Ein Leitfaden zur Einhaltung der Vorschriften
04/2026
1 Einleitung
Die moderne Gesellschaft ist zunehmend von vernetzten digitalen Produkten abhängig, von intelligenten Haushaltsgeräten und Spielzeug bis hin zu Software für die industrielle Steuerung. Dennoch leiden solche Produkte seit langem unter unzureichender Cybersicherheit. So haben Hersteller beispielsweise häufig Geräte mit bekannten Schwachstellen auf den Markt gebracht oder unregelmässige Sicherheitsupdates bereitgestellt, und den Nutzern fehlten angemessene Informationen, um die Sicherheitsmerkmale verschiedener Produkte zu vergleichen. Dieses Marktversagen hat zu weit verbreiteten Cybervorfällen geführt, wobei die weltweiten Kosten der Cyberkriminalität für das Jahr 2021 auf 5,5 Billionen Euro geschätzt werden. Bis vor kurzem schrieb das EU-Recht im Allgemeinen kein Mindestmass an Cybersicherheit für Produkte vor, insbesondere nicht für eigenständige Softwareprodukte. Die Erkenntnis dieser regulatorischen Lücke veranlasste die EU zur Verabschiedung des Cyber Resilience Act (CRA), einer horizontalen Verordnung, die Hersteller verpflichtet, Cybersicherheitsmassnahmen in das Produktdesign und die Wartung zu integrieren, analog zur Regulierung von Sicherheitsstandards für physische Produkte. Der CRA trat am 10. Dezember 2024 als Verordnung (EU) 2024/2847 in Kraft, und seine wichtigsten Verpflichtungen gelten nach einer Übergangsphase ab dem 11. Dezember 2027.
Der CRA zielt darauf ab, „sicherzustellen, dass Hardware- und Softwareprodukte mit weniger Schwachstellen auf den EU-Markt gebracht werden und dass Hersteller die Cybersicherheit während des gesamten Produktlebenszyklus ernst nehmen“, während gleichzeitig die Transparenz erhöht wird, damit Nutzer die Cybersicherheit bei ihren Entscheidungen berücksichtigen können. Tatsächlich schafft er ein neues öffentlich-rechtliches Paradigma für die Produktsicherheit, indem er Ex-ante-Anforderungen an die Cybersicherheit auferlegt, die durch die EU-Marktüberwachung und -Durchsetzung untermauert werden, anstatt sich allein auf die Ex-post-Haftung zu stützen. Dies stellt einen bedeutenden Wandel dar: Die Cybersicherheit von Produkten wird nun als eine Frage der Einhaltung von Vorschriften behandelt (ähnlich wie elektrische Sicherheit oder elektromagnetische Verträglichkeit), anstatt der Selbstregulierung der Industrie überlassen zu bleiben. Die CRA ergänzt andere EU-Initiativen zur Cybersicherheit (wie den Fokus der NIS2-Richtlinie auf die Betriebssicherheit von Diensten), indem sie sich mit der Sicherheit der Produkte selbst befasst. Für Hersteller, Importeure und Händler schafft die CRA spezifische Verpflichtungen und erfordert eine proaktive Compliance-Strategie. Dieser Artikel bietet einen Überblick über diese Verpflichtungen und einen Fahrplan für die praktische Umsetzung. Er erörtert zudem die Funktionsweise der Durchsetzungsmechanismen der CRA und die potenziellen strafrechtlichen Folgen bei Nichteinhaltung. Somit stellt er einen umfassenden Leitfaden für Akteure dar, die sich auf die Erfüllung der Anforderungen der CRA vorbereiten.
2 Anwendungsbereich und wesentliche Verpflichtungen gemäss dem CRA
2.1 Breiter Anwendungsbereich: „Produkte mit digitalen Elementen“
Das CRA gilt für die meisten Produkte, die Software oder Hardware enthalten und direkt oder indirekt mit einem Gerät oder Netzwerk verbunden werden können. Die Rechtsvorschrift definiert ein „Produkt mit digitalen Elementen“ als „ein Software- oder Hardwareprodukt und dessen Lösungen zur Fernverarbeitung von Daten, einschliesslich Software- oder Hardwarekomponenten, die separat in Verkehr gebracht werden“. Diese weit gefasste Definition umfasst fast alle derartigen Produkte, die auf dem EU-Markt angeboten werden, von Gadgets des Internet der Dinge (IoT) für Verbraucher (Smart-TVs, Spielzeug, Kameras und Haushaltsgeräte) bis hin zu industrieller Software und Betriebssystemen. Bemerkenswert ist, dass sogar eigenständige Software einbezogen ist; dies schliesst eine erhebliche Lücke, die im bisherigen Rechtsrahmen bestand. Es gibt begrenzte Ausnahmen: Produkte, die bereits ebenso strengen sektorspezifischen EU-Cybersicherheitsvorschriften unterliegen, sind ausgenommen, um Doppelregelungen zu vermeiden. So unterliegen beispielsweise Medizinprodukte, Luftfahrtausrüstung und „ “-Fahrzeuge eigenen Vorschriften, einschliesslich Cybersicherheitsbestimmungen, und fallen daher im Rahmen der bestehenden Vorschriften nicht in den Anwendungsbereich der CRA. Ebenso ist freie und Open-Source-Software, die ausserhalb kommerzieller Aktivitäten entwickelt oder bereitgestellt wird, ausgenommen; solche Software, die jedoch in kommerziellen Produkten verwendet wird, fällt unter die Anforderungen der CRA. Im Allgemeinen unterliegt jedes Unternehmen, das ein vernetztes Produkt oder Software in der EU verkauft oder vertreibt, wahrscheinlich der CRA, entweder als Hersteller oder als anderer Wirtschaftsakteur in der Lieferkette.
2.2 Pflichten der Hersteller hinsichtlich „Secure by Design“
Die CRA erlegt den Herstellern, die in erster Linie für die Produktkonformität verantwortlich sind, die umfangreichsten Verpflichtungen auf. Hersteller müssen sicherstellen, dass Produkte mit digitalen Elementen gemäss den in Anhang I der Verordnung aufgeführten grundlegenden Cybersicherheitsanforderungen entworfen, entwickelt und hergestellt werden. Diese grundlegenden Anforderungen umfassen sowohl technische als auch organisatorische Massnahmen. In der Praxis bedeutet dies, dass Hersteller bereits ab der frühesten Entwurfsphase und während der gesamten Entwicklung modernste Sicherheitsfunktionen und Schutzmassnahmen integrieren müssen. So verlangt die CRA beispielsweise ausdrücklich, dass Hersteller für jedes Produkt eine Cybersicherheits-Risikobewertung durchführen; diese Bewertung muss untersuchen, wie das Produkt bei seiner bestimmungsgemässen Verwendung und in vernünftigerweise vorhersehbaren Verwendungskontexten missbraucht oder angegriffen werden könnte. Das Produkt muss auf der Grundlage dieser Risikobewertung so konstruiert werden, dass Cybersicherheitsrisiken minimiert und Vorfälle verhindert werden, wobei potenzielle Auswirkungen auf die Gesundheit, Sicherheit und Privatsphäre der Nutzer zu berücksichtigen sind. Im Wesentlichen bedeutet dies, dass Sicherheitsaspekte die Entscheidungen beim Software- und Hardware-Design bestimmen müssen (sichere Softwareentwicklungspraktiken, starke Authentifizierungskontrollen, sichere Standardkonfigurationen usw.), sowohl um Schwachstellen zu reduzieren als auch um den durch verbleibende Schwachstellen verursachten Schaden zu mindern.
