Der Cyber Resilience Act ist bereits in Kraft

Was KMU ab 2027 erwartet

Was die DSGVO fĂŒr personenbezogene Daten war, ist der Cyber Resilience Act (CRA) fĂŒr digitale Produkte. Klingt erstmal wie ein weiteres BĂŒrokratie-Monster – ist aber ernst. Und zwar fĂŒr alle, die Hard- oder Software verkaufen, entwickeln oder weiterverarbeiten.

Worum geht’s?

Der CRA ist eine EU-Verordnung (EU 2024/2847), die erstmals verbindliche Cybersicherheits-Pflichten fĂŒr Produkte mit digitalen Komponenten einfĂŒhrt – also fast alles mit Firmware, Software oder Netzwerkanschluss. Egal ob Router, App, Steuerungseinheit oder Smart-Home-Zubehör: Wer es in der EU verkaufen will, muss kĂŒnftig beweisen, dass es nicht zum Einfallstor fĂŒr Angriffe wird.

Ab wann?

  • Seit 10. Dezember 2024: Der CRA ist in Kraft.
  • Ab 11. September 2026: Wer eine aktiv ausgenutzte Schwachstelle entdeckt, muss das binnen 24 h melden.
  • Ab 11. Dezember 2027: Nur noch Produkte mit CE-Kennzeichnung nach CRA dĂŒrfen verkauft werden.
    Ohne CE = kein Markt.

Was heißt das konkret fĂŒr KMU?

1. Dokumentation und Risikomanagement
Schon bei der Entwicklung braucht es eine Risikoanalyse, eine „Software-StĂŒckliste“ (SBOM) und klare Prozesse zur SicherheitsĂŒberwachung. Kein Produkt ohne Papier.

2. Pflicht zur Update-FĂ€higkeit
Alle Produkte mĂŒssen wĂ€hrend ihrer geplanten Lebensdauer mit Sicherheitsupdates versorgt werden können – mindestens 5 Jahre lang. Und zwar getrennt von Funktionsupdates.

3. Meldepflicht bei SicherheitsvorfÀllen
Innerhalb von 24 Stunden muss ein Vorfall bei der ENISA oder der nationalen Cybersicherheitsbehörde gemeldet werden – auch wenn Du nur Reseller bist.
Ja, auch dann.

4. Selbstbewertung oder externe PrĂŒfung
Die meisten Produkte fallen in die Kategorie „geringes Risiko“ – da reicht eine Selbstbewertung. Kritische Systeme (z. B. VPNs, Passwortmanager, Firewalls) brauchen eine externe Zertifizierung. Wer keine hat, fliegt aus dem Markt.

5. Haftung und Bußgelder
VerstĂ¶ĂŸe können mit bis zu 15 Millionen Euro oder 2,5 % des globalen Jahresumsatzes geahndet werden. Ja, auch fĂŒr KMU. Wenn Du also Hard- oder Software vertreibst – oder entwickelst – solltest Du das nicht auf die leichte Schulter nehmen.

Was bedeutet das fĂŒr Dich als KMU?

Du entwickelst eine Access-Lösung, die Daten mit einer Azure-Komponente synchronisiert? Du baust IoT-Module in Lichtsteuerungen ein? Du vertreibst ein Open-Source-Tool mit kleiner GUI, das per Installer rausgeht? Willkommen im Club der „digitalen Produkte“.
Und damit in der Pflicht.

Wer meint, der CRA betreffe nur große Konzerne, wird 2027 von der RealitĂ€t eingeholt – und von der Marktaufsicht.

Mein Tipp: FrĂŒhzeitig anfangen. Jetzt.

  • Bau die KonformitĂ€t gleich in neue Produkte ein
  • Nutze den CRA als Verkaufsargument („zukunftssicher & CRA-konform“)
  • KlĂ€re mit Partnern & Lieferanten, ob sie ihre Pflichten erfĂŒllen
  • Lass Dich beraten – oder frag jemanden, der Datenschutz & Technik zusammenbringt 🐑

Quellen (deutschsprachig)

  1. Wikipedia-Artikel zum Cyber Resilience Act
  2. DIHK: Durchblick zum CRA
  3. Carbyte.de: CRA einfach erklĂ€rt fĂŒr KMU
  4. Contechnet Blog: CRA kompakt
Gilt der CRA auch fĂŒr KMU?

Ja. Der Cyber Resilience Act gilt fĂŒr alle Unternehmen – auch kleine und mittlere. Hersteller, Importeure und HĂ€ndler von digitalen Produkten sind verpflichtet, CRA-konform zu handeln. Eine Ausnahme greift nicht. Die EU-Regel berĂŒcksichtigt KMU zwar mit weniger bĂŒrokratischen Anforderungen, doch die Pflicht bleibt bestehen. Bei VerstĂ¶ĂŸen drohen Bußgelder.

Betroffen: Nur Hardware oder auch Software?

Beides – Hard- und Software mit digitalen Elementen (Netzwerk, Firmware, indirekte Verbindung) zĂ€hlen. Smart-Home-GerĂ€te, Apps, Firmware-gesteuerte Sensoren – sobald sie Daten verarbeiten oder vernetzt sind, fĂ€llt der CRA. Auch Open-Source-Software kann betroffen sein, wenn sie kommerziell eingesetzt wird.

Ab wann musst Du aktiv werden?

Seit 10. Dezember 2024: Der CRA gilt formal.
Ab 11. September 2026: Meldepflicht fĂŒr aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden bei Behörden.
Ab 11. Dezember 2027: CE‑Kennzeichnung nach CRA ist Pflicht – Produkte ohne CRA-KonformitĂ€t sind illegal auf dem EU-Markt.

Darf man kĂŒnftig „China-Waren“ von Temu in Deutschland noch kaufen?

Auch Importprodukte mĂŒssen CRA-konform sein, egal ob aus China, USA oder irgendwoher. Plattformen wie Temu sind laut EU-Regeln kĂŒnftig zur Haftung fĂŒr unsichere Produkte verpflichtet – etwa wenn SicherheitsstĂ€nde nicht erfĂŒllt werden oder keine CE-KonformitĂ€t nachgewiesen ist. Die EU untersucht Temu und Shein bereits wegen gefĂ€hrlicher Waren. Bei VerstĂ¶ĂŸen drohen HĂ€ndler und Betreiber Schadenersatz und Verkaufsverbot. Kurz: Solange Temu-Produkte keine CRA-konforme CE haben, darfst Du sie offiziell nicht verkaufen oder einsetzen.

Kategorien:

Allgemein