Zurück zur Übersicht
09.04.2026 Fachbeitrag

Cyber Resilience Act: Wer ist betroffen und was Unternehmen jetzt wissen müssen

Update Datenschutz Nr. 243

Der Cyber Resilience Act (CRA) ist im Dezember 2024 in Kraft getreten und wird den regulatorischen Rahmen für digitale Produkte in der EU grundlegend verändern. Seitdem läuft eine Übergangsphase, in der Unternehmen ihre Produkte, Entwicklungsprozesse und Compliance-Strukturen an die neuen Cybersicherheitsanforderungen anpassen müssen. Erste Pflichten zur Meldung von Schwachstellen und Sicherheitsvorfällen durch Hersteller greifen bereits ab dem 11. September 2026. Ab dem 11. Dezember 2027 gelten dann sämtliche Anforderungen des CRA verbindlich. Vielen Unternehmen ist noch nicht bewusst, dass sie überhaupt in den Anwendungsbereich der Verordnung fallen. Insbesondere Softwareentwickler oder Anbieter vernetzter Produkte sehen sich häufig nicht als „Hersteller“ im regulatorischen Sinne. Im Folgenden zeigen wir, welche Produkte und Akteure erfasst sind und geben eine erste Orientierung zu den zentralen Pflichten des CRA.

I. Adressaten des CRA

1. Hersteller

Der Hersteller ist die zentrale Figur des CRA und zugleich derjenige Wirtschaftsakteur, den die weitreichendsten Pflichten treffen. Maßgeblich ist die Definition in Art. 3 Nr. 13 CRA:

„Hersteller ist jede natürliche oder juristische Person, die ein Produkt mit digitalen Elementen entwickelt oder herstellen lässt und es unter ihrem eigenen Namen oder ihrer eigenen Marke in Verkehr bringt. Entscheidend ist damit weniger die tatsächliche technische Herstellung als vielmehr das Auftreten am Markt.“

Ausgehend hiervon lassen sich zwei Voraussetzungen herausarbeiten:

Erstens muss ein Produkt mit digitalen Elementen vorliegen. Dieser Begriff ist weit zu verstehen und umfasst neben klassischen vernetzten Hardwareprodukten (z. B. IoT-Geräte, Maschinen mit Software) ausdrücklich auch Software – sowohl embedded als auch Standalone-Software – unabhängig davon, ob es sich um Standard- oder Individualsoftware handelt, wobei es für maßgeschneiderte Produkte mit digitalen Elementen einige Sonderregelungen gibt. Damit fallen gerade auch reine Softwareanbieter grundsätzlich in den Anwendungsbereich des CRA.

Zweitens muss das Unternehmen das Produkt unter eigenem Namen oder eigener Marke vermarkten. Dieses „Inverkehrbringen unter eigener Kennzeichnung“ ist das zentrale Abgrenzungskriterium: Wer aus Sicht der Marktteilnehmer als verantwortlicher Anbieter erscheint, ist Hersteller – unabhängig davon, ob die Entwicklung tatsächlich selbst erfolgt ist oder vollständig durch Dritte erbracht wurde .

Vor diesem Hintergrund sind insbesondere folgende Konstellationen als Hersteller einzuordnen:

  • Klassische Hersteller: Unternehmen, die Hardware oder Software selbst entwickeln und unter eigenem Namen vertreiben.
  • Softwareentwickler: Auch Unternehmen, die ausschließlich Software entwickeln und vertreiben (z. B. Apps, Betriebssysteme oder andere Standalone-Software), sind Hersteller, sofern diese als eigenständiges Produkt bereitgestellt wird.
  • Quasi-Hersteller (White-Label): Unternehmen, die Produkte oder Software von Dritten entwickeln oder produzieren lassen, diese aber unter eigener Marke vertreiben, gelten ebenfalls als Hersteller.
  • Plattform- oder Systemanbieter: Soweit sie eigene Produkte mit digitalen Elementen unter eigenem Namen in Verkehr bringen (z. B. gebündelte Hard- und Softwarelösungen), sind auch sie als Hersteller einzuordnen.

Umgekehrt ist nicht Hersteller, wer zwar an der Entwicklung oder Produktion beteiligt ist, aber nicht selbst als Anbieter gegenüber dem Markt auftritt. Ebenso wenig kommt es darauf an, ob das Produkt entgeltlich oder unentgeltlich bereitgestellt wird.

Besondere praktische Relevanz haben zudem die gesetzlichen Herstellerfiktionen: Ein Importeur oder Händler wird zum Hersteller, wenn er ein Produkt unter eigenem Namen oder eigener Marke in Verkehr bringt oder eine wesentliche Änderung an einem Produkt vornimmt. Dadurch kann sich die Herstellerrolle entlang der Lieferkette „verschieben“, was in der Praxis häufig übersehen wird.

Insgesamt ist der Herstellerbegriff des CRA bewusst weit gefasst. Gerade Unternehmen, die „nur“ Software entwickeln oder Produkte unter eigenem Branding vertreiben, sollten daher sorgfältig prüfen, ob sie nicht bereits als Hersteller im Sinne der Verordnung einzustufen sind mit der Folge umfassender regulatorischer Pflichten.