Ein von der CRA eingeführter Kerngrundsatz lautet, dass kein Produkt mit einer bekannten ausnutzbaren Schwachstelle auf den Markt gebracht werden darf. Dies schafft einen rechtlichen Anreiz für Hersteller, vor der Produktfreigabe gründliche Tests durchzuführen und bekannte Sicherheitsmängel zu beheben (z. B. durch Patches oder Designänderungen). Darüber hinaus müssen Hersteller Richtlinien und Verfahren für den Umgang mit Schwachstellen implementieren, die möglicherweise zu einem späteren Zeitpunkt im Produktlebenszyklus entdeckt werden. Anhang I (Teil 2) der CRA schreibt vor, dass Hersteller Prozesse einrichten müssen, um Schwachstellen in ihren Produkten kontinuierlich zu überwachen, zu identifizieren und zu beheben. Dazu gehört auch die Fähigkeit, Sicherheitsupdates zeitnah an die Nutzer zu verteilen. Die CRA schreibt keine genauen technischen Massnahmen vor, sondern entscheidet sich für einen risikobasierten Ansatz, verankert jedoch das Konzept von „Security by Design“ und „Security by Default“ als gesetzliche Verpflichtung. Wenn ein Produkt beispielsweise Komponenten von Drittanbietern oder Open-Source-Bibliotheken enthält, ist der Hersteller dafür verantwortlich, sicherzustellen, dass diese Komponenten die Gesamtsicherheit des Produkts nicht beeinträchtigen. Er sollte solche Komponenten auf Schwachstellen überprüfen und auf dem neuesten Stand halten, was eine Sorgfaltspflicht widerspiegelt, die sich auf die Lieferkette erstreckt.
2.3 Transparenz des Lebenszyklus und Benutzerinformationen
Im Gegensatz zu traditionellen Produktsicherheitsgesetzen verfolgt die CRA einen expliziten Produktlebenszyklusansatz in Bezug auf Cybersicherheit. Hersteller müssen einen Supportzeitraum festlegen und bekanntgeben, während dessen sie Sicherheitsupdates für das Produkt bereitstellen. Diese Dauer sollte auf der Grundlage der erwarteten Lebensdauer und Nutzung des Produkts festgelegt werden (unter Berücksichtigung von Faktoren wie der Betriebsumgebung und der Kritikalität des Produkts). Wichtig ist, dass der Hersteller dokumentieren muss, wie die Dauer des Supportzeitraums festgelegt wurde, und auf Anfrage der Regulierungsbehörden die Gründe für diese Entscheidung darlegen muss (damit wird effektiv ein Rechenschaftsprinzip in die Produktsicherheit eingeführt). Die Nutzer sollten darüber informiert werden, wie lange sie mit Sicherheitsunterstützung rechnen können. Die CRA- e erhöht somit die Transparenz hinsichtlich der Sicherheitseigenschaften von Produkten und ermöglicht es Verbrauchern und Unternehmen, fundierte Entscheidungen zu treffen. Darüber hinaus müssen den Produkten klare Sicherheitsanweisungen beiliegen, beispielsweise Leitlinien zur sicheren Konfiguration, zu Standardpasswörtern und zur Meldung von Schwachstellen.
2.4 Technische Dokumentation und Aufbewahrung von Unterlagen
Um die Überprüfung der Einhaltung der Vorschriften zu erleichtern, sind Hersteller verpflichtet, für jedes Produkt eine umfassende technische Dokumentation zu erstellen (gemäss Artikel 31 und Anhang VII der CRA). Dazu gehören die Dokumentation der Cybersicherheits-Risikobewertung, Einzelheiten zur Produktkonstruktion und zu den Sicherheitsvorkehrungen, die zur Erfüllung jeder grundlegenden Anforderung getroffen wurden, Prüfberichte, Verfahren zum Umgang mit Schwachstellen und vieles mehr. Die Dokumentation, die als Nachweis dafür dient, dass das Produkt die Anforderungen der CRA erfüllt, muss auf dem neuesten Stand gehalten und den Behörden auf Anfrage zur Verfügung gestellt werden, auch nachdem das Produkt in Verkehr gebracht wurde (für die voraussichtliche Lebensdauer des Produkts). Diese Verpflichtung steht im Einklang mit dem neuen Rechtsrahmen der EU für die Produktkonformität und bekräftigt das Konzept, dass Cybersicherheit in regulatorischer Hinsicht mittlerweile ebenso entscheidend ist wie Sicherheit oder elektromagnetische Verträglichkeit.
2.5 Pflichten von Importeuren und Händlern
Die CRA dehnt bestimmte Konformitätspflichten auf andere Wirtschaftsakteure in der Lieferkette aus, um „Schwachstellen“ zu vermeiden. Importeure (d. h. diejenigen, die Produkte von ausserhalb der EU einführen) müssen vor dem Inverkehrbringen eines Produkts auf dem EU-Markt die gebotene Sorgfalt walten lassen. Konkret muss der Importeur überprüfen, ob der Hersteller eine angemessene Konformitätsbewertung durchgeführt hat, ob das Produkt mit der CE-Kennzeichnung versehen ist und ob das Produkt mit der erforderlichen EU-Konformitätserklärung (DoC) und Sicherheitshinweisen ausgestattet ist. Der Importeur muss ausserdem sicherstellen, dass der Hersteller die erforderliche technische Dokumentation erstellt hat und dass diese den Behörden auf Anfrage vorgelegt werden kann. Kurz gesagt dienen Importeure als zusätzliche Kontrollinstanz, um nicht konforme Produkte auszusortieren und zu verhindern, dass sie auf den EU-Markt gelangen. Händler (d. h. diejenigen, die Produkte innerhalb der EU verkaufen) haben etwas geringere Verpflichtungen, müssen aber ebenfalls mit der gebotenen Sorgfalt handeln. So muss ein Händler beispielsweise überprüfen, ob Produkte die CE-Kennzeichnung tragen und mit den entsprechenden Unterlagen (der Konformitätserklärung sowie Benutzer- und/oder Sicherheitsinformationen) versehen sind, bevor er sie zum Verkauf anbietet. Wenn Importeure oder Händler feststellen, dass ein Produkt nicht den Anforderungen der CRA entspricht (z. B. weil die CE-Kennzeichnung fehlt oder eine bekannte Schwachstelle vorliegt), dürfen sie es nicht verkaufen und sollten den Hersteller oder gegebenenfalls die Behörden informieren. Darüber hinaus übernehmen Importeure und Händler bestimmte Meldepflichten: Wenn sie Kenntnis von einer Schwachstelle oder einem Cybersicherheitsvorfall im Zusammenhang mit dem Produkt erhalten, müssen sie den Hersteller (und in einigen Fällen die Aufsichtsbehörden) unverzüglich informieren. Dies stellt sicher, dass Informationen über Risiken an diejenigen weitergeleitet werden, die diese beheben können; ausserdem wird so die gesamte Lieferkette in das Resilienzparadigma einbezogen.
