Cyber Resilience Act: Was Hersteller ab September 2026 beachten müssen

Mit dem Cyber Resilience Act (CRA, Verordnung (EU) 2024/2847) führt die Europäische Union ab dem 11. September 2026 verpflichtende Vorgaben zum Schwachstellenmanagement und zur Meldung von Sicherheitsvorfällen für Produkte mit digitalen Komponenten ein. Die umfassenden Cybersicherheits- und Transparenzanforderungen des CRA werden ab Dezember 2027 vollständig angewendet. Doch schon ab Herbst 2026 setzen wichtige Vorgaben neue Standards für Hersteller, Importeure und Händler digitaler Produkte.

Wer ist vom CRA betroffen?

Der CRA gilt für alle Akteure, die Produkte mit digitalen Elementen in der EU in Verkehr bringen – von IoT-Geräten über Software bis hin zu embedded Systems. Ausnahmen bestehen für Produkte, die ausschliesslich für nationale Sicherheit, Medizinprodukte, Fahrzeuge oder Luftfahrt bestimmt sind.

Whitepaper

Was Hersteller von Connected Devices jetzt wissen müssen

Erfahren Sie, wie der neue EU Cyber Resilience Act die Anforderungen für Hersteller von vernetzten Geräten verändert.

Whitepaper herunterladen

Was ist ab September 2026 verpflichtend?

Schwachstellenmanagement und Meldepflichten

• Unverzügliche Meldung von Sicherheitsvorfällen: Hersteller und andere Wirtschaftsakteure müssen aktiv ausgenutzte Schwachstellen und relevante Sicherheitsvorfälle innerhalb von 24 Stunden nach Bekanntwerden an nationale Behörden und die ENISA melden. Eine vollständige Nachmeldung mit Details ist spätestens nach 72 Stunden verpflichtend. Die Meldepflichten gelten für alle Akteure entlang der Lieferkette – inklusive Importeure und Händler.
• Systematisches Schwachstellenmanagement: Unternehmen müssen Verfahren für die Erkennung, Bewertung, Behandlung und Koordination von Schwachstellen etablieren. Die verpflichtende Durchführung von Risikobewertungen greift erst nach Ablauf der Übergangsfrist. Eine frühzeitige Durchführung ist jedoch für ein wirksames Schwachstellenmanagement von Vorteil.
• Koordinierte Offenlegung: Prozesse zur sachgerechten und sicheren Offenlegung von Schwachstellen müssen implementiert werden.

Dokumentationspflichten

• Unverzügliche Dokumentationsbereitstellung: Hersteller müssen vollständige technische Dokumentationen zu Schwachstellenmanagement, implementierten Sicherheitsmassnahmen und den digitalen Produkten bereithalten. Auf Anfrage müssen diese Unterlagen unverzüglich den zuständigen Behörden zur Verfügung gestellt werden, um Transparenz und Compliance sicherzustellen.
• Informationszugang für Kunden: Die Sicherheitsdokumentationen, die relevante Details zu Cybersecurity-Massnahmen enthalten, müssen auch Kundinnen und Kunden zugänglich gemacht werden. Dies umfasst die Bereitstellung klarer Anleitungen zu Sicherheitsupdates, Schwachstellenmeldungen und möglichen Schutzmassnahmen.
• Regelmässige Aktualisierung: Technische Dokumentationen sind kontinuierlich zu aktualisieren, um die Einhaltung der neuesten Sicherheitsstandards zu gewährleisten. Änderungen am Produkt, wie etwa neue Software-Updates, müssen in den Unterlagen vermerkt werden.
• Zugänglichkeit in maschinenlesbarem Format: Dokumentationen und sicherheitsbezogene Informationen sollten in einem strukturierten, maschinenlesbaren Format bereitgestellt werden, um die Verarbeitung durch Behörden und Partner zu vereinfachen.

