EU-Gesetz: Cyber-Sicherheit wird zur Herstellerpflicht
Sicherheit ab Werk: Das fordert das neue Gesetz
Die Zeit wird knapp: Ab 2026 müssen Hersteller digitaler Produkte in der EU strengste Cybersicherheits-Standards einhalten oder riskieren Millionen-Strafen. Das neue Cyber-Widerstandsfähigkeitsgesetz revolutioniert die Produktsicherheit – von Smart-Home-Geräten bis zu Industrieanlagen.
Das Cyber Resilience Act (CRA), das bereits seit dem 10. Dezember 2024 in Kraft ist, läutet eine neue Ära der digitalen Produktsicherheit ein. Erstmals werden Hersteller gesetzlich verpflichtet, ihre Geräte bereits bei der Entwicklung umfassend gegen Cyberangriffe zu schützen. Die Botschaft ist klar: Wer unsichere Produkte in der EU verkaufen will, muss draußen bleiben.
Das CRA bricht radikal mit bisherigen Praktiken. Statt Sicherheitslücken nachträglich zu flicken, müssen Hersteller ihre Produkte von Grund auf sicher entwickeln. Betroffen sind nahezu alle digitalen Geräte – von Spielzeug und Smart-TVs über Smartphones bis hin zu Industrierobotern.
Die Kernpflichten sind weitreichend: Hersteller müssen vor der Markteinführung umfassende Risikobewertungen durchführen und ihre Produkte standardmäßig in der sichersten Konfiguration ausliefern. Besonders brisant: Mindestens fünf Jahre kostenlose Sicherheitsupdates sind Pflicht – oder für die gesamte erwartete Produktlebensdauer.
Schluss damit, dass Verbraucher mit veralteter, angreifbarer Technik alleingelassen werden. Wer sein Smartphone oder seinen Router nicht mehr aktualisiert, verstößt künftig gegen EU-Recht.
Anzeige: Passend zum Thema Cybersicherheit – während Hersteller künftig länger Updates liefern müssen, bleibt Ihr eigener Schutz im Alltag entscheidend. Viele Android-Nutzer übersehen genau diese 5 Maßnahmen, die WhatsApp, Online-Banking und Co. deutlich sicherer machen – ganz ohne teure Zusatz-Apps. Der kostenlose Ratgeber erklärt alle Schritte verständlich und zeigt, wie Sie typische Lücken in Minuten schließen. Jetzt kostenloses Android-Sicherheitspaket anfordern
Countdown läuft: Diese Fristen entscheiden
September 2026 markiert den ersten Härtetest. Ab diesem Stichtag müssen Unternehmen jeden Cyberangriff binnen 24 Stunden den EU-Behörden melden. Eine dramatische Verschärfung der Transparenzpflicht, die selbst Großkonzerne vor logistische Herausforderungen stellt.
Der finale Gong schlägt am 11. Dezember 2027: Dann greifen sämtliche CRA-Bestimmungen. Produkte ohne die erforderliche CE-Kennzeichnung haben im EU-Binnenmarkt nichts mehr verloren. Für deutsche Unternehmen wie SAP, Siemens oder Continental bedeutet das: Komplette Portfolios müssen überprüft und angepasst werden.
Meldepflicht im Minutentakt
Besonders schmerzhaft dürften die neuen Meldefristen werden. Das dreistufige System ist gnadenlos:
- Sofortmeldung binnen 24 Stunden nach Bekanntwerden einer Sicherheitsverletzung
- Detailbericht mit ersten Gegenmaßnahmen innerhalb von 72 Stunden
- Abschlussbericht nach 14 Tagen (Schwachstellen) bzw. einem Monat (schwere Vorfälle)
Die europäische Cybersicherheits-Agentur ENISA baut dafür eine zentrale Meldeplattform auf. Wer zu spät meldet, riskiert empfindliche Strafen.
Millionen-Bußgelder als Druckmittel
Die EU meint es ernst: Bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes können als Strafe fällig werden. Für DAX-Konzerne könnte das schnell in die Hunderte Millionen gehen.
Unternehmen müssen künftig eine komplette “Software-Stückliste” ihrer Produkte führen – jede einzelne Code-Komponente muss dokumentiert und überwacht werden. Ein bürokratischer Kraftakt, der IT-Abteilungen vor völlig neue Herausforderungen stellt.
Deutschland bereitet sich vor
Während die EU-Kommission noch an den technischen Details feilt, beginnt in deutschen Unternehmen bereits das große Umdenken. Wer bis 2027 compliant sein will, muss jetzt handeln: Sicherheitskonzepte überarbeiten, Meldeverfahren etablieren, Entwicklungsprozesse revolutionieren.
Das CRA wird zum globalen Maßstab – denn wer den lukrativen EU-Markt bedienen will, muss die schärfsten Cybersicherheits-Standards der Welt erfüllen. Die Botschaft an die Tech-Branche ist unmissverständlich: Sicherheit first – oder raus aus Europa.