2.6 Meldepflichten bei Sicherheitslücken
Neben der Prävention und dem Management von Schwachstellen führt die CRA ein obligatorisches Meldesystem für Cybersicherheitslücken und -vorfälle ein. Hersteller müssen die nationalen Behörden und die Europäische Agentur für Netz- und Informationssicherheit (ENISA) über jede aktiv ausgenutzte Schwachstelle in ihrem Produkt oder jeden Vorfall, der erhebliche Auswirkungen auf die Sicherheit des Produkts hat, innerhalb von 24 Stunden nach Bekanntwerden benachrichtigen. Diese knappe Frist („unverzüglich und in jedem Fall innerhalb von 24 Stunden“) spiegelt die Dringlichkeit von Cybersicherheitsbedrohungen wider. Die Erstmeldung soll eine Beschreibung des Problems und vorläufige Abhilfemassnahmen enthalten. Darüber hinaus sind die Hersteller verpflichtet, in der Regel innerhalb von 72 Stunden einen detaillierteren Folgebericht und innerhalb eines Monats (bei einem schwerwiegenden Vorfall) oder innerhalb von 14 Tagen im Falle einer aktiv ausgenutzten Schwachstelle einen abschliessenden Vorfallbericht vorzulegen. Sie müssen zudem die Nutzer über solche Vorfälle oder Schwachstellen informieren und bei Bedarf Anweisungen zur Risikominderung oder Patches bereitstellen. Die ENISA wird ein zentrales Meldesystem (eine „einheitliche Meldeplattform“ gemäss Artikel 16 der CRA) betreiben, um diese Meldungen zu straffen. Insbesondere wenn ein Hersteller eine Schwachstelle in einer von ihm verwendeten Komponente (z. B. einer Open-Source-Bibliothek oder einem Modul eines Drittanbieters) entdeckt, verpflichtet die CRA ihn, diese Schwachstelle dem Entwickler oder Betreuer der Komponente zu melden und ihm alle verfügbaren Korrekturen zur Verfügung zu stellen. Diese innovative Anforderung fördert die Zusammenarbeit in der Lieferkette und stellt sicher, dass die für die Komponente Verantwortlichen Korrekturmassnahmen ergreifen können, was allen Produkten zugutekommt, die auf dieser Komponente basieren. Zusammenfassend zielen die im CRA festgelegten Meldepflichten darauf ab, ein Frühwarn- und Reaktionssystem für Produktsicherheitsprobleme zu schaffen, damit die Behörden ihre Massnahmen koordinieren und die Nutzer gewarnt werden können; dies ähnelt der Vorgehensweise bei Datenschutzverletzungen im Rahmen der Vorschriften zum Schutz personenbezogener Daten. Diese Pflichten spiegeln auch die Tatsache wider, dass Cybersicherheit zu einer Angelegenheit von öffentlichem Interesse und öffentlicher Sicherheit geworden ist und nicht mehr nur ein privates Anliegen darstellt.
3 Risikobasierte Einstufung und Konformitätsbewertung
Ein Eckpfeiler der CRA ist ihr risikobasierter Ansatz zur Einhaltung der Vorschriften, durch den die Strenge der Konformitätsbewertungsverfahren auf das vom Produkt ausgehende Cyberrisiko zugeschnitten wird. Im Einklang mit dem neuen Rechtsrahmen der EU müssen alle Produkte mit digitalen Elementen vor dem Inverkehrbringen einer angemessenen Konformitätsbewertung unterzogen werden, um zu überprüfen, ob sie die grundlegenden Anforderungen der CRA erfüllen. Die CRA legt mehrere Produktklassen fest, die deren Kritikalitätsgrad widerspiegeln, und weist entsprechend unterschiedliche Bewertungswege zu.
Gemäss dem endgültigen Text fallen die meisten Produkte in eine „Standardkategorie“ (normales Risiko), für die Hersteller die Konformität selbst bewerten dürfen. Diese Selbstbewertung bedeutet in der Regel, dass sie Modul A (interne Fertigungskontrolle) der Entscheidung Nr. 768/2008/EG befolgen sollten, bei dem der Hersteller intern überprüft, ob das Produkt die Anforderungen erfüllt, ohne dass eine Bewertung durch einen Dritten erfolgt. Dies dürfte den Grossteil der Verbraucher- und Unternehmensprodukte abdecken. Die CRA definiert jedoch auch „wichtige“ Produkte (unterteilt in die Klassen I und II) sowie eine kleine Gruppe „kritischer“ Produkte, die höhere inhärente Cybersicherheitsrisiken aufweisen (zum Beispiel Betriebssysteme, Passwortmanager und bestimmte IoT-Sicherheitskomponenten). Welche Produkttypen genau als „wichtig“ der Klasse I, „wichtig“ der Klasse II und „kritisch“ eingestuft werden, wird im Rahmen eines Durchführungsrechtsakts näher festgelegt (die Kommission wurde beauftragt, diese Kategorien innerhalb von 12 Monaten nach Inkrafttreten der CRA zu spezifizieren). Im Allgemeinen gilt: Je höher die Klasse, desto strenger ist die Konformitätsbewertung.
3.1 Standardkategorie
Hersteller können zwischen einer Selbstbewertung und einer Bewertung durch Dritte (wie einer EU-Baumusterprüfung oder einem zertifizierten Cybersicherheitssystem) wählen. Bei den meisten typischen Geräten ist es wahrscheinlich, dass Hersteller den Weg der Selbstbewertung wählen, der die Erstellung der technischen Dokumentation und einer EU-Konformitätserklärung erfordert, aber standardmässig keinen externen Prüfer einbezieht.
3.2 Wichtige Produkte der Klasse I
Hierbei handelt es sich um Produkte mit höherem Risiko (die möglicherweise kritische Sektoren oder sensible Daten betreffen), jedoch nicht um solche der allerhöchsten Risikostufe. Bei Produkten der Klasse I ist eine Selbstbewertung nur zulässig, wenn der Hersteller bestimmte anerkannte Cybersicherheitsstandards oder -spezifikationen anwendet. In der Praxis kann der Hersteller eines Produkts der Klasse I eine Bewertung durch Dritte vermeiden, wenn er sich vollständig an harmonisierte europäische Normen (die für die Anforderungen der CRA entwickelt werden) oder von der Europäischen Kommission herausgegebene „Common “-Spezifikationen hält oder wenn das Produkt im Rahmen eines EU-Zertifizierungssystems für Cybersicherheit zertifiziert ist. Der Grund dafür ist, dass die Verwendung von Normen oder Zertifizierungen eine zusätzliche Sicherheitsebene bietet. Verwendet der Hersteller solche Normen und/oder Zertifizierungen nicht, muss eine benannte Stelle hinzugezogen werden (z. B. durch eine EU-Baumusterprüfung des Produkts oder ein Audit des Qualitätsmanagementsystems). Somit drängt diese Klassifizierung die Hersteller effektiv dazu, modernste Standards anzuwenden, oder erfordert Prüfungen durch Dritte.
