Zurück zur Übersicht
16.06.2026 Fachbeitrag

Cyber Resilience Act: Aktuelle Entwicklungen und neue Orientierungshilfen für Unternehmen

Update Datenschutz Nr. 254

Mit dem Cyber Resilience Act (CRA) hat die Europäische Union neue verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen geschaffen. Für Hersteller endet damit die bisherige, vielfach von freiwilligen Standards geprägte Regulierung und wird durch einen europaweit harmonisierten Rechtsrahmen ersetzt. Mit Blick auf die ab dem 11. September 2026 geltenden Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle sowie die vollständige Anwendbarkeit des CRA ab dem 11. Dezember 2027 gewinnen die praktischen Vorbereitungen auf die neuen Pflichten zunehmend an Bedeutung. Unternehmen sind insbesondere gefordert, ihre Produktentwicklungs-, Schwachstellenmanagement- und Compliance-Prozesse frühzeitig an die Anforderungen des CRA anzupassen. Gleichzeitig werden zahlreiche Auslegungsfragen durch die Europäische Kommission und nationale Behörden schrittweise konkretisiert. Der vorliegende Beitrag gibt einen Überblick über den aktuellen Stand der regulatorischen Konkretisierung und zeigt auf, welche Orientierungshilfen Unternehmen bereits heute für die Umsetzung des CRA nutzen können.

I. Wesentliche Inhalt des CRA

Der CRA richtet sich an sämtliche Wirtschaftsakteure, die Produkte mit digitalen Elementen auf dem Unionsmarkt bereitstellen. Erfasst werden insbesondere Hersteller, Importeure und Händler, wobei der Schwerpunkt der Regulierung auf den Herstellern liegt. Als Hersteller gelten nicht nur klassische Hardwareproduzenten, sondern auch Anbieter von Software sowie Unternehmen, die Produkte unter eigener Marke vertreiben. Ihnen obliegt die Einhaltung der umfassenden Cybersicherheitsanforderungen des CRA über den gesamten Produktlebenszyklus hinweg (wir berichteten in Datenschutzupdate Nr. 243).

Kern der Verordnung sind Vorgaben zur sicheren Entwicklung und Gestaltung von Produkten, zur Durchführung von Cybersicherheitsrisikobewertungen sowie zur Einrichtung eines wirksamen Schwachstellenmanagements. Hersteller müssen insbesondere Sicherheitslücken dokumentieren, beheben und während eines festgelegten Unterstützungszeitraums Sicherheitsupdates bereitstellen. Ergänzt werden diese Pflichten durch Konformitätsbewertungs-, Dokumentations- und Meldepflichten, insbesondere bei aktiv ausgenutzten Schwachstellen und schwerwiegenden Sicherheitsvorfällen. Importeure und Händler treffen demgegenüber vor allem Prüf-, Überwachungs- und Kooperationspflichten, um sicherzustellen, dass nur CRA-konforme Produkte auf dem Unionsmarkt bereitgestellt werden.

II. Konkretisierungen durch die EU-Kommission

Mit dem Inkrafttreten des CRA hat die EU-Kommission begonnen, zentrale Auslegungsfragen durch ergänzende Dokumente und Rechtsakte zu konkretisieren.