2. Importeure

Der Importeur (Art. 3 Nr. 16 CRA) ist jede in der Union ansässige natürliche oder juristische Person, die ein Produkt mit digitalen Elementen aus einem Drittstaat erstmals auf dem Unionsmarkt in Verkehr bringt. Maßgeblich ist damit allein die Funktion als „Markteintrittsstelle“ für Nicht-EU-Produkte, nicht eine eigene Beteiligung an Entwicklung oder Herstellung.

Voraussetzung ist, dass das Produkt weiterhin unter dem Namen oder der Marke des Drittstaatenherstellers vertrieben wird. In diesem Fall bleibt der ursprüngliche Anbieter Hersteller, während das einführende Unternehmen als Importeur einzuordnen ist. Die Importeurseigenschaft ist daher in der Praxis häufig nicht stabil, sondern kann durch Rebranding oder Produktanpassungen entfallen.

3. Händler

Der Händler (Art. 3 Nr. 17 CRA) ist jede natürliche oder juristische Person in der Lieferkette, die ein Produkt mit digitalen Elementen ohne Veränderung seiner Eigenschaften auf dem Unionsmarkt bereitstellt, ohne Hersteller oder Importeur zu sein.

Kennzeichnend ist damit die rein vertriebliche Funktion. Der Händler bringt Produkte nicht selbst in Verkehr, sondern gibt sie lediglich innerhalb der Lieferkette weiter. Erfasst ist die gesamte Vertriebsebene, einschließlich Groß-, Zwischen- und Einzelhandel sowie Online-Vertrieb. Sobald ein Unternehmen Produkte verändert oder unter eigenem Namen vertreibt, verlässt es die Händlerrolle und wird zum Hersteller. Entscheidend ist daher, ob die Tätigkeit auf die unveränderte Weitergabe beschränkt bleibt.

II. Wesentliche Pflichten

Die Pflichten des CRA knüpfen maßgeblich an die jeweilige Rolle in der Lieferkette an, wobei der Hersteller den umfassendsten Pflichtenkatalog trifft. Im Zentrum stehen dabei insbesondere Anforderungen an die Cybersicherheit über den gesamten Produktlebenszyklus, einschließlich sicherer Produktgestaltung, Vulnerability-Management und Bereitstellung von Sicherheitsupdates.

Importeure und Händler unterliegen demgegenüber abgestuften Sorgfalts- und Prüfpflichten. Sie dürfen Produkte nur dann auf dem Markt bereitstellen, wenn diese den Anforderungen des CRA entsprechen, und haben insbesondere die Einhaltung der formalen Konformitätsvorgaben zu überprüfen.

Für alle Wirtschaftsakteure gilt, dass sie bei festgestellten Risiken oder Sicherheitsvorfällen tätig werden und mit Herstellern sowie Behörden kooperieren müssen. Die konkrete Reichweite der Pflichten hängt dabei entscheidend von der jeweiligen Einordnung als Hersteller, Importeur oder Händler ab.

III. Aktuelle Entwicklungen

Ein wichtiger Schritt zur praktischen Umsetzung des CRA erfolgte am 3. März 2026 mit der Veröffentlichung eines Leitfadens im Entwurf durch die Europäische Kommission. Der Leitfaden zielt darauf ab, die bislang teilweise abstrakten Anforderungen der Verordnung für Unternehmen greifbarer zu machen und frühzeitig Orientierung für die laufende Übergangsphase zu bieten. Gerade vor dem Hintergrund, dass viele Unternehmen ihre Herstellerrolle und die Reichweite der Pflichten noch unterschätzen, kommt diesem Dokument erhebliche praktische Bedeutung zu.

Inhaltlich konkretisiert der Leitfaden insbesondere die Anforderungen an die sichere Produktentwicklung („secure by design“ und „secure by default“). Die Kommission stellt klar, dass Cybersicherheit nicht erst nachgelagert, sondern bereits in der Konzeptions- und Entwicklungsphase systematisch zu berücksichtigen ist. Dazu gehören etwa strukturierte Risikoanalysen, sichere Voreinstellungen sowie Prozesse zur Minimierung von Angriffsflächen. Unternehmen müssen ihre Entwicklungsprozesse daher vielfach grundlegend überprüfen und dokumentieren.

Ein weiterer Schwerpunkt liegt auf dem Vulnerability-Management. Der Leitfaden beschreibt detaillierter, wie Hersteller mit Schwachstellen umzugehen haben – von der Einrichtung interner Prozesse zur Identifikation und Bewertung über koordinierte Offenlegungsverfahren bis hin zur fristgerechten Bereitstellung von Sicherheitsupdates. Besonders hervorgehoben wird die Pflicht, über den gesamten Produktlebenszyklus hinweg ein funktionierendes Schwachstellenmanagement vorzuhalten. Damit konkretisiert die Kommission einen der praxisrelevantesten und zugleich aufwändigsten Pflichtenkreise des CRA.