3.3 Wichtige und kritische Produkte der Klasse II
Für Produkte in den Kategorien mit dem höchsten Risiko ist eine Selbstbewertung überhaupt nicht zulässig. Der Hersteller muss sich einer Konformitätsbewertung durch eine (benannte) dritte Stelle unterziehen, unabhängig davon, welche Normen angewendet wurden. In der Regel würde dies entweder eine EU-Baumusterprüfung oder ein formelles Audit-/Zertifizierungsverfahren für die Sicherheit des Produkts beinhalten. Die Einbeziehung unabhängiger, akkreditierter Experten soll eine objektive Bewertung von Produkten gewährleisten, bei denen eine Kompromittierung sehr schwerwiegende Folgen haben könnte (z. B. Komponenten kritischer Infrastrukturen oder zentrale Softwaresysteme). Die einzige eng gefasste Ausnahme von den Anforderungen für Produkte dieser Hochrisikostufe gilt für Open-Source-Produkte, die der Definition eines „wichtigen Produkts“ entsprechen; wenn der Quellcode und die technische Dokumentation für das Produkt veröffentlicht werden, gestattet die CRA dem Hersteller die Nutzung des internen Selbstbewertungsverfahrens. Diese Ausnahme wurde eingeführt, um Open-Source-Projekte nicht übermässig zu belasten, und beruht auf der Idee, dass Transparenz die Überprüfung durch die Community als alternative Sicherheitsmassnahme ermöglicht. Ansonsten benötigen wichtige und kritische Produkte der Klasse II eine Zulassungsbescheinigung einer benannten Stelle, bevor sie das CE-Zeichen tragen dürfen.
3.4 Nach dem Bewertungsverfahren
Nach Abschluss des entsprechenden Konformitätsbewertungsverfahrens müssen Hersteller eine EU-Konformitätserklärung erstellen und das CE-Zeichen auf dem Produkt anbringen. Das CE-Zeichen bedeutet, dass das Produkt allen geltenden EU-Rechtsvorschriften entspricht, zu denen nun gemäss der CRA auch die Cybersicherheit gehört. Wichtig ist, dass der Hersteller, wenn ein Produkt mehreren EU-Rechtsvorschriften unterliegt (z. B. ein Medizinprodukt, das sowohl medizinische Vorschriften als auch die Cyber-Anforderungen der CRA erfüllen muss), eine einzige Konformitätserklärung erstellen kann, die alle relevanten Rechtsvorschriften abdeckt, und das CE-Zeichen die Konformität mit allen relevanten Rechtsvorschriften abdeckt. Durch die Forderung nach einer CE-Kennzeichnung für Cybersicherheit nutzt die CRA die bestehende Infrastruktur zur Konformitätssicherung; Wirtschaftsakteure und Marktüberwachungsbehörden sind bereits mit der Überprüfung von CE-gekennzeichneten Produkten vertraut. Die CRA ändert zudem die Verordnung (EU) 2019/1020 über die Marktüberwachung, um Cybersicherheit in ihren Anwendungsbereich aufzunehmen, und integriert damit die Durchsetzung der Cybersicherheit in das etablierte EU-System zur Produktkonformität.
Hersteller sollten sich bewusst sein, dass Normen eine entscheidende Rolle bei der Erleichterung der Konformität spielen werden. Es wird erwartet, dass die Europäische Kommission und die europäischen Normungsorganisationen (CEN/CENELEC/ETSI) harmonisierte Normen für die grundlegenden Anforderungen der CRA entwickeln. Produkte, die im Einklang mit solchen Normen entwickelt wurden, können von einer Konformitätsvermutung profitieren (was sowohl die Selbstbewertung als auch die Zertifizierung durch Dritte erleichtert). In Bereichen, in denen Normen noch nicht vorliegen oder unzureichend sind, kann die Kommission gemeinsame Spezifikationen herausgeben. Dabei handelt es sich im Wesentlichen um technische Anforderungen, die im Amtsblatt veröffentlicht werden und denen Hersteller folgen können, um die gesetzlichen Vorgaben zu erfüllen. Dieser Mechanismus wird sicherstellen, dass die hohen Anforderungen der CRA in konkrete technische Massstäbe (Verschlüsselungsstärke, sichere Programmierpraktiken usw.) umgesetzt werden, anhand derer Produkte bewertet werden können. Unternehmen sollten sich daher weiterhin an der Entwicklung von Standards beteiligen und planen, die technischen Standards, sobald sie verfügbar sind, in ihre Compliance-Roadmap aufzunehmen.
4 Marktüberwachungs- und Durchsetzungsmechanismen
Die Gewährleistung der Einhaltung der CRA obliegt den nationalen Marktüberwachungsbehörden, bei denen es sich um Stellen handelt, die befugt sind, Produkte auf dem Markt zu überwachen und EU-Produktvorschriften durchzusetzen. Jeder Mitgliedstaat muss mindestens eine solche Behörde für diese Aufgabe benennen (bei der es sich um eine bestehende Behörde handeln kann, beispielsweise die nationale Cybersicherheitsagentur oder die Verbraucherschutzbehörde). Diese Behörden verfügen sowohl nach der CRA als auch nach der Verordnung (EU) 2019/1020 über eine Reihe von Ermittlungs- und Abhilfebefugnissen zur allgemeinen Marktüberwachung. Sie können proaktive Inspektionen oder Audits durchführen, beispielsweise indem sie technische Unterlagen von Herstellern anfordern, um zu überprüfen, ob die für ein Produkt gemachten Sicherheitsangaben belegt sind. Die CRA fördert ausdrücklich koordinierte Marktkontrollen („Sweeps“), bei denen Behörden in der gesamten EU bestimmte Produktkategorien gleichzeitig auf die Einhaltung der Cybersicherheitsvorschriften überprüfen. Diese sollen systemische Probleme aufdecken (beispielsweise einen Trend zu billigen IoT-Geräten ohne grundlegende Verschlüsselung) und eine einheitliche Durchsetzung im gesamten Binnenmarkt gewährleisten.
Stellt eine Marktüberwachungsbehörde fest, dass ein Produkt mit digitalen Elementen nicht der CRA entspricht – sei es aufgrund der Nichteinhaltung wesentlicher Anforderungen, einer fehlerhaften CE-Kennzeichnung oder unzureichender Dokumentation –, kann sie den verantwortlichen Wirtschaftsakteur auffordern, die Nichtkonformität oder das Risiko innerhalb einer bestimmten Frist zu beheben. Dies kann die Veranlassung eines Rückrufs oder die Bereitstellung eines Sicherheitspatches oder die Herstellung der Konformität des Produkts auf andere Weise beinhalten. In schwerwiegenden Fällen können die Behörden das Inverkehrbringen des Produkts verbieten oder einschränken. Wenn beispielsweise ein Smart-Gerät eine nicht behebbare kritische Schwachstelle aufweist, die Nutzer einem Schaden aussetzt, könnte eine Behörde den Rückruf dieses Modells vom EU-Markt anordnen. Solche Massnahmen müssen in einem angemessenen Verhältnis zu dem bestehenden Risiko stehen. Die CRA sieht auch einen Mechanismus für die grenzüberschreitende Koordinierung vor: Wenn die Behörde eines Landes aufgrund eines Cybersicherheitsrisikos Massnahmen gegen ein Produkt ergreift, muss sie die Europäische Kommission und die anderen Mitgliedstaaten darüber informieren. Die Kommission kann die Massnahme dann prüfen, insbesondere wenn der Hersteller sie anficht, um sicherzustellen, dass keine ungerechtfertigten Handelshemmnisse bestehen. Dies ähnelt dem in den Produktsicherheitsvorschriften verwendeten Schutzklauselverfahren der Union, das eine harmonisierte EU-weite Reaktion auf unsichere Produkte gewährleisten soll.