Die CRA-FAQ stellen die bislang umfassendste praktische Auslegungshilfe der Kommission dar. Zwar entfalten sie keine rechtliche Bindungswirkung, sollen aber als „living document“ fortlaufend ergänzt werden und dürften daher für Marktüberwachungsbehörden und Unternehmen erhebliche praktische Bedeutung gewinnen. Die FAQ präzisieren insbesondere den sachlichen Anwendungsbereich des CRA und bestätigen, dass sowohl Standalone-Software als auch Firmware und zahlreiche Hardwareprodukte erfasst sein können. Zugleich stellt die Kommission klar, dass reine Websites sowie eigenständige SaaS-Angebote regelmäßig nicht unter den CRA fallen, sofern sie nicht als Datenfernverarbeitungslösung Bestandteil eines Produkts mit digitalen Elementen sind. Weitere wichtige Klarstellungen betreffen den Begriff der wesentlichen Änderung, die Anforderungen an die Cybersicherheitsrisikobewertung sowie die Schwachstellenbehandlung. Besonders praxisrelevant ist die Aussage, dass Hersteller nicht jede Schwachstelle zwingend durch einen Patch beheben müssen, sondern risikobasiert auch andere Abhilfemaßnahmen in Betracht kommen können. Ebenso konkretisieren die FAQ die Pflichten bei der Integration von Drittkomponenten und Open-Source-Bestandteilen. Für Unternehmen bleibt allerdings die Frage offen, welche Anforderungen künftig konkret an die Dokumentation der Risikobewertung und an die Ausübung der erforderlichen Sorgfaltspflichten gestellt werden.

Noch größere praktische Auswirkungen dürfte die Durchführungsverordnung (EU) 2025/2392 haben. Der CRA verweist für „wichtige“ und „kritische“ Produkte mit digitalen Elementen auf die Anhänge III und IV, ohne die dort genannten Produktkategorien näher zu definieren. Die Durchführungsverordnung schafft nun erstmals detaillierte technische Beschreibungen dieser Kategorien und konkretisiert damit, wann verschärfte Konformitätsbewertungsverfahren greifen. Von besonderer Bedeutung ist dabei das von der Kommission hervorgehobene Kriterium der „Kernfunktion“ eines Produkts. Danach führt die bloße Integration einer kritischen oder wichtigen Komponente nicht automatisch dazu, dass das Gesamtprodukt ebenfalls als wichtiges oder kritisches Produkt einzustufen ist. Maßgeblich bleibt vielmehr die Hauptfunktion des Gesamtprodukts. Dadurch werden zwar zahlreiche Abgrenzungsfragen entschärft, gleichzeitig entstehen neue Herausforderungen bei multifunktionalen Produkten und komplexen Softwarelösungen. Hersteller werden künftig verstärkt dokumentieren müssen, weshalb sie eine bestimmte Funktion als kernbestimmend ansehen. Offen bleibt insbesondere, wie Marktüberwachungsbehörden in Grenzfällen etwa bei KI-gestützten Plattformen oder integrierten Sicherheitslösungen die Einordnung vornehmen werden.

Die Delegierte Verordnung (EU) 2026/881 betrifft demgegenüber die Meldepflichten nach Art. 14 und 16 CRA. Sie legt fest, unter welchen Voraussetzungen ein zuständiges CSIRT (Computer Security Incident Response Team; nationale Cybersicherheits-Notfallteams der EU-Mitgliedsstaaten) die Weiterverbreitung von Meldungen über aktiv ausgenutzte Schwachstellen oder schwerwiegende Sicherheitsvorfälle vorübergehend aufschieben darf. Hintergrund ist die Sorge, dass eine vorschnelle Weitergabe besonders sensibler Informationen selbst zusätzliche Cybersicherheitsrisiken schaffen könnte. Ein Aufschub kommt insbesondere dann in Betracht, wenn kurzfristig ein Patch oder eine andere wirksame Risikominderungsmaßnahme bereitgestellt werden soll, wenn die gemeldeten Informationen unmittelbar zur Entwicklung eines Exploits genutzt werden könnten oder wenn ein Verfahren der koordinierten Offenlegung von Schwachstellen noch läuft. Für Hersteller schafft die Verordnung damit mehr Rechtssicherheit im Umgang mit sensiblen Schwachstellenmeldungen. Gleichzeitig stellen sich neue praktische Fragen zur Abstimmung mit den zuständigen CSIRTs und zur Abgrenzung der Fälle, in denen tatsächlich ein überwiegendes Geheimhaltungsinteresse besteht.