Weitere CRA-Anforderungen gelten ab Dezember 2027

Ab dem 11. Dezember 2027 treten die restlichen umfangreichen Cybersicherheits-Pflichten in Kraft:

• CE-Kennzeichnung und Konformitätsbewertung: Produkte mit digitalen Komponenten müssen eine CE-Kennzeichnung tragen. Die Art der Konformitätsbewertung (intern oder extern) richtet sich nach dem Cybersecurity-Risiko des Produkts.
• Security by Design und Security by Default: Cybersicherheit wird verpflichtend in die Produktentwicklung und Voreinstellungen integriert.
• Software-Stückliste (SBOM): Für jedes Produkt ist eine Software Bill of Materials zu erstellen und aktuell zu halten. Die SBOM listet detailliert alle Software-Komponenten und Bibliotheken auf, wodurch Schwachstellenmanagement und Transparenz deutlich verbessert werden.
• Regelmässige Sicherheitsupdates: Hersteller sind verpflichtet, für die vom Hersteller definierte Support-Dauer (mindestens fünf Jahre) Sicherheitsupdates kostenlos bereitzustellen.
• Marktüberwachung: Behörden erhalten erweiterte Rechte, um die Einhaltung der neuen Anforderungen zu überprüfen und durchzusetzen.

bbv Academy zu EU-Regeln

Machen Sie Ihr Team fit für den CRA

Die EU erlässt verschiedene Gesetze zu Cybersecurity. Das betrifft besonders Produkteentwickler:innen. Mit diesem Kurs erhalten sie den Durchblick

Jetzt Kursdetails ansehen

Vorteile für Unternehmen: Compliance als Wettbewerbsvorteil

Unternehmen, die den CRA nicht nur als Pflicht, sondern als Strategie verstehen, profitieren gleich doppelt.

• Vertrauen in Unternehmen stärken: Kunden bevorzugen sicherheitszertifizierte Produkte.
• Sicherheit und Vertrauen schaffen: Lückenloses Schwachstellenmanagement schützt vor Ausfällen und Imageschäden.
• Marktchancen nutzen: Die Einhaltung von Cybersicherheitsstandards wird zur Eintrittskarte für den europäischen Binnenmarkt.

Das sollten Unternehmen jetzt tun

Ab sofort sollten Unternehmen organisatorische und technische Massnahmen starten, um den CRA zu erfüllen:

• Produktscreening: Identifizieren Sie, welche Ihrer Produkte unter den CRA fallen.
• Technische Dokumentation: Schaffen Sie vollständige Transparenz über Sicherheitsmerkmale und Software-Komponenten (SBOM).
• Update-Prozesse etablieren: Gewährleisten Sie die Bereitstellung proaktiver Patches und Updates.
• Meldeplattform einrichten: Implementieren Sie klare Berichtlinien für Schwachstellen und Sicherheitsvorfälle.
• Team schulen: Machen Sie Cybersicherheit zur Kernkompetenz Ihrer Teams und Prozesse.

Checkliste

Für die erfolgreiche Implementierung des Cyber Resilience Act

Unsere Checkliste zur Umsetzung des Cyber Resilience Act bietet Ihnen einen klaren Leitfaden, um alle erforderlichen Schritte effizient zu planen und umzusetzen.

Checkliste herunterladen

Fazit: Frühzeitig Compliance sichern

Die ab 11. September 2026 verpflichtenden Melde- und Schwachstellenmanagement-Pflichten erfordern von Unternehmen sofortiges Handeln. Gleichzeitig sollten Firmen die weitere umfangreiche Umsetzung der CRA-Anforderungen ab Dezember 2027 sorgfältig vorbereiten, um Sicherheit, Marktchancen und regulatorische Compliance dauerhaft zu gewährleisten. Die Umsetzung eines vollständigen Sicherheits- und Transparenzkonzepts ist der Schlüssel zu nachhaltigem Erfolg im digitalen EU-Binnenmarkt.

DAS KÖNNTE SIE AUCH INTERESSIEREN

Warum Cyber Resilience auch Drittanbieter betrifft

Lieferketten im Fokus: Cyber Resilience und Third-Party Risks

General Product Safety Regulation (GPSR)

Cybersecurity: Stärkere Regulierung für Produktsicherheit

EU-Richtlinie

Radio Equipment Directive: Cybersecurity-Schutz für Funkanlagen

Cybersicherheit über die gesamte Lieferkette

Cyber Resilience Act: Warum die Einbindung Ihrer Lieferanten entscheidend ist

Der Experte

Roland Achermann

Roland Achermann, Head of Business Area bei bbv, bringt umfangreiche und langjährige Erfahrung in der Softwareentwicklung mit. Dank seiner praxisorientierten Lösungsansätze und seinem umfassenden Verständnis von Cybersecurity unterstützt er Unternehmen wirkungsvoll dabei, die Vorgaben des Cyber Resilience Act umzusetzen und ihre Resilienz nachhaltig zu stärken.