Cyber Resilience Act: Was der CRA für Ihr Unternehmen bedeutet

Der EU Cyber Resilience Act (CRA) ist seit Ende 2024 in Kraft und entfaltet ab dem 11. Juni 2026 erste Wirkung. Mit ihm schafft die EU erstmals einen einheitlichen Rechtsrahmen für die Cybersicherheit von Produkten mit digitalen Elementen — von der Firmware im Router bis zur Cloud-basierten Unternehmenssoftware. Für Hersteller, Importeure und Händler gelten weitreichende neue Pflichten. Aber auch für Unternehmen, die solche Produkte einsetzen, ändert sich mehr als auf den ersten Blick erkennbar.

Worum geht es beim CRA?

Der CRA verfolgt einen horizontalen Ansatz: Er reguliert nicht einzelne Branchen, sondern alle Produkte mit digitalen Elementen, die in der EU in Verkehr gebracht werden. Das umfasst Hardware mit eingebetteter Software ebenso wie eigenständige Softwareprodukte. Betroffen sind unter anderem Firewalls, Router, Switches, industrielle Steuerungen, Smart-Home-Geräte, aber auch Business-Software, ERP-Systeme und Cloud-Dienste.

Im Kern verlangt der CRA:

Security by Design: Cybersicherheit muss von der Konzeption bis zum Ende des Produktlebenszyklus mitgedacht werden
Schwachstellenmanagement: Hersteller müssen bekannt gewordene Schwachstellen aktiv managen und Sicherheitsupdates bereitstellen — kostenlos und über einen definierten Zeitraum
Meldepflichten: Aktiv ausgenutzte Schwachstellen müssen innerhalb von 24 Stunden an die ENISA gemeldet werden
Konformitätsbewertung: Produkte müssen vor dem Inverkehrbringen nachweislich die CRA-Anforderungen erfüllen — je nach Risikoklasse durch Selbstbewertung oder durch eine unabhängige Prüfstelle
Dokumentationspflichten: Technische Dokumentation, Software Bill of Materials (SBOM) und Konformitätserklärung werden Pflicht

Zeitplan: Was gilt ab wann?

Der CRA tritt stufenweise in Kraft:

Ab 11. Juni 2026: Pflichten für Konformitätsbewertungsstellen greifen
Ab 11. September 2026: Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle
Ab 11. Dezember 2027: Alle CRA-Anforderungen gelten vollständig — Produkte ohne CRA-Konformität dürfen nicht mehr in Verkehr gebracht werden

Parallel dazu muss Deutschland ein nationales Durchführungsgesetz verabschieden. Der aktuelle Referentenentwurf des BMI sieht vor, dem BSI die zentrale Rolle als Marktüberwachungsbehörde, CSIRT und Beschwerdestelle zuzuweisen. TeleTrusT, der Bundesverband IT-Sicherheit, kritisiert in seiner aktuellen Stellungnahme vom 1. April 2026 allerdings, dass die personelle und finanzielle Ausstattung des BSI dafür nicht gesichert sei und die vorgesehenen Unterstützungsmaßnahmen für Unternehmen mit nur 1,28 Mio. Euro jährlich massiv unterfinanziert seien.

Wen betrifft der CRA direkt?

Hersteller

Wer Produkte mit digitalen Elementen herstellt und in der EU in Verkehr bringt, ist Hauptadressat des CRA. Das betrifft nicht nur klassische Hardware-Hersteller, sondern ausdrücklich auch Softwareunternehmen. Selbst Open-Source-Projekte können unter bestimmten Voraussetzungen erfasst sein, wenn sie kommerziell genutzt werden.

Importeure und Händler

Wer Produkte aus Drittstaaten in die EU importiert oder weitervertreibt, muss sicherstellen, dass die CRA-Anforderungen erfüllt sind. Im Klartext: Wer IT-Produkte aus den USA, China oder anderen Nicht-EU-Staaten bezieht und im eigenen Geschäftsbetrieb einsetzt oder weiterverkauft, trägt Mitverantwortung.

Anwender und Betreiber

Unternehmen, die Produkte mit digitalen Elementen einsetzen, sind zwar nicht direkt Adressaten des CRA. Mittelbar betrifft sie der CRA aber erheblich — und genau hier wird es für die Kunden von NEOSEC relevant.