Schließlich arbeitet die Kommission derzeit an den in Art. 26 CRA vorgesehenen Leitlinien (wir berichteten in Datenschutzupdate Nr. 243). Nach den bislang veröffentlichten Entwürfen sollen diese insbesondere kleinen und mittleren Unternehmen Hilfestellung bei der praktischen Umsetzung der Verordnung geben und zentrale Auslegungsfragen, etwa zur Risikobewertung, zu wesentlichen Änderungen von Produkten, zu Supportzeiträumen und zur Schwachstellenbehandlung, näher erläutern. Gerade im Bereich der „wesentlichen Änderung“ besteht derzeit erhebliche Rechtsunsicherheit, weil hiervon abhängt, ob bereits in Verkehr gebrachte Produkte erneut den Anforderungen des CRA unterfallen. Die Leitlinien könnten deshalb zu einem der wichtigsten Instrumente für die praktische Anwendung des CRA werden. Gleichzeitig bleibt abzuwarten, inwieweit die Kommission lediglich bestehende Unklarheiten erläutert oder faktisch neue Anforderungen formuliert. Unternehmen sollten die weitere Entwicklung daher eng verfolgen und ihre Compliance-Maßnahmen fortlaufend anpassen.

III. Technische Richtlinien des BSI

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) begleitet die Umsetzung des CRA durch die Technical-Guideline-Reihe TR-03183. Die Richtlinien sollen Herstellern konkrete technische und organisatorische Hilfestellungen für die praktische Umsetzung der CRA-Anforderungen geben und schließen teilweise die Lücke, die bis zur Verfügbarkeit harmonisierter europäischer Standards besteht.

Die bislang veröffentlichten Teile der Richtlinienreihe befassen sich insbesondere mit den Anforderungen an sichere Entwicklungsprozesse, Software Bill of Materials (SBOM), Schwachstellenmanagement sowie Melde- und Offenlegungsprozesse. So konkretisiert die TR-03183-3 die Anforderungen an den Umgang mit Schwachstellenmeldungen und an Verfahren zur Coordinated Vulnerability Disclosure (CVD). Sie enthält unter anderem Vorgaben zur Einrichtung geeigneter Sicherheitskontaktstellen, zur Veröffentlichung einer „security.txt“ sowie zur organisatorischen Ausgestaltung von Melde- und Kommunikationsprozessen für Sicherheitsforscher und Behörden.  

Mit der am 30. Mai 2026 veröffentlichten Technical Guideline TR-03183-H hat das BSI zudem erstmals eine Umsetzungshilfe für die Konformitätsbewertung nach dem Verfahren des Moduls H („Full Quality Assurance“) vorgelegt. Modul H ist eines der im CRA vorgesehenen Konformitätsbewertungsverfahren und stellt nicht das einzelne Produkt, sondern die Prozesse des Herstellers in den Mittelpunkt. Geprüft wird insbesondere, ob der Hersteller über ein geeignetes Qualitäts- und Sicherheitsmanagementsystem verfügt, das die Einhaltung der CRA-Anforderungen während Entwicklung, Produktion und Schwachstellenbehandlung dauerhaft sicherstellt.

Die TR-03183-H beschreibt hierzu einen Ansatz, bei dem ein bestehendes Informationssicherheitsmanagementsystem (ISMS) nach ISO/IEC 27001 um CRA-spezifische Anforderungen ergänzt wird. Im Fokus stehen insbesondere die kontinuierliche Risikobewertung, sichere Entwicklungsprozesse, Sicherheitsprüfungen, Änderungsmanagement sowie ein strukturiertes Vulnerability-Management über den gesamten Produktlebenszyklus hinweg.  

Obwohl die BSI-Richtlinien keine harmonisierten Standards darstellen und keine unmittelbare Konformitätsvermutung auslösen, gewinnen sie bereits heute erhebliche praktische Bedeutung. Sie geben Herstellern einen konkreten Orientierungsrahmen für die Ausgestaltung CRA-konformer Prozesse und dürften zugleich Hinweise darauf liefern, welche Anforderungen benannte Stellen und Marktüberwachungsbehörden künftig bei der Bewertung der CRA-Compliance heranziehen werden.

