Aktuelles

Blog — 13. Januar 2026

Cyber Resilience Act: Neue Anforderungen für Hersteller

Dr. Oliver Meyer-van Raay, Nora Steddin —  

Mit dem Cyber Resilience Act (CRA) schafft die Europäische Union erstmals ein umfassendes, harmonisiertes Regelwerk für die Cybersicherheit von Produkten mit digitalen Elementen. Ziel ist es, die Cybersicherheit in der Europäischen Union zu erhöhen. Die neuen Vorgaben treffen dabei insbesondere Hersteller, die Produkte mit digitalen Elementen entwickeln – von Software bis IoT-Hardware.

Anwendbarkeit und Übergangsfristen

Die Meldepflichten für Sicherheitsvorfälle und ausgenutzte Schwachstellen gelten ab September 2026. Die übrigen Pflichten – einschließlich der Einhaltung der grundlegenden Cybersicherheitsanforderungen und der technischen Dokumentation – werden ab Dezember 2027 verbindlich.

 

Welche Pflichten kommen auf Hersteller zu?

Hersteller müssen künftig ein deutlich höheres Cybersicherheitsniveau über den gesamten Produktlebenszyklus hinweg sicherstellen. Zu den zentralen Anforderungen gehören unter anderem:

  • Durchführung einer Cybersicherheits-Risikobewertung und daraus abgeleiteter Sicherheitsmaßnahmen
  • Einhaltung der grundlegenden Cybersicherheitsanforderungen des CRA
  • Erfüllung umfassender Dokumentationspflichten, inklusive der Erstellung einer Software Bill of Materials (SBOM)
  • Bereitstellung von Sicherheitsupdates über einen definierten Zeitraum (in der Regel mindestens fünf Jahre)
  • Etablierung eines kontinuierlichen Schwachstellenmanagements
  • Meldung von Sicherheitsvorfällen und aktiv ausgenutzten Schwachstellen an die zuständigen Stellen
  • Anpassung von Verträgen mit Zulieferern und Dienstleistern, um die Einhaltung der oben genannten Pflichten sicherzustellen

Diese Vorgaben erfordern häufig organisatorische, technische und prozessuale Anpassungen innerhalb der Unternehmen. Eine frühzeitige Auseinandersetzung mit dem CRA ist daher entscheidend, um rechtzeitig Compliance sicherzustellen und Risiken für den Marktzugang zu vermeiden.

Unsere Veröffentlichung

In unserer neuesten Veröffentlichung (abrufbar unter “Lesen” am Ende des Beitrags) haben wir die wichtigsten Pflichten für Hersteller übersichtlich und praxisnah aufbereitet. Sie bietet einen strukturierten Einstieg in die Anforderungen des CRA und unterstützt Unternehmen dabei, die notwendigen Schritte zur Umsetzung zu planen.

Sofern Sie Fragen zum CRA haben, stehen wir Ihnen gerne zur Verfügung.

Dr. Oliver Meyer-van Raay, om@vogel-partner.eu

Nora Steddin, nos@vogel-partner.eu