Was der CRA für NEOSEC-Kunden konkret bedeutet

1. Höhere Baseline-Sicherheit in der Lieferkette

Der CRA wird dafür sorgen, dass Produkte, die in der EU verkauft werden, ein Mindestmaß an Cybersicherheit mitbringen. Für Betreiber kritischer Infrastrukturen und NIS2-pflichtige Unternehmen bedeutet das langfristig: Die Produkte, die Sie einkaufen, werden sicherer. Kurzfristig bedeutet es allerdings auch: Ihre bestehenden Beschaffungsprozesse müssen angepasst werden. Fragen Sie Ihre Lieferanten nach CRA-Konformität, SBOM und Schwachstellenmanagement-Prozessen.

2. Wechselwirkung mit NIS2

NIS2 verpflichtet Unternehmen zu Risikomanagementmaßnahmen — und dazu gehört ausdrücklich auch die Sicherheit in der Lieferkette (Art. 21 Abs. 2 lit. d NIS2-Richtlinie). Der CRA liefert hier das Pendant auf Produktseite. Wer als NIS2-pflichtige Einrichtung Produkte ohne CRA-Konformität einsetzt, könnte mittelfristig Schwierigkeiten bekommen, die eigenen Lieferkettensicherheitspflichten nachzuweisen. Umgekehrt wird die CRA-Konformität eines Produkts zu einem belastbaren Nachweis im Rahmen Ihres NIS2-Risikomanagements.

3. Software Bill of Materials wird Standard

Der CRA macht die SBOM — eine maschinenlesbare Aufstellung aller Softwarekomponenten eines Produkts — zur Pflicht. Für Ihr Schwachstellenmanagement ist das ein Gewinn: Wenn ein neues CVE veröffentlicht wird, können Sie anhand der SBOM Ihrer eingesetzten Produkte sofort prüfen, ob betroffene Komponenten in Ihrem Netz laufen. Voraussetzung dafür ist, dass Sie SBOMs Ihrer Lieferanten einfordern und systematisch auswerten — idealerweise automatisiert über Ihr SIEM.

4. Meldepflichten ergänzen sich

NIS2 verpflichtet Betreiber zur Meldung von Sicherheitsvorfällen. Der CRA verpflichtet Hersteller zur Meldung aktiv ausgenutzter Schwachstellen. Für Sie als Betreiber heißt das: Sie erfahren schneller von Schwachstellen in den Produkten, die Sie einsetzen. Gleichzeitig steigt die Anforderung, diese Informationen auch operativ zu verarbeiten — also zeitnah zu bewerten, zu priorisieren und zu patchen.

5. Übergangszeit nutzen

Bis Dezember 2027 gilt die volle Übergangsfrist. Diese Zeit sollten Unternehmen nutzen, um ihre Beschaffungsprozesse, Lieferantenanforderungen und das interne Schwachstellenmanagement auf den CRA vorzubereiten. Warten Sie nicht, bis Ihre Lieferanten von sich aus CRA-konforme Produkte liefern — setzen Sie die Anforderungen jetzt schon in Ihre Einkaufsbedingungen.

Handlungsempfehlungen

Für alle Unternehmen, die IT-Produkte einsetzen:

Inventar erstellen: Welche Produkte mit digitalen Elementen setzen Sie ein? Welche davon kommen von Herstellern außerhalb der EU?
Lieferantenanforderungen anpassen: Nehmen Sie CRA-Konformität, SBOM-Bereitstellung und definierte Supportzeiträume in Ihre Beschaffungsanforderungen auf
SBOM-Management aufbauen: Etablieren Sie Prozesse, um SBOMs Ihrer Lieferanten entgegenzunehmen, zu speichern und bei neuen CVEs automatisiert abzugleichen
Schwachstellenmanagement schärfen: Stellen Sie sicher, dass Ihr SOC oder SIEM die Herstellermeldungen zu Schwachstellen aufnehmen und priorisieren kann
NIS2-Dokumentation ergänzen: Die CRA-Konformität Ihrer eingesetzten Produkte wird ein wichtiger Baustein in Ihrer NIS2-Risikomanagement-Dokumentation

Für Unternehmen, die selbst Produkte herstellen oder vertreiben:

CRA-Betroffenheit prüfen: Fallen Ihre Produkte unter den CRA? In welche Risikoklasse?
Security-by-Design verankern: Überprüfen Sie Ihre Entwicklungsprozesse — Cybersicherheit muss ab der Konzeptionsphase integriert sein
Schwachstellenmanagement-Prozess etablieren: 24-Stunden-Meldepflicht an die ENISA bei aktiv ausgenutzten Schwachstellen — das erfordert funktionierende interne Prozesse
SBOM generieren: Automatisieren Sie die Erstellung von Software Bills of Materials als Teil Ihrer CI/CD-Pipeline
Konformitätsbewertung vorbereiten: Klären Sie frühzeitig, ob eine Selbstbewertung ausreicht oder eine Prüfstelle hinzugezogen werden muss