IV. Fazit und Ausblick

Mit den FAQ der Europäischen Kommission, den bislang erlassenen Rechtsakten sowie den technischen Richtlinien des BSI liegen mittlerweile erste wichtige Konkretisierungen des CRA vor. Gleichwohl befindet sich die Verordnung weiterhin in einer Übergangs- und Konkretisierungsphase. Insbesondere die noch ausstehenden harmonisierten europäischen Standards werden für die praktische Umsetzung und den Nachweis der Konformität von zentraler Bedeutung sein.

Bereits für das dritte Quartal 2026 werden erste Standardisierungsergebnisse erwartet, darunter sowohl horizontale als auch produktspezifische Standards. Diese sollen die allgemeinen Anforderungen des CRA in konkrete technische und organisatorische Maßnahmen übersetzen und Herstellern künftig den Nachweis der Konformität erleichtern. Für das vierte Quartal 2026 hat die Europäische Kommission zudem einen delegierten Rechtsakt angekündigt, der die Voraussetzungen für eine Konformitätsvermutung auf Grundlage des europäischen Cybersicherheitszertifizierungssystems EUCC (European Cybersecurity Certification Scheme on Common Criteria) festlegen soll. Dadurch könnte die Bedeutung bestehender Cybersicherheitszertifizierungen im Rahmen der CRA-Compliance weiter zunehmen.

Unabhängig von diesen weiteren Konkretisierungen sollten betroffene Unternehmen die verbleibende Übergangszeit aktiv nutzen. Mit Blick auf die ab dem 11. September 2026 geltenden Meldepflichten empfiehlt sich insbesondere die frühzeitige Etablierung von Prozessen zur Schwachstellenbehandlung, Incident Response und regulatorischen Meldung. Bis zur vollständigen Anwendbarkeit des CRA am 11. Dezember 2027 sollten zudem die Produktentwicklungs-, Dokumentations- und Compliance-Prozesse überprüft und an die Anforderungen des CRA angepasst werden. Angesichts der fortschreitenden Konkretisierung der Vorgaben spricht vieles dafür, bereits heute mit der Umsetzung zu beginnen, anstatt auf das Vorliegen sämtlicher Standards und Leitlinien zu warten.

Dieser Beitrag wurde in Zusammenarbeit mit unserer stud. Mitarbeiterin Emily Bernklau erstellt.

Als PDF herunterladen
Datenschutz & Datenrecht
IP, Media & Technology
Als PDF herunterladen

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Weitere Artikel

05.06.2026
Anthropic Claude im Unternehmen – Datenschutz- und Compliance-Anforderungen beim Einsatz generativer KI
05.06.2026
Pflichten von Anbietern und Betreibern von KI-Systemen in der EU – Zusammenfassung unter Berücksichtigung des Trilogs vom 7. Mai 2026
29.05.2026
Wenn KI gekapert wird – Prompt Injection als Compliance-Risiko
28.05.2026
Kennzeichnungspflicht für KI-generierte Inhalte – Auswirkungen für Werbung und Marketing
19.05.2026
EUDI-Wallet kommt: Was Unternehmen jetzt für die digitale Identität vorbereiten müssen
11.05.2026
KI-Compliance 2026: Was der Digital Omnibus für Unternehmen wirklich ändert
05.05.2026
E‑Evidence-Act greift ab August: Was Unternehmen jetzt konkret vorbereiten müssen
30.04.2026
Rechtssicherer Einsatz von KI-Transkriptionstools in Unternehmen
29.04.2026
Konsequenzen der Umsetzung der EmpCo-Richtlinie für Marken und Unternehmenskennzeichen
22.04.2026
Die Werbung mit Umwelt- bzw. Klimafreundlichkeit durch Maßnahmen zur Treibhausgaskompensation unter der EmpCo-Richtlinie
22.04.2026
Einsatz künstlicher Intelligenz im Arbeitsverhältnis: Rechtliche Grenzen, Risiken und Pflichten
20.04.2026
EuGH zur Tragweite des Pastiches – Sampling zwischen Schutz und Freiheit

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.