4.1 Verwaltungsstrafen
Zusätzlich zu Abhilfemassnahmen drohen Unternehmen bei Verstössen gegen die CRA potenziell erhebliche Geldbussen. Die CRA verpflichtet die Mitgliedstaaten, Vorschriften über Sanktionen (Verwaltungsstrafen) für Verstösse festzulegen, die „wirksam, verhältnismässig und abschreckend“ sein müssen. Wichtig ist, dass die Verordnung aus Gründen der Einheitlichkeit Höchststrafen festlegt, die nationale Gesetze nicht überschreiten dürfen. Bei den schwerwiegendsten Verstössen – d. h. der Nichteinhaltung wesentlicher Cybersicherheitsanforderungen oder dem Inverkehrbringen von Produkten mit bekannten ausnutzbaren Schwachstellen – können die Geldbussen bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes des Unternehmens betragen, je nachdem, welcher Betrag höher ist. Dies entspricht der Bussgeldstruktur der Datenschutz-Grundverordnung und spiegelt die hohe Priorität wider, die die EU der Cybersicherheit beimisst. Bei anderen Verstössen (z. B. der Nichteinhaltung administrativer Verpflichtungen wie Dokumentations- oder Berichtspflichten) sind die Höchststrafen etwas niedriger und betragen bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes. Diese Obergrenzen schaffen eine gemeinsame Grundlage für alle Mitgliedstaaten, wobei jedes Land selbst entscheiden kann, wie die Geldbussen umgesetzt werden, wobei einige möglicherweise einen abgestuften Ansatz oder eine Einzelfallprüfung innerhalb dieser Grenzen anwenden. Bei der Festsetzung der Höhe der Geldbusse für einen bestimmten Verstoss sollten die Behörden Faktoren berücksichtigen, darunter die Art und Schwere des Verstosses, die Grösse und den Marktanteil des Unternehmens, ob der Verstoss fahrlässig oder vorsätzlich begangen wurde, sowie etwaige mildernde Massnahmen. Dieser Ansatz spiegelt die differenzierte, verhältnismässige Strafbemessung wider, die im Datenschutz- und Wettbewerbsrecht angewendet wird.
Bemerkenswert ist, dass die CRA den Mitgliedstaaten auch erlaubt, Bussgeldeinnahmen für Cybersicherheitsinitiativen (z. B. die Finanzierung von Sicherheitsforschung oder -schulungen) zu verwenden, was eine politische Entscheidung für die Reinvestition in die Widerstandsfähigkeit der Informations- und Kommunikationstechnologie ( ) verdeutlicht. Unternehmen sollten diese potenziellen Geldbussen als ernstzunehmenden Anreiz zur Einhaltung der Vorschriften betrachten, da eine Geldbusse am oberen Ende der Skala finanziell verheerende Folgen haben könnte. Zusätzlich zu direkten Geldbussen kann die Nichteinhaltung von Vorschriften Konsequenzen wie Reputationsschäden, vorgeschriebene öffentliche Warnungen an Kunden oder die Kosten für den Austausch oder die Fehlerbehebung von Produkten unter behördlicher Aufsicht nach sich ziehen.
4.2 Strafrechtliche Auswirkungen
Obwohl die CRA in erster Linie durch das Verwaltungsrecht durchgesetzt wird, können ihre Anforderungen und das dadurch geschaffene öffentlich-rechtliche Paradigma in Extremfällen auch die strafrechtliche Haftung beeinflussen. Die Verordnung selbst schafft keine neuen Straftatbestände auf EU-Ebene; die Durchsetzung erfolgt durch Verwaltungsmassnahmen und Geldbussen. Die Mitgliedstaaten können jedoch bestimmte Formen der Nichteinhaltung unter Strafe stellen oder die in der CRA festgelegten Pflichten in bestehende Strafgesetze aufnehmen. So kann beispielsweise in mehreren Rechtsordnungen das wissentliche Inverkehrbringen unsicherer Produkte oder die Fälschung von Konformitätsdokumenten (wie CE-Zertifizierungen) nach nationalem Recht eine Straftat (Betrug oder Gefährdung) darstellen. So könnten beispielsweise die Forderung der CRA, dass Produkte frei von bekannten ausnutzbaren Schwachstellen sein müssen, und die Anforderung, dass sie keine Gefahr für die Nutzer darstellen dürfen, als Festlegung eines Sorgfaltsstandards ausgelegt werden. Wenn ein Hersteller diesen Standard grob missachtet und den Nutzern dadurch Schaden entsteht (beispielsweise wenn eine kritische Schwachstelle zu einem katastrophalen cyber-physischen Vorfall führt, der Verletzungen oder erheblichen wirtschaftlichen Schaden verursacht), könnten Staatsanwälte Anklage nach allgemeinen Strafgesetzen wie Fahrlässigkeit oder Gefährdung von Verbrauchern erheben. Nationale Produktsicherheitsgesetze enthalten oft Strafbestimmungen für schwere Verstösse; so sieht beispielsweise das deutsche Produktsicherheitsgesetz vor, dass vorsätzliche oder grob fahrlässige Verstösse gegen Sicherheitspflichten, sofern diese eine Gefahr für Leib und Leben darstellen, mit Geld- oder Freiheitsstrafen geahndet werden können. Ein ähnlicher Ansatz könnte auf die Cybersicherheit angewendet werden: Wenn die Missachtung der Cybersicherheit durch ein Unternehmen (in Form eines Verstosses gegen das CRA) zu Personen- oder Vermögensschäden führt, könnten die verantwortlichen Führungskräfte einer strafrechtlichen Haftung wegen Fahrlässigkeit ausgesetzt sein (z. B. wegen fahrlässiger Körperverletzung oder sogar fahrlässiger Tötung gemäss §§ 222, 229 StGB). Tatsächlich verbindet das CRA Cybersicherheit ausdrücklich mit Produktsicherheit, da die Unsicherheit eines Produkts unmittelbar zu physischen Gefahren führen kann (man denke an ein gehacktes medizinisches Gerät oder ein autonomes Fahrzeug). Die Nichteinhaltung der Anforderungen des CRA könnte daher von Gerichten als Verletzung der von Herstellern erwarteten Sorgfaltspflicht angesehen werden, was die Argumentation für Fahrlässigkeit in zivil- oder strafrechtlichen Verfahren stützen würde.
Zumindest könnten einzelne Führungskräfte persönlich haftbar gemacht werden, wenn festgestellt wird, dass sie die Einhaltung der Vorschriften vorsätzlich ignoriert haben. In einigen Rechtsordnungen wird die Möglichkeit diskutiert, Vorstände für schwerwiegende Cybersicherheitsmängel zur Verantwortung zu ziehen. So sieht beispielsweise das entsprechende britische Gesetz über Produktsicherheit und Telekommunikationsinfrastruktur (Product Security and Telecommunications Infrastructure Act) in bestimmten Fällen eine Haftung der Vorstände bei Nichteinhaltung vor. Obwohl die CRA dies den Mitgliedstaaten überlässt, stellte das Weltwirtschaftsforum fest, dass die Strafen in einigen Ländern „Freiheitsstrafen und Geldbussen“ umfassen, was darauf hindeutet, dass Europa beabsichtigt, Cybersicherheitsverpflichtungen mit der ganzen Härte des Gesetzes durchzusetzen. Unternehmen sollten die Einhaltung der CRA daher nicht nur als reine Abhakübung betrachten, sondern als Teil ihrer grundlegenden Pflicht zur Gewährleistung der Produktsicherheit. Aus strafrechtlicher Sicht könnte der Nachweis einer sorgfältigen Einhaltung (z. B. die Durchführung ordnungsgemässer Sicherheitstests sowie die umgehende Behebung und Meldung von Problemen) eine starke Verteidigung darstellen, falls doch etwas schiefgeht, da dies zeigen würde, dass keine strafbare Fahrlässigkeit vorlag. Umgekehrt könnte ein eklatanter Verstoss gegen die Vorschriften in Verfahren nach einem schwerwiegenden Vorfall als Beweis für Leichtsinn oder grobe Fahrlässigkeit herangezogen werden. Zusammenfassend lässt sich sagen, dass die tägliche Durchsetzung der CRA zwar administrativer Natur sein wird, die Möglichkeit einer strafrechtlichen Haftung für Cybersicherheitsmängel jedoch einen zusätzlichen Anreiz für die Unternehmensleitung darstellt, eine Kultur der Sicherheit und Compliance zu fördern.
