Alle elf Sekunden findet ein Hackerangriff statt. Daraus entstehen Kosten von über fünf Billionen Euro jährlich. Mit dieser Zahl begründet die EU-Kommission den Cyber Resilience Act — und damit eine der weitreichendsten Produktregulierungen, die der europäische Digitalmarkt je gesehen hat. Aktuelle Daten aus April 2026 zeigen eine alarmierende Lücke: Schätzungen zufolge haben 84 Prozent der Unternehmen die Compliance-Anforderungen noch nicht erfüllt. Der Countdown läuft. Und die meisten Hersteller stehen noch am Startblock.
Was der CRA grundlegend verändert
Bisher konnte ein Hersteller ein IoT-Gerät oder eine Softwareanwendung mit gravierenden Sicherheitslücken auf den Markt bringen, ohne dafür regulatorisch zur Verantwortung gezogen zu werden. Der Cyber Resilience Act ist die erste EU-Verordnung, die verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt. Er trat am 10. Dezember 2024 in Kraft und ergänzt das bestehende EU-Cybersicherheitsrahmenwerk um eine Dimension, die bisher fehlte: Produktsicherheit.
Die Verordnung gilt als EU-Recht unmittelbar in allen Mitgliedstaaten — kein nationales Umsetzungsgesetz nötig, kein Interpretationsspielraum. Was sie konkret fordert, geht weit über das hinaus, was bisher als Best Practice galt: Der CRA führt verbindliche Secure-by-Design-Anforderungen und Lifecycle-Sicherheitspflichten für Hard- und Softwareprodukte ein und wandelt Produktcybersicherheit von einer freiwilligen Praxis zu einer Angelegenheit des öffentlichen Rechts.
Wer betroffen ist — und wie weitreichend das wirklich ist
Der Anwendungsbereich überrascht viele Unternehmen. Nahezu alle in der EU in Verkehr gebrachten Produkte mit digitalen Elementen fallen unter den CRA — Hardware und Softwarefunktionen mit Schnittstellen zu anderen Systemen sowie reine Softwareprodukte. Das umfasst Router, Smartphones, Industriesteuerungen, Betriebssysteme, Apps und IoT-Sensoren gleichermaßen.
Die Durchführungsverordnung (EU) 2025/2392 vom November 2025 konkretisiert die Produktkategorien. Wichtige Produkte der Klasse 1 umfassen Passwort-Manager, Netzmanagementsysteme und Betriebssysteme. Klasse 2 betrifft Hypervisoren, Firewalls und manