EU-Gesetz zur Widerstandsfähigkeit gegen Cyberangriffe: Wie man sich jetzt vorbereitet

Verstehen Sie die Auswirkungen des EU-Cyber-Resilienzgesetzes (CRA) auf Hersteller, Importeure und Vertreiber digitaler Produkte. Erfahren Sie, wie sich Ihr Unternehmen auf die Einhaltung der Vorschriften vorbereiten kann.

Sarah Hemmersbach
Sarah Hemmersbach Mai 15, 2025 7 min gelesen
Bannerbild für den Mitratech-Blog zum EU-Gesetz zur Cyberresilienz. Enthält Markengrafiken und Sterne aus der Flagge der Europäischen Union.
Das EU-Gesetz zur Cyberresilienz (CRA), das 2024 vom Europäischen Parlament verabschiedet wurde, ist ein wichtiger Meilenstein in der europäischen Cybersicherheitsgesetzgebung. Als erstes EU-weites Gesetz, das sich auf die Cybersicherheit digitaler Produkte konzentriert, legt es verbindliche Anforderungen für Hersteller, Importeure und Händler von Produkten mit digitalen Elementen (PDEs) fest. Sein vorrangiges Ziel ist es, Schwachstellen in Hardware und Software zu minimieren und die Sicherheit über den gesamten Produktlebenszyklus hinweg zu verbessern.

Unternehmen, die in der EU tätig sind oder auf dem EU-Markt verkaufen, müssen nun strenge Cybersicherheitsauflagen erfüllen, darunter die Überwachung nach dem Inverkehrbringen und die Überwachung der Einhaltung von Vorschriften durch Dritte.

Wichtigste Punkte des EU-Gesetzes zur Cyberresilienz

Definitionen

Produkt mit digitalen Elementen (PDE): Jedes Hardware- oder Softwareprodukt, das Daten direkt oder indirekt verarbeiten kann.

Hersteller: Das Unternehmen, das für die Entwicklung oder Herstellung von PDEs verantwortlich ist, auch wenn die Produktion ausgelagert ist.

Kritische (Klasse I) und nicht kritische (Klasse II) Produkte: PDEs werden aufgrund ihrer Bedeutung für wesentliche Dienste oder die Sicherheit gemäß Anhang III klassifiziert.

Klasse I: Umfasst Betriebssysteme, Router, VPNs, Passwortmanager

Klasse II: Umfasst Firewalls, Hypervisoren und manipulationssichere Chips.

Geltungsbereich und Anwendbarkeit

Die CRA gilt für alle PDEs, die auf den EU-Markt gebracht werden, unabhängig davon, woher sie stammen. Sie umfasst:

  • Hersteller (einschließlich Softwareentwickler), Importeure und Händler
  • Unternehmen, die IKT-Produkte von Drittanbietern verwenden und die Einhaltung der Vorschriften durch die Anbieter sicherstellen müssen
  • Ausgenommen ist Open-Source-Software, die außerhalb kommerzieller Aktivitäten entwickelt wurde.

Grundsätze und Verpflichtungen

Sicherheit durch Design und Standard: PDEs müssen so konzipiert sein, dass Schwachstellen von Anfang an minimiert werden.
Lebenszyklus-Cybersicherheit: Unternehmen müssen Risiken von der Entwicklung bis zum Ende der Lebensdauer berücksichtigen, einschließlich Updates und Patches.
Meldung von Schwachstellen: Unternehmen müssen ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle innerhalb von 24 bis 72 Stunden an die ENISA melden.
Transparenzpflichten: Hersteller müssen klare Anweisungen für die sichere Verwendung bereitstellen und bekannte Schwachstellen gegenüber den Benutzern offenlegen.

Durchsetzung und Sanktionen

Die Einhaltung der CRA-Vorschriften wird von den nationalen Marktüberwachungsbehörden in der gesamten EU durchgesetzt. Die Nichteinhaltung hat erhebliche Konsequenzen, darunter:

  • Geldstrafen von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
  • Möglicher Rückzug nicht konformer Produkte vom EU-Markt.

Ausnahmen sind unter anderem, dass Kleinst- und Kleinunternehmen keine Geldstrafen für verspätete Meldungen von Sicherheitslücken erhalten und Open-Source-Verwalter von finanziellen Strafen befreit sind.

Wichtige Termine für die Durchsetzung:

  • Juni 2026: Die Meldepflicht für schwerwiegende Vorfälle und ausgenutzte Sicherheitslücken tritt in Kraft.
  • Dezember 2027: Frist für die vollständige Einhaltung und Durchsetzung.

Wie lässt sich die CRA mit anderen EU-Vorschriften vergleichen?

Das EU-Gesetz zur Cyberresilienz (CRA) ergänzt andere Rechtsrahmen wie NIS2, DSGVO und das EU-KI-Gesetz, indem es sich mit der Cybersicherheit auf Produktebene befasst. Im Gegensatz dazu konzentrieren sich die anderen auf die Betriebssicherheit (NIS2), den Schutz personenbezogener Daten (DSGVO) und das KI-spezifische Risikomanagement (EU-KI-Gesetz).

Zwar gibt es einige Überschneidungen – insbesondere bei der Meldung von Vorfällen –, dochbefasst sich die CRA in einzigartiger Weise mit Cybersicherheit auf Produktebene, schließt regulatorische Lücken und arbeitet mit sektorspezifischen Gesetzen zusammen.

Die CRA führt sowohl Compliance-Verpflichtungen als auch Herausforderungen beim Marktzugang mit sich. Sie erhöht die Bedeutung von Transparenz in der Lieferkette, robustem Schwachstellenmanagement und Sicherheit während des gesamten Produktlebenszyklus.

Wie kann Ihr Unternehmen also den Kernfunktionen, die am stärksten von der CRA betroffen sind, einen Schritt voraus sein? Beginnen Sie mit diesen sieben praktischen Tipps.

7 wichtige Schritte zur Vorbereitung auf die Einhaltung des EU-Gesetzes zur Cyber-Resilienz

Die Vorbereitung auf das EU-Gesetz zur Cyberresilienz muss nicht überwältigend sein. Mit diesen sieben praktischen Schritten kann Ihr Unternehmen proaktive und strukturierte Maßnahmen ergreifen, um vollständige Compliance zu erreichen.

1. Überprüfen Sie Ihr Produktportfolio

Beginnen Sie damit, zu ermitteln, welche Ihrer Produkte unter die Kategorie „Produkte mit digitalen Elementen“ (PDEs) fallen. Sobald Sie eine klare Liste haben, bestimmen Sie, ob einige davon gemäß CRA als „kritische Produkte“ eingestuft sind. Diese Produkte unterliegen strengeren Kontrollen und zusätzlichen Verpflichtungen, daher ist es wichtig, sie frühzeitig zu kennzeichnen.

2. Sichere Entwicklungspraktiken anwenden

Integrieren Sie Sicherheit in jede Phase Ihres Produktentwicklungszyklus. Beziehen Sie Bedrohungsmodellierung ein, befolgen Sie sichere Codierungsstandards und sorgen Sie für gründliche Sicherheitstests. Es ist auch ratsam, Ihre Prozesse an anerkannten Rahmenwerken wie ISO 27001 und NIST CSF auszurichten, um internationale Best Practices zu erfüllen.

3. Verbesserung der Prozesse zum Schwachstellenmanagement

Entwickeln Sie einen umfassenden und gut dokumentierten Prozess zur Identifizierung, Offenlegung und Minderung von Schwachstellen. Verlangen Sie von Ihren Teams, dass sie die Protokolle zur koordinierten Offenlegung von Schwachstellen (Coordinated Vulnerability Disclosure, CVD) befolgen. Bereiten Sie sich auf schnelle Reaktionen vor, indem Sie interne Eskalationswege einrichten und sicherstellen, dass Ihre Pläne zur Reaktion auf Vorfälle es Ihnen ermöglichen, die Aufsichtsbehörden bei Bedarf innerhalb von 24 Stunden zu benachrichtigen.

Machen Sie es sich zur Gewohnheit, Folgendes zu dokumentieren:

  • Ursachenanalyse
  • Sanierungsmaßnahmen
  • Auswirkungen auf Kunden

Überwachen Sie außerdem Ihre wichtigen Lieferanten, um sicherzustellen, dass deren Umgang mit Schwachstellen Ihren Erwartungen entspricht.

4. Erstellen und Pflegen einer detaillierten technischen Dokumentation

Die Dokumentation spielt eine zentrale Rolle bei der Einhaltung der CRA-Vorschriften. Stellen Sie sicher, dass die Dokumentation Risikobewertungen, Sicherheitsmaßnahmen, Testergebnisse und Aktualisierungsprozesse umfasst. Führen Sie für jedes regulierte Produkt klare Aufzeichnungen über:

  • Produktbeschreibungen, Gebrauchsanweisungen, Software-Versionsverwaltung
  • Risikobewertungen zur Cybersicherheit und Verfahren zum Umgang mit Schwachstellen
  • Nachweis der Konformitätsbewertungen
  • Software-Stücklisten (SBOMs)
  • Konformitätserklärung und CE-Kennzeichnung

Seien Sie bereit, diese Informationen auf Anfrage den Behörden zur Verfügung zu stellen. Bewahren Sie diese Unterlagen mindestens 10 Jahre lang auf.

5. Durchführung von CRA-Konformitätsbewertungen

Stellen Sie fest, ob Ihr Produkt eine Selbstbewertung oder eine unabhängige Bewertung durch Dritte erfordert. Bringen Sie auf Grundlage des Ergebnisses die entsprechende CE-Kennzeichnung an und füllen Sie die EU-Konformitätserklärung aus, um nachzuweisen, dass Ihr Produkt den CRA-Standards entspricht.

6. Stärkung der Überwachung von Risiken durch Dritte

Bewerten Sie die CRA-Compliance-Reife aller Ihrer Lieferanten. Führen Sie CRA-spezifische Prüfpunkte in Ihre Prozesse zur Lieferantenaufnahme und Vertragsverlängerung ein. Aktualisieren Sie Beschaffungsverträge, um Anforderungen für Folgendes aufzunehmen:

  • Sicherheitsaufgaben
  • Offenlegungspflichten
  • Einreichung von SBOMs

Behalten Sie den Überblick über die Produktabhängigkeiten Ihrer Lieferanten und bewerten Sie potenzielle Risiken für die Geschäftskontinuität, falls ein Lieferant die CRA-Vorschriften nicht einhält.

7. Interne Teams schulen und weiterbilden

Stellen Sie sicher, dass Ihre Teams verstehen, was die CRA für ihre Aufgaben bedeutet. Bieten Sie gezielte Schulungen für Mitarbeiter in den Bereichen Compliance, Technik und Beschaffung an. Beziehen Sie das Bewusstsein für die CRA in die Produktentwicklung, die Einarbeitung von Lieferanten und die Planung von Maßnahmen bei Zwischenfällen ein. Erwägen Sie die Durchführung funktionsübergreifender Workshops, um zu üben, wie Ihre Teams unter den Anforderungen der CRA auf einen Sicherheitsvorfall reagieren würden.

Warum das EU-Gesetz zur Cyberresilienz frühzeitiges Handeln erfordert

Das Gesetz zur Cyberresilienz stellt einen Paradigmenwechsel in der Herangehensweise der EU an die Sicherheit digitaler Produkte dar, indem es Cybersicherheitsverpflichtungen in jeder Phase – vom Produktdesign bis zur Bereitstellung für den Endnutzer – verankert. Es stärkt ein Modell der gemeinsamen Verantwortung entlang der gesamten digitalen Lieferkette und gibt den Verbrauchern mehr Vertrauen und Kontrolle über die Sicherheit vernetzter Produkte.

Auch wenn die Einhaltung der CRA-Vorschriften für Ihr Unternehmen noch nicht verpflichtend ist, bietet eine frühzeitige Anpassung klare Vorteile:

  • Zeigt Engagement für die Sicherheit der Kunden
  • Mildert Produkthaftungsrisiken
  • Verbessert die Wettbewerbsfähigkeit in der EU
  • Erhöht die Widerstandsfähigkeit gegen Cyber-Bedrohungen

Durch die Einbettung von CRA-konformen Sicherheitsmaßnahmen in die Produktentwicklung und in Risikoprogramme für Dritte können Unternehmen Risiken reduzieren, das Vertrauen ihrer Kunden stärken und einen ununterbrochenen Zugang zu den EU-Märkten sicherstellen.

Nächste Schritte: Stärkung der CRA-Compliance mit Mitratech

Mit hohen Strafen und strengen Auflagen ist das EU-Cyberresilienzgesetz keine Verordnung, deren Umsetzung Sie auf die lange Bank schieben sollten. Bei der Vorbereitung auf die Einhaltung des EU-Cyberresilienzgesetzes (CRA) können die richtigen Tools Ihren Weg zur Bereitschaft vereinfachen und beschleunigen.

Die GRC- und Risikomanagement-Lösungen von Mitratech unterstützen CRA-konforme Abläufe, indem sie Ihnen dabei helfen:

  • Zentralisieren und automatisieren Sie die Verwaltung technischer Dokumentationen, um für Audits gerüstet zu sein.
  • Implementieren Sie konsistente und wiederholbare Workflows für die Reaktion auf Schwachstellen und Vorfälle.
  • Bewerten und überwachen Sie Risiken von Drittanbietern mithilfe robuster TPRM-Tools.
  • Führen Sie Risikobewertungen durch und verwalten Sie die sichere Entwicklung mit Richtlinien und Kontrollrahmenwerken.
  • Führen Sie unternehmensweite Schulungen mit integrierten Modulen zur Sensibilisierung für Compliance und Nachverfolgung durch.

Sind Sie bereit zu erfahren, wie Mitratech Sie bei der Einhaltung der CRA-Vorschriften unterstützen kann? Fordern Sie noch heute eine Demo an und sprechen Sie mit einem Lösungsexperten.

Gefällt Ihnen dieser Artikel? Schauen Sie sich diese an:

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.