Was noch unklar ist

Der CRA ist als EU-Verordnung unmittelbar anwendbar, benötigt aber nationale Durchführungsgesetze — und genau dort gibt es Nachholbedarf. Der aktuelle deutsche Referentenentwurf weist laut TeleTrusT erhebliche Lücken auf: Die Ausnahme von der Akkreditierungspflicht für Konformitätsbewertungsstellen ist zu weit gefasst, das geplante Reallabor für Cyberresilienz bleibt inhaltlich vage, und die finanzielle Ausstattung der Unterstützungsmaßnahmen für KMU ist unzureichend.

Für Unternehmen bedeutet das: Planen Sie nicht mit dem Minimalstandard des Durchführungsgesetzes, sondern orientieren Sie sich direkt an den Anforderungen der EU-Verordnung selbst. Das nationale Gesetz wird nur den Vollzugsrahmen regeln — die materiellen Pflichten stehen bereits fest.

Einordnung

Der CRA ist neben NIS2 und der CER-Richtlinie der dritte große Baustein im EU-Cybersicherheitsrahmen. Während NIS2 die Betreiber adressiert und die CER-Richtlinie die physische Resilienz, schließt der CRA die Lücke auf Produktseite. Für Unternehmen, die bereits unter NIS2 fallen, ist der CRA keine zusätzliche Belastung, sondern eine sinnvolle Ergänzung: Er sorgt dafür, dass die Produkte, die Sie einsetzen, endlich den Sicherheitsstandards entsprechen müssen, die Sie selbst einhalten sollen.

Ob der CRA in der Praxis funktioniert, wird maßgeblich davon abhängen, ob die Marktüberwachung durch das BSI tatsächlich wirksam wird — und ob Unternehmen die Übergangszeit nutzen, statt sie aussitzen.

Sie möchten wissen, wie der CRA konkret auf Ihr Unternehmen wirkt und wie Sie Ihre NIS2-Compliance um die CRA-Dimension erweitern? NEOSEC unterstützt Sie bei der Gap-Analyse, der Bewertung Ihrer Lieferkette und der Integration in Ihr bestehendes Risikomanagement. Sprechen Sie uns an.

J. Benjamin Espagné

Der CRA schließt die Lücke, die NIS2 offen gelassen hat

Endlich werden auch die Produkte reguliert — nicht nur die Betreiber.

Mit NIS2 hat die EU Betreiber in die Pflicht genommen: Risikomanagement, Meldepflichten, Lieferkettensicherheit. Was bisher fehlte, war das Gegenstück auf Produktseite. Genau das liefert der Cyber Resilience Act. Für die Praxis bedeutet das: Die Produkte, die Sie einsetzen, müssen künftig nachweislich sicher sein — und Hersteller müssen Schwachstellen aktiv managen und melden.

Für unsere Kunden ist der CRA in erster Linie eine gute Nachricht. Die verpflichtende Software Bill of Materials (SBOM) wird Ihr Schwachstellenmanagement massiv verbessern: Wenn das nächste kritische CVE veröffentlicht wird, wissen Sie sofort, ob betroffene Komponenten in Ihrem Netz laufen. Voraussetzung dafür ist allerdings, dass Sie SBOMs systematisch einfordern und in Ihr SIEM integrieren — und genau dabei unterstützen wir Sie.

Die TeleTrusT-Stellungnahme zum deutschen Durchführungsgesetz zeigt allerdings auch: Die nationale Umsetzung hinkt. Das BSI soll Marktüberwachung, CSIRT und Beschwerdestelle in Personalunion übernehmen — ohne gesicherte Finanzierung. Und die KMU-Unterstützung ist mit 1,28 Mio. Euro pro Jahr nicht mehr als ein Feigenblatt. Warten Sie nicht auf staatliche Hilfe — bereiten Sie sich jetzt vor.

Bei NEOSEC unterstützen wir Sie bei der Gap-Analyse zwischen Ihren bestehenden NIS2-Maßnahmen und den CRA-Anforderungen, bei der Integration von SBOMs in Ihr Schwachstellenmanagement und bei der Anpassung Ihrer Beschaffungsprozesse. Sprechen Sie uns an.