5 Umsetzung der Compliance in der Praxis: ein Fahrplan
Die Anpassung an die CRA erfordert von Herstellern und anderen Unternehmen, die Cybersicherheits-Compliance in ihre Produktentwicklungs- und Governance-Prozesse zu integrieren. Nachfolgend finden Sie einen praktischen Fahrplan, der die wichtigsten Schritte und bewährten Verfahren hervorhebt, die bei der Umsetzung der CRA-Compliance über den gesamten Produktlebenszyklus hinweg zu befolgen sind.
5.1 Bestandsaufnahme und Produktumfang
Unternehmen sollten zunächst ermitteln, welche ihrer Produkte (Hardwaregeräte, Software, Firmware usw.) in den Anwendungsbereich der CRA fallen. Praktisch alle vernetzten Produkte fallen darunter, doch ist eine Bestandsaufnahme unerlässlich. Dazu muss der Verwendungszweck und die Konnektivität jedes Produkts ermittelt werden, um dessen voraussichtliche Einstufung (Standard, wichtig oder kritisch) abzuschätzen. Beispielsweise fällt ein IoT-Gerät für Endverbraucher wahrscheinlich in die Standardklasse, während ein industrielles Steuerungssystem oder ein Netzwerkrouter durchaus als wichtig oder kritisch eingestuft werden kann. Unternehmen sollten zudem prüfen, ob ein Produkt aufgrund sektorspezifischer Vorschriften ausgenommen sein könnte (wenn das Unternehmen beispielsweise Medizinprodukte herstellt, sollte es prüfen, wie sich die CRA und medizinische Vorschriften gegenseitig beeinflussen).
5.2 Governance und Fachwissen
Die Einhaltung der CRA ist nicht nur eine technische, sondern auch eine rechtliche und organisatorische Angelegenheit. Unternehmen sollten ein internes Compliance-Team oder eine Arbeitsgruppe einrichten, der Produktsicherheitsingenieure, Rechts- und/oder Regulierungsberater sowie Produktmanager angehören. Dieses Team wird Risikobewertungen, die Dokumentation und Konformitätsverfahren überwachen. Wenn das interne Fachwissen begrenzt ist, ist es ratsam, externe Berater hinzuzuziehen oder Mitarbeiter in Cybersicherheitsstandards zu zertifizieren. Die Unternehmensleitung sollte ihr Engagement für die Cybersicherheit von Produkten signalisieren, da die Einhaltung der CRA wahrscheinlich die Zuweisung von Budgets und Ressourcen erfordert (z. B. für neue Testtools, Schulungen oder die Einstellung von Sicherheitsexperten). Eine frühzeitige Zuweisung von Verantwortlichkeiten – beispielsweise welche Personen mit der benannten Stelle interagieren und die Meldung von Schwachstellen bearbeiten – wird den Weg zur Konformität ebnen.
5.3 Integration von „Secure by Design“
Hersteller müssen die Prinzipien von „Secure by Design“ in ihren Produktentwicklungszyklus integrieren. Dies bedeutet, dass die Designprotokolle aktualisiert werden müssen, um sie an die grundlegenden Anforderungen der CRA anzupassen. Konkret sollten Hersteller in der Anforderungsphase für jedes Produkt eine Bedrohungsmodellierung und eine Cybersicherheits-Risikobewertung durchführen; die aus dieser Risikoanalyse abgeleiteten Sicherheitsziele (z. B. Datenverschlüsselung, Zugriffskontrolle, Secure Boot) definieren; und Sicherheitskontrollpunkte in die Entwicklung einbeziehen (wie Code-Reviews auf Schwachstellen, den Einsatz statischer und dynamischer Analyse-Tools sowie die Überprüfung von Abhängigkeiten auf bekannte Fehler). Sofern relevante Normen oder technische Leitlinien existieren (wie ISO/IEC 27001 und ETSI EN 303 645 für IoT-Sicherheit oder künftige CRA-harmonisierte Normen), sollten diese in die technischen Checklisten aufgenommen werden. Die Führung einer Software-Stückliste (einer Liste aller Komponenten und Bibliotheken von Drittanbietern) für jedes Produkt hilft Herstellern bei der Bewältigung von Risiken in der Lieferkette und wird von den Behörden erwartet (die CRA ermächtigt Regulierungsbehörden, in bestimmten Fällen Software-Stücklisten anzufordern). Hersteller sollten zudem darauf hinarbeiten, „bekannte ausnutzbare Schwachstellen“ vor der Veröffentlichung zu beseitigen: Dies kann den Einsatz von Tools zum Schwachstellenscanning und das Abonnieren von Bedrohungsinformationen umfassen, um neu bekannt gewordene allgemeine Schwachstellen und Sicherheitslücken zu erkennen, die das Produkt betreffen.
5.4 Einrichtung von Prozessen für Updates und die Reaktion auf Sicherheitslücken
Ein wesentlicher praktischer Aspekt der CRA-Konformität ist ein robuster Prozess zum Umgang mit Sicherheitslücken. Dieser sollte eine Möglichkeit umfassen, über die externe Forscher oder Nutzer Sicherheitslücken melden können (eine „Meldestelle“), interne Verfahren zur Einstufung und Behebung von Problemen sowie die Fähigkeit, Sicherheitspatches zeitnah zu entwickeln und bereitzustellen . Diese Verfahren sollten klar dokumentiert werden, da sie Teil der technischen Dokumentation sind und die Anforderungen von Anhang I (Teil 2) erfüllen müssen. Darüber hinaus sollte der Supportzeitraum für jedes Produkt frühzeitig festgelegt werden; hierfür sind Beiträge aus den Bereichen Produktstrategie und Entwicklung erforderlich (Abwägung zwischen der Nutzungsdauer des Produkts durch die Kunden und der Machbarkeit der Bereitstellung von Updates). Hersteller sollten in der Lage sein, die Supportdauer anhand von Kriterien wie technologischer Veralterung, Nutzungsdaten und Risikoauswirkungen zu begründen. Es ist ratsam, bei kritischen Produkten eher längere Supportzeiträume anzusetzen, um die Anforderungen der Regulierungsbehörden zu erfüllen, sowie eine Infrastruktur für Over-the-Air-Updates oder Benachrichtigungen der Nutzer zu implementieren, damit Patches effektiv an Produkte im Feld ausgeliefert werden können, sobald sie verfügbar sind (die CRA schreibt nicht vor, wie Updates bereitgestellt werden sollen, aber die Regulierungsbehörden erwarten, dass Updates für die Nutzer zugänglich sind).