Darüber hinaus greift die Kommission Fragen der Abgrenzung des Anwendungsbereichs auf. Sie stellt klar, dass der CRA weit auszulegen ist und insbesondere auch reine Softwareprodukte regelmäßig erfasst. Damit bestätigt der Leitfaden die bereits im Verordnungstext angelegte weite Reichweite und unterstreicht nochmals, dass sich gerade Softwareanbieter intensiv mit ihrer möglichen Einordnung als Hersteller auseinandersetzen müssen.

Auch zu den Meldepflichten enthält der Leitfaden weitergehende Hinweise. So werden insbesondere die Anforderungen an Inhalt, Fristen und Adressaten von Meldungen präzisiert. Für Unternehmen ist dies von großer Bedeutung, da die entsprechenden Pflichten bereits ab September 2026 greifen und in der Praxis mit bestehenden Meldepflichten z.B. aus der NIS-2-Richtlinie oder der DSGVO koordiniert werden müssen. Der Leitfaden deutet bereits an, dass eine parallele Erfüllung mehrerer Regime erforderlich sein kann, solange keine Harmonisierung erfolgt.

Diesbezüglich arbeitet die Europäische Kommission im Rahmen des sogenannten Digital Omnibus an einer übergreifenden Vereinfachung digitalrechtlicher Meldepflichten. Ziel ist es, bestehende Melde- und Berichtspflichten stärker zu harmonisieren und perspektivisch über zentrale Anlaufstellen zu bündeln (wir berichteten in Datenschutzupdate Nr. 221, Nr. 236). Für Unternehmen könnte dies mittelfristig zu einer spürbaren Entlastung führen. Kurzfristig bleibt es jedoch bei einer fragmentierten Rechtslage, sodass die verschiedenen Meldepflichten weiterhin parallel zu beachten und organisatorisch aufeinander abzustimmen sind.

IV. Fazit und Ausblick

Der CRA bringt bereits heute erheblichen Handlungsbedarf mit sich – insbesondere für Unternehmen, die bislang nicht erkannt haben, dass sie als Hersteller im Sinne der Verordnung einzuordnen sein können. Die Übergangsfristen sollten daher aktiv genutzt werden, um die eigene Rolle zu klären und die erforderlichen technischen und organisatorischen Maßnahmen rechtzeitig aufzusetzen.

Der von der Kommission veröffentlichte Leitfaden bietet hierfür eine wichtige Orientierung, ist jedoch noch nicht abschließend. Unternehmen haben aktuell noch die Möglichkeit, sich an der weiteren Ausgestaltung zu beteiligen: Die Kommission führt eine Konsultation durch und nimmt Stellungnahmen zum Leitfaden bis zum 13. April 2026 entgegen.

Mit Blick auf die weiteren Entwicklungen – insbesondere im Rahmen des Digital Omnibus – ist zudem mit einer fortschreitenden Konkretisierung und teilweisen Vereinheitlichung der Anforderungen zu rechnen. Gleichwohl bleibt festzuhalten: Die zentralen Weichen für die CRA-Compliance müssen Unternehmen bereits jetzt stellen.

Dieser Beitrag wurde in Zusammenarbeit mit unserer stud. Mitarbeiterin Emily Bernklau erstellt.

Als PDF herunterladen
Datenschutz & Datenrecht
Informationssicherheit
IP, Media & Technology
Als PDF herunterladen

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Weitere Artikel

09.04.2026
Die Verwendung von sog. Nachhaltigkeitssiegeln unter der EmpCo-Richtlinie
08.04.2026
„Datenverarbeitungsdienste“ im Sinne des Data Act – Pars pro toto oder totum pro parte?
02.04.2026
Allgemeine und konkrete Umweltaussagen unter der EmpCo-Richtlinie
27.03.2026
Neue Entwicklungen im Digital Omnibus
24.03.2026
BGH bestätigt weite Auslegung des Erfordernisses einer Lernkontrolle für die Anwendbarkeit des Fernunterrichtsschutzgesetzes (FernUSG)
23.03.2026
Digital Compliance – Der neue Rechtsrahmen für KI, Daten und digitale Resilienz
19.03.2026
EuGH: Missbräuchliche Auskunftsersuchen können zurückgewiesen werden: „Brillen Rottler“ konkretisiert die Grenzen von Art. 15 und Art. 82 DSGVO
16.03.2026
CNIL sanktioniert unzulässige Weitergabe von Loyalty-Daten an Social Media für Werbezwecke
11.03.2026
Einsatz künstlicher Intelligenz – Was ist aktuell rechtlich zu beachten?
03.03.2026
Digitale Souveränität in Unternehmen: Cloud- und KI-Nutzung rechtssicher gestalten
03.03.2026
BGH konkretisiert räumliche Trennung beim Online-Coaching – Vertragsinhalt ist entscheidend für Anwendbarkeit des Fernunterrichtsschutzgesetzes (FernUSG)
25.02.2026
DIGITAL OMNIBUS: Welche Erleichterungen ergeben sich für Unternehmen?

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.