EU Cyber Resilience Act — Verordnung (EU) 2024/2847
TeleTrusT — Stellungnahme zum BMI-Referentenentwurf des Durchführungsgesetzes zur Cyberresilienz-Verordnung (1. April 2026)
BSI — Informationen zum Cyber Resilience Act
NIS2-Richtlinie (EU) 2022/2555

Sicherheitslücken schließen. Risiken senken. Jetzt handeln!

Unsere Experten zeigen Ihnen live, wie wir Angriffe erkennen, stoppen und Ihr Unternehmen schützen.

Blog

Aktuelle Sicherheitsereignisse

Hacks Sicherheitslücken Tips

Axios Supply-Chain-Angriff: Was Admins jetzt prüfen müssen

J. Benjamin Espagné 1. April 20261. April 2026

Nordkoreanische Angreifer haben das npm-Paket Axios trojanisiert — mit 100 Millionen wöchentlichen Downloads der bisher folgenreichste Supply-Chain-Angriff im npm-Ökosystem. Konkrete Handlungsanweisungen für Administratoren und Entwicklungsteams.

lesen Axios Supply-Chain-Angriff: Was Admins jetzt prüfen müssen
Hacks Tips

MFA wird nicht gebrochen — sie wird umgangen. Und Ihre Mitarbeiter merken es nicht.

J. Benjamin Espagné 1. April 20261. April 2026

Adversary-in-the-Middle-Phishing macht klassische MFA wirkungslos: Angreifer fangen die komplette Authentifizierung in Echtzeit ab — inklusive Session-Token. Push-Benachrichtigungen, SMS-Codes und Authenticator-Apps schützen nicht mehr. Was wirklich hilft: von FIDO2 über Geo-Blocking bis Proxy-Detection.

lesen MFA wird nicht gebrochen — sie wird umgangen. Und Ihre Mitarbeiter merken es nicht.
Hacks Sicherheitslücken

CVE-2026-33017: Kritische Langflow-Schwachstelle wird innerhalb von Stunden ausgenutzt

J. Benjamin Espagné 30. März 202630. März 2026

CISA schlägt Alarm: Eine kritische Code-Injection-Schwachstelle in der KI-Workflow-Plattform Langflow (CVE-2026-33017, CVSS 9.3) wurde innerhalb von 20 Stunden nach Veröffentlichung aktiv ausgenutzt — ganz ohne öffentlichen Exploit-Code. Was das für Unternehmen mit KI-Tooling bedeutet.

lesen CVE-2026-33017: Kritische Langflow-Schwachstelle wird innerhalb von Stunden ausgenutzt
Sicherheitslücken Tips

APIs sind die neue Angriffsfläche — und die meisten Unternehmen sind blind

J. Benjamin Espagné 30. März 202630. März 2026

CISOs großer Unternehmen warnen: APIs haben Endpoints als primäre Angriffsfläche abgelöst. Jede dritte Organisation wurde im letzten Jahr über eine API kompromittiert — und 95 % der Angriffe kamen über authentifizierte Verbindungen. Warum EDR und WAF hier versagen und was stattdessen hilft.

lesen APIs sind die neue Angriffsfläche — und die meisten Unternehmen sind blind
Supply-Chain-Angriffe: Wenn die Lieferkette zum Einfallstor wird

J. Benjamin Espagné 27. März 202627. März 2026

Supply-Chain-Angriffe haben sich seit 2022 um das 3,8-Fache erhöht. Das Handelsblatt berichtet über die wachsende Bedrohung — und NIS2 macht Lieferkettensicherheit zur Pflicht. Was Unternehmen jetzt tun müssen.

lesen Supply-Chain-Angriffe: Wenn die Lieferkette zum Einfallstor wird
Hacks Sicherheitslücken

Wenn die Firewall selbst zur Sicherheitslücke wird — Was CVE-2026-20131 für Ihr Unternehmen bedeutet

J. Benjamin Espagné 25. März 2026

Eine kritische Zero-Day-Lücke in Cisco Secure Firewall Management Center wird aktiv für Ransomware-Angriffe genutzt — ohne dass ein Angreifer auch nur ein Passwort braucht. Was das bedeutet und warum schnelles Handeln jetzt entscheidend ist.

lesen Wenn die Firewall selbst zur Sicherheitslücke wird — Was CVE-2026-20131 für Ihr Unternehmen bedeutet