Cyber Resilience Act: EU gibt Herstellern den Fahrplan für Cybersicherheit

Ab Juni 2026 müssen Hersteller in der EU nachweisen, dass ihre digitalen Produkte von Grund auf sicher sind. Die EU-Kommission hat jetzt den lang erwarteten Leitfaden zum historischen Cyber Resilience Act (CRA) vorgelegt – den Fahrplan für mehr Sicherheit bei Smartphones, Software und Industrieanlagen.

Brüssel. Der Countdown läuft. Die Europäische Kommission hat den ersten Entwurf eines Umsetzungsleitfadens für das wegweisende Sicherheitsgesetz veröffentlicht. Es betrifft alles, was mit dem Internet verbunden werden kann: vom smarten Spielzeug bis zur Steuerung einer Fabrikhalle. Das Ziel ist klar: Sicherheit muss von Anfang an mitgedacht werden, nicht nachträglich hinzugefügt.

Während neue EU-Gesetze wie der Cyber Resilience Act die Anforderungen an die IT-Sicherheit verschärfen, sind viele Betriebe noch unzureichend vorbereitet. Dieser Experten-Report enthüllt effektive Strategien, wie mittelständische Unternehmen sich ohne Budget-Explosion gegen Cyberkriminelle wappnen können. Effektive IT-Sicherheitsstrategien kostenlos entdecken

Der Entwurf vom 3. März 2026 kommt zum richtigen Zeitpunkt. Zwar ist das Gesetz bereits seit Ende 2024 in Kraft, doch die ersten konkreten Pflichten greifen in wenigen Monaten. Bis zum 31. März können Verbände und Unternehmen noch Feedback geben.

Lebenszyklus-Verantwortung für Hersteller

Was bedeutet das in der Praxis? Ein Kernpunkt ist die erweiterte Verantwortung der Hersteller. Sie müssen Sicherheitsupdates für einen „angemessenen Zeitraum“ bereitstellen. Die im Gesetz genannten fünf Jahre sind dabei ausdrücklich kein Pauschalwert. Bei Produkten mit langer Nutzungsdauer – etwa industriellen Steuerungskomponenten – kann die Support-Pflicht deutlich länger gelten.

Ab September 2026 wird es ernst: Dann müssen aktiv ausgenutzte Sicherheitslücken oder schwere Vorfälle innerhalb von 24 Stunden gemeldet werden. Eine detaillierte Analyse muss binnen 72 Stunden folgen. Für viele Firmen, insbesondere KMU, bedeutet das eine Revolution ihrer internen Prozesse.

Industrie reagiert mit neuen Tools

Die Wirtschaft bereitet sich bereits intensiv vor. Ein Beispiel: Der Automatisierungsspezialist OPEX Corporation gab am 19. März bekannt, eine spezielle CRA-Tauglichkeitsprüfung bestanden zu haben. Ein externes Sicherheitsunternehmen checkte dabei Entwicklungsrichtlinien und Meldewege.

Gleichzeitig entsteht ein neuer Markt für Compliance-Hilfen. Der Messtechnik-Konzern Keysight Technologies brachte am 18. März eine Lösung für die Verwaltung von Software-Bestandslisten (SBOM) auf den Markt. Diese Transparenz über alle verbauten Software-Komponenten ist eine Grundanforderung des CRA. Solche Tools könnten bald so selbstverständlich werden wie Buchhaltungssoftware.

Die zunehmende Vernetzung und neue Regularien wie die KI-Gesetze stellen Geschäftsführer 2024 vor große Herausforderungen im Bereich der digitalen Infrastruktur. Dieser kostenlose Leitfaden zeigt Ihnen, wie Sie Ihr Unternehmen mit einfachen Maßnahmen proaktiv schützen und die IT-Sicherheit ohne teure Neuinfektionen stärken. Kostenlosen Cyber-Security-Leitfaden jetzt herunterladen

Globaler Trend „Secure-by-Design“

Die EU ist mit ihrem Gesetz nicht allein. Weltweit setzt sich der Ansatz „Secure-by-Design“ durch. Die USA treiben mit einer Präsidentenverordnung und speziellen FDA-Richtlinien für Medizingeräte ähnliche Ziele voran. Die Botschaft ist global: Die Ära, in der Cybersicherheit ein nachträglicher Gedanke war, ist endgültig vorbei.

Der EU-Leitfaden ist zwar nicht rechtsverbindlich – das letzte Wort hat der Europäische Gerichtshof. Doch er gibt die bislang klarste Linie der Aufsichtsbehörden vor. Branchenbeobachter erwarten, dass er zum zentralen Referenzdokument für Compliance-Abteilungen in ganz Europa wird.

Der verbindliche Fahrplan bis 2027

Die Umsetzung erfolgt in drei Schritten:
* 11. Juni 2026: Die Marktüberwachungsregeln treten in Kraft.
* 11. September 2026: Die 24-Stunden-Meldepflicht für kritische Sicherheitslücken startet.
* 11. Dezember 2027: Alle Pflichten des CRA gelten verbindlich für alle betroffenen Produkte.

Für Unternehmen heißt das: Jetzt handeln. Risikobewertungen, klare Prozesse für Schwachstellen-Management und funktionierende SBOMs sind keine option mehr, sondern Voraussetzung für den Zugang zum EU-Binnenmarkt. Der weitere Dialog zwischen Regulierern, Industrie und der Open-Source-Gemeinschaft wird entscheidend sein, um den Übergang zu gestalten.

boerse | 68923531 |