Skip to main navigation Zum Hauptinhalt springen Skip to page footer

Cyber Resilience Act: Deutschland schafft Voraussetzungen für die Umsetzung – Cybersicherheit wird Pflicht für digitale Produkte

Der Bundesrat hat den Weg für das deutsche Durchführungsgesetz zum Cyber Resilience Act (CRA) freigemacht.

Gegen den Gesetzentwurf zur Umsetzung der Verordnung (EU) 2024/2847 wurden keine Einwendungen erhoben. Damit schafft Deutschland die notwendigen nationalen Regelungen für die Anwendung der bereits geltenden EU-Verordnung.

Der Cyber Resilience Act macht Cybersicherheit zu einer verbindlichen Voraussetzung für den Marktzugang von Produkten mit digitalen Elementen in der Europäischen Union. Die Verordnung gilt schrittweise seit dem 11. Juni 2026; vollständig anwendbar sind alle Anforderungen ab dem 11. Dezember 2027.

Welche Produkte sind betroffen?
Der CRA erfasst grundsätzlich alle Produkte mit digitalen Elementen, darunter insbesondere:

  • Software und Hardware mit Netzwerkfunktion,

  • Smart-Home-Geräte, Smartphones und Router,

  • Betriebssysteme,

  • Cloud-basierte Lösungen sowie

bestimmte Open-Source-Software.

Ausgenommen sind unter anderem Medizinprodukte, Fahrzeuge, Produkte der zivilen Luftfahrt sowie Produkte für die nationale Sicherheit oder Verteidigung, da für diese bereits eigene sektorale Regelungen gelten.

Neue Pflichten für Wirtschaftsakteure
Hersteller, Importeure und Händler müssen künftig sicherstellen, dass ihre Produkte die neuen Cybersicherheitsanforderungen erfüllen. Dazu gehören unter anderem:

  • keine bekannten ausnutzbaren Sicherheitslücken beim Inverkehrbringen,

  • ein möglichst geringes Angriffsrisiko,

  • Maßnahmen zur Begrenzung von Sicherheitsvorfällen sowie

  • die Möglichkeit für Nutzer, Daten und Einstellungen sicher und dauerhaft zu löschen.

Die Einhaltung der Anforderungen wird künftig Bestandteil der CE-Kennzeichnung. Produkte, die die Vorgaben nicht erfüllen, dürfen nicht mehr auf dem EU-Markt bereitgestellt werden. Bei Verstößen drohen erhebliche Bußgelder.

Nationale Umsetzung
Das Durchführungsgesetz regelt insbesondere die Zuständigkeiten der Behörden in Deutschland. Vorgesehen ist, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) als Marktüberwachungs- und notifizierende Behörde fungiert. Darüber hinaus sollen insbesondere kleine und mittlere Unternehmen bei der Umsetzung der neuen Anforderungen unterstützt werden.

ICADA-Hinweis: Für Unternehmen, die vernetzte oder softwaregestützte Produkte entwickeln oder vertreiben, sollten die Anforderungen des Cyber Resilience Act frühzeitig in die Produktentwicklung und Konformitätsbewertung integriert werden. Auch wenn klassische kosmetische Produkte in der Regel nicht betroffen sind, können beispielsweise intelligente Beauty-Geräte oder andere vernetzte Verbraucherprodukte künftig unter den Anwendungsbereich des CRA fallen.