5.5 Erstellung der technischen Dokumentation und Aufzeichnungen
Wenn sich Produkte der Markteinführung nähern, müssen Hersteller technische Unterlagen (Anhang VII) zusammenstellen, die die Konformität nachweisen. In der Praxis ist es ratsam, bereits während der Entwicklung mit der Erstellung dieses „Konformitätsdossiers“ zu beginnen; dies erfordert die Führung von Aufzeichnungen über die Risikobewertung und die getroffenen Designentscheidungen hinsichtlich der Sicherheit sowie über Testergebnisse (z. B. Penetrationstestberichte) sowie eine Liste der angewandten Normen oder bewährten Verfahren und eine Zusammenfassung darüber, wie jede wesentliche Anforderung erfüllt wurde. Die Dokumentation sollte auch Kopien der mit dem Produkt gelieferten Gebrauchsanweisungen und Sicherheitsinformationen enthalten. Da die Dokumentation gepflegt werden muss, sollte eine Versionskontrolle implementiert und die Verantwortung für die Aktualisierung zugewiesen werden, wann immer das Produkt geändert wird (beispielsweise wenn ein umfangreiches Sicherheitsupdate veröffentlicht wird, das das Sicherheitsprofil des Produkts verändert). Hersteller sollten zudem die EU-Konformitätserklärung im Voraus entwerfen. Diese formelle Erklärung bescheinigt die Konformität des Produkts mit der CRA (und allen anderen geltenden Richtlinien und/oder Verordnungen) unter Angabe des Produkts, des Herstellers, der angewandten Normen usw. Vorlagen für Konformitätserklärungen werden in der Regel von der EU oder als Teil harmonisierter Normen bereitgestellt, die für CRA-Zwecke angepasst werden können.
5.6 Strategie zur Konformitätsbewertung
Welcher Konformitätsbewertungsweg für ein bestimmtes Produkt gilt, sollte frühzeitig festgelegt werden, insbesondere wenn das Produkt in eine „wichtige“ oder „kritische“ Klasse fallen könnte, die die Einbeziehung einer dritten Partei erfordert. Wenn eine Selbstbewertung zulässig ist, sollte der Hersteller sicherstellen, dass seine internen Prozesse streng sind, und simulieren, was eine dritte Partei prüfen könnte. Ist eine benannte Stelle erforderlich, sollte die Zusammenarbeit rechtzeitig vor der Produkteinführung aufgenommen werden. Dazu gehört die Identifizierung einer geeigneten benannten Stelle (die Stellen erhalten von den Mitgliedstaaten für CRA-Zwecke bis Ende 2025 oder 2026 den Status „benannt“), die über Fachkenntnisse im Produktbereich verfügt, sowie die Bereitstellung der relevanten technischen Dokumentation und des Zugangs zum Produkt für die Bewertung. Die Bewertung durch Dritte (sei es für die Produktzertifizierung oder ein Qualitätssystem-Audit) kann zeitaufwändig sein und sollte im Projektzeitplan berücksichtigt werden. Europäische Cybersicherheits-Zertifizierungssysteme (gemäss dem Cybersecurity Act) sollten genutzt werden, sofern sie verfügbar und relevant sind, da diese für bestimmte Produkte die CRA-Konformität erfüllen können (die CRA erlaubt in einigen Fällen ausdrücklich die Verwendung eines EU-Cybersicherheitszertifikats als Teil der Konformitätserklärung). Bei Produkten der Klasse I könnte der Hersteller, falls er eine Bewertung durch Dritte vermeiden möchte, von Anfang an in die Umsetzung harmonisierter Normen oder gemeinsamer Spezifikationen investieren. Dies erleichtert nicht nur die Einhaltung der Vorschriften, sondern verbessert auch objektiv die Sicherheit. Sobald die Konformität bestätigt wurde, sollte der Hersteller schliesslich das CE-Zeichen auf dem Produkt oder dessen Verpackung anbringen und die Konformitätserklärung bereithalten, um sie Kunden oder Inspektoren auf Anfrage vorzulegen.
5.7 Arbeitsablauf für die Meldung von Vorfällen und Schwachstellen
Hersteller sollten einen internen Arbeitsablauf einrichten, um die von der CRA festgelegten strengen Meldefristen für Schwachstellen und Vorfälle einzuhalten. Beispielsweise könnten sie eine Rolle (oder ein Team) benennen, die bzw. das als rund um die Uhr erreichbare Kontaktstelle für die Benachrichtigung der ENISA und des nationalen Computer Security Incident Response Teams fungiert, falls in ihrem Produkt „in freier Wildbahn“ eine ausnutzbare Schwachstelle entdeckt wird. Dies könnte Teil der Aufgaben eines Chief Information Security Officers sein oder einem Produkt-Sicherheitsvorfall-Reaktionsteam zugewiesen werden. Die Erstellung von Berichtsvorlagen würde es dem zuständigen Team oder der zuständigen Person ermöglichen, innerhalb von 24 Stunden nach Bekanntwerden eines Problems eine Meldung mit den erforderlichen Details zu versenden (viele Unternehmen werden dies möglicherweise automatisieren, sobald die zentrale Meldeplattform aktiv ist). Es wird auch wichtig sein, die Folgemassnahmen zu planen, indem sichergestellt wird, dass das technische Personal bereit ist, Untersuchungen durchzuführen und die erforderlichen 72-Stunden-Updates sowie Abschlussberichte zu erstellen. Es ist ratsam, dies durch Übungen zu trainieren, z. B. indem man vorgibt, dass eine kritische Zero-Day-Sicherheitslücke in einem Produkt gefunden wurde, und die Benachrichtigungsschritte durchgeht, um etwaige Engpässe im Voraus zu erkennen. Darüber hinaus sollte die Verpflichtung zur Benachrichtigung von Komponentenlieferanten in den Arbeitsablauf integriert werden, indem Kontaktlisten für wichtige Drittanbieter von Software geführt werden, damit diese bei Bedarf schnell benachrichtigt werden können. Die Einhaltung dieser Vorschriften verhindert nicht nur Bussgelder, sondern mindert auch Schäden für Nutzer und den Ruf des Unternehmens, indem sie eine koordinierte Reaktion ermöglicht.
5.8 Marktüberwachung und Überwachung nach dem Inverkehrbringen
Auch nach der Markteinführung von Produkten müssen die Compliance-Bemühungen fortgesetzt werden. Hersteller sind gemäss der CRA allgemein verpflichtet, die Sicherheit bereits auf den Markt gebrachter Produkte zu überwachen und mit den Marktüberwachungsbehörden zusammenzuarbeiten. In der Praxis bedeutet dies, wachsam auf Berichte über neue Sicherheitslücken zu bleiben, die Produkte betreffen (durch das Abonnieren von Schwachstellendatenbanken, Threat-Intelligence-Feeds usw.). Wenn eine nationale Behörde nach einem Produkt fragt oder Informationen anfordert (beispielsweise im Rahmen einer EU-weiten „Razzia“), ist es notwendig, umgehend und umfassend zu antworten, da eine Nichtkooperation an sich bereits einen Verstoss darstellen kann. Es ist ratsam, ein internes Protokoll über alle CRA-bezogenen Massnahmen (veröffentlichte Updates, gemeldete Vorfälle usw.) zu führen, da dieser Nachweis einer Compliance-Kultur im Falle von Fragen wertvoll sein könnte. Hersteller sollten ausserdem sicherstellen, dass die Importeure und Händler, mit denen sie zusammenarbeiten, sich ihrer Pflichten bewusst sind, beispielsweise indem sie ihnen Kopien der Konformitätserklärung und der Sicherheitsanweisungen zur Verfügung stellen und Kanäle einrichten, über die diese etwaige Probleme melden können. Ein gut organisierter Kundendienst und ein Mechanismus zur Reaktion auf Vorfälle helfen dem Hersteller nicht nur, seine CRA-Verpflichtungen zu erfüllen, sondern ermöglichen es ihm auch, Vertrauen bei Kunden und Aufsichtsbehörden aufzubauen.
