.

Anruf unter
+49 711 86040 00
Fax unter
+49 711 86040 01
E-Mail an
kontakt@menoldbezler.de

Cyber Resilience Act – Was Unternehmen jetzt rechtlich beachten müssen

Fachbeiträge
Cyber Resilience Act – Was Unternehmen jetzt rechtlich beachten müssen

Mit dem Cyber Resilience Act (CRA) führt die Europäische Union erstmals einheitliche Regeln für die Cybersicherheit von digitalen Produkten ein. Die Verordnung soll sicherstellen, dass Hardware und Software in der EU während ihres gesamten Lebenszyklus sicher sind. Das bedeutet für Hersteller, Importeure und Händler: Cybersicherheit wird zu einer verbindlichen Produktanforderung.

Der Zweck des CRA liegt darin, die Sicherheit vernetzter Produkte zu erhöhen. Die Verordnung soll gewährleisten, dass Produkte mit digitalen Elementen über ihre gesamte Lieferkette hinweg und während der gesamten Nutzungsdauer ein angemessenes Schutzniveau bieten. Gleichzeitig sollen die Regelungen innerhalb der EU vereinheitlicht werden, um unterschiedliche nationale Anforderungen zu vermeiden. Ziel ist ein einheitlicher digitaler Binnenmarkt, in dem Sicherheit und Vertrauen in digitale Produkte gestärkt werden.
 

Einheitliche Sicherheitsanforderungen für digitale Produkte

Der CRA legt verbindliche Sicherheitsstandards für alle in der EU hergestellten, importierten oder vertriebenen Hardware- und Softwareprodukte fest. Die Vorgaben gelten für alle Phasen des Produktlebenszyklus – von der Konzeption über die Entwicklung und Herstellung bis hin zum Inverkehrbringen. Hersteller müssen Risiken frühzeitig identifizieren, Sicherheitslücken schließen und über die gesamte Lebensdauer regelmäßige Updates bereitstellen. Zudem bestehen Meldepflichten bei Sicherheitsvorfällen.
Der Anwendungsbereich des CRA ist breit. Erfasst sind alle Produkte mit digitalen Elementen, deren bestimmungsgemäßer Zweck oder vorhersehbare Nutzung eine direkte oder indirekte Verbindung mit einem Gerät oder Netzwerk einschließt. Dazu zählen sowohl physische als auch logische Schnittstellen. Dagegen legt die Verordnung auch einige Ausnahmen fest. Dazu zählen beispielsweise einige Produkte mit digitalen Elementen oder auch Medizinprodukte, sowie Fahrzeuge, welche bereits unter eine andere im CRA genannte Verordnung fallen.
 

Pflichten, Fristen und rechtliche Auswirkungen

Die Verordnung sieht ein dreistufiges System zur Konformitätsbewertung vor. In der ersten Stufe sind allgemeine Produkte mit digitalen Elementen erfasst. Hier müssen Hersteller grundlegende Cybersicherheitsanforderungen erfüllen und Schwachstellenmanagement betreiben. Sie können sich auf harmonisierte europäische Normen berufen, um die Einhaltung zu belegen. Die zweite Stufe betrifft wichtige Produkte wie Passwort-Manager oder internetfähiges Spielzeug. Für sie gelten erweiterte Prüfverfahren, die der Hersteller selbst durchführen kann, um nachzuweisen, dass die Anforderungen aus Anhang I erfüllt sind. Die dritte Stufe betrifft besonders kritische Produkte, etwa Hardware mit Sicherheitskomponenten. Diese benötigen ein europäisches Cybersicherheitszertifikat nach dem Cybersecurity Act (EU) 2019/881 mit mindestens mittlerer Vertrauensstufe.

Hersteller müssen den Nachweis der Konformität über eine Bewertung des Produkts erbringen. Für weniger kritische Produkte genügt eine Selbstbewertung, während kritische Produkte von einer unabhängigen Stelle zertifiziert werden müssen. Diese Prüfstellen dürfen ab dem 11. Juni 2026 tätig werden. Für die Selbstbewertung ist eine technische Dokumentation erforderlich, die eine Risikoanalyse, Maßnahmen zur Risikominderung, Strategien für Updates und Patches sowie ein Schwachstellenmanagement enthält. Nach erfolgreicher Prüfung unterzeichnet der Hersteller eine EU-Konformitätserklärung und muss die Unterlagen aufbewahren, da Behörden eine Überprüfung verlangen können.
Rechtlich handelt es sich beim Cyber Resilience Act um eine EU-Verordnung. Damit gilt er in Deutschland und allen Mitgliedstaaten unmittelbar – ohne dass es einer nationalen Umsetzung bedarf. Unternehmen müssen die Anforderungen also direkt einhalten, sobald die Übergangsfristen ablaufen. Die Verordnung wurde am 23. Oktober 2024 verabschiedet und ist am 11. Dezember 2024 in Kraft getreten. Die Umsetzung erfolgt schrittweise: Spätestens zum 11. Dezember 2027 müssen alle neuen Produkte die Vorgaben erfüllen. Unternehmen sollten jedoch prüfen, ob bestimmte Pflichten schon früher greifen, da einzelne Artikel kürzere Umsetzungsfristen vorsehen.

Der CRA betrifft die gesamte Lieferkette. Er richtet sich nicht nur an Hersteller, sondern auch an Importeure und Händler, die digitale Produkte in der EU vertreiben. Die Artikel 13 ff. der Verordnung regeln jeweils eigene Pflichten für diese Akteure. Hersteller tragen die Hauptverantwortung für die Einhaltung der Sicherheitsanforderungen. Importeure müssen sicherstellen, dass eingeführte Produkte den CRA-Vorgaben entsprechen. Händler dürfen nur konforme Produkte anbieten und müssen bei Sicherheitsrisiken kooperieren.
 

Für Unternehmen bedeutet das

Cybersicherheit wird künftig nicht mehr allein ein IT-Thema sein, sondern Teil der rechtlichen Produktverantwortung. Wer vom Anwendungsbereich betroffene Produkte herstellt oder vertreibt, sollte frühzeitig prüfen, welche CRA-Anforderungen relevant sind, und seine Entwicklungs- und Compliance-Prozesse darauf ausrichten.

Ansprechpartner
Marina Ntritsou
Ntritsou, Marina Wirtschaftsjuristin
Weitere relevante Bereiche zum Thema
Datenschutzrecht
Branchen & Lösungen
Digitalisierung
Zurück
Newsletter

Sie wollen regelmäßig Informationen zu aktuellen Entwicklungen erhalten? Hier können Sie sich für unseren Newsletter registrieren.

Jetzt anmelden

Telefon: +49 711 86040 00
Telefax: +49 711 86040 01
kontakt@menoldbezler.de