5.9 Zusammenfassung
Durch die Befolgung dieses Fahrplans können Hersteller und andere Interessengruppen die CRA-Konformität in ihren Produktlebenszyklus integrieren. Der Schlüssel liegt darin, Cybersicherheit als integralen Qualitätsaspekt des Produkts zu betrachten, vom Entwurf bis zum Ende der Lebensdauer. Viele Unternehmen werden die Reife ihrer Cybersicherheit erhöhen müssen, wie es die CRA faktisch vorschreibt. Obwohl dies anfänglichen Aufwand mit sich bringt und die Entwicklungskosten erhöhen könnte, dürfte es die langfristigen Kosten im Zusammenhang mit Sicherheitsvorfällen, Rückrufaktionen und Haftungsansprüchen senken. Darüber hinaus können Unternehmen durch die Einhaltung der CRA einen Wettbewerbsvorteil erlangen: Das Angebot zertifizierter sicherer Produkte mit transparenten Sicherheits-Support-Laufzeiten könnte in einer Zeit zunehmenden Cyberbewusstseins bei Verbrauchern und Unternehmenskunden ein Verkaufsargument sein.
6 Schlussfolgerung
Die CRA läutet eine neue Ära in der EU-Produktregulierung ein, in der Cybersicherheit als gesetzliche Voraussetzung für den Marktzugang gleichberechtigt neben der Sicherheit steht. Dieser transformative Rahmen verpflichtet Hersteller dazu, ihre Produkte proaktiv gegen Cyberbedrohungen zu sichern und diese Sicherheit durch Updates und Transparenz unter behördlicher Aufsicht aufrechtzuerhalten. Die CRA verfolgt einen umfassenden Ansatz, der von Designprinzipien vor der Markteinführung bis hin zur Meldung von Vorfällen nach der Markteinführung reicht und jeden Aspekt der Lieferkette in den Geltungsbereich der Compliance einbezieht. Tatsächlich verlagert die CRA die Last des Cyberrisikos weg von den Endnutzern (die in der Vergangenheit unsichere Produkte „akzeptieren oder in Kauf nehmen“ mussten) hin zu den Herstellern und Anbietern, die am besten in der Lage sind, diese Risiken zu bewältigen.
Aus rechtstheoretischer Sicht kann die CRA als lex specialis betrachtet werden, die das Produktsicherheitssystem der EU durch cybersicherheitsspezifische Normen ergänzt. Sie stärkt den Binnenmarkt, indem sie Vorschriften harmonisiert und verhindert, dass Mitgliedstaaten unterschiedliche nationale Cybersicherheitsanforderungen für Produkte einführen. In der Praxis wird ihr Erfolg von einer wirksamen Umsetzung abhängen: Dazu gehören die Entwicklung klarer technischer Standards, die Bereitschaft benannter Stellen und Behörden sowie die Einbindung der Cybersicherheits-Community in die Überwachung der Einhaltung der Vorschriften. Unternehmen haben bis Ende 2027 Zeit, die Anforderungen der CRA zu erfüllen; angesichts des Umfangs der erforderlichen Änderungen ist es jedoch ratsam, frühzeitig Massnahmen zu ergreifen. Wer sich zügig anpasst, vermeidet nicht nur Strafen, sondern verbessert wahrscheinlich auch seine allgemeine Sicherheitslage, wodurch Vorfälle reduziert werden und das Vertrauen der Kunden gestärkt wird.
Das CRA regt auch zum Nachdenken über Haftung und Anreize für Cybersicherheit an. Durch die Kodifizierung einer Sorgfaltspflicht in Bezug auf die Produktsicherheit könnte es indirekt die delikt- und strafrechtlichen Standards dafür beeinflussen, was als „angemessene“ Sicherheit von Technologieprodukten gilt. Im Laufe der Zeit könnte sich die Rechtsprechung mit dem Zusammenspiel von CRA-Konformität und Herstellerhaftung bei Cyberschäden auseinandersetzen. Darüber hinaus könnten die strengen Verpflichtungen des CRA Innovationen bei Cybersicherheitslösungen vorantreiben – beispielsweise automatisierte Update-Mechanismen, Tools zum Scannen von Schwachstellen und sichere Software-Entwicklungskits –, da die Branche nach kosteneffizienten Wegen sucht, um die neuen Vorschriften zu erfüllen.
Insgesamt stellt die CRA ein mutiges Regulierungsmodell dar, das darauf abzielt, das Vertrauen in den digitalen Markt zu stärken. Sie fasst Resilienz nicht als abstraktes Konzept, sondern als messbares Compliance-Ergebnis auf. Für Unternehmen erfordert die Bewältigung dieser Herausforderungen Sorgfalt und möglicherweise einen kulturellen Wandel, doch das angestrebte Ergebnis ist ein sichereres digitales Ökosystem. Die CRA bietet einen Compliance-Fahrplan, der, wenn er befolgt wird, zu weniger Vorfällen, besser informierten Nutzern und standardmässig sichereren Produkten führen dürfte. Für Gesetzgeber und Regulierungsbehörden schafft sie einen Präzedenzfall, der weltweit oder auf andere Bereiche ausgeweitet werden könnte. Für die Rechtsgemeinschaft und Forscher bietet sie reichhaltiges Material für Analysen, von der Theorie der Risikoregulierung bis hin zu den praktischen Aspekten der Durchsetzung in verschiedenen Rechtsordnungen. Im Zuge der Weiterentwicklung des CRA-Systems wird ein kontinuierlicher Dialog zwischen Industrie, Regulierungsbehörden und Forschern unerlässlich sein, um diesen öffentlich-rechtlichen Ansatz zur Produktsicherheit zu verfeinern. In der Zwischenzeit ist der Weg zur Compliance klar: Sicherheit muss von Grund auf in die Produkte integriert werden, und diejenigen, die digitale Produkte entwickeln und davon profitieren, sind nun eindeutig für die Cybersicherheit dieser Produkte verantwortlich.
Zur einfacheren Lesbarkeit wurden die Literatur- und Quellverweise entfernt.
Übersetzung Boris Wanzeck, Swiss Infosec AG
Teichmann, F. The cyber resilience act as a new paradigm for product security: a compliance roadmap.
Int. Cybersecur. Law Rev. 7, 1–17 (2026).
https://doi.org/10.1365/s43439-025-00162-4
http://creativecommons.org/licenses/by/4.0/
Dem Text wurden Hyperlinks hinzugefügt.
Cyber Resilience Act (CRA)-Beratung Schweiz – Für Hersteller, Softwareanbieter und Importeure
Gerne beantworten wir Ihre Fragen rund um den Cyber Resilience Act sowie alle generellen Fragen zu Cyber- und IT-Sicherheit.
Swiss Infosec AG; 24.03.2026
Fachteam IT-Sicherheit, +41 41 984 12 12, infosec@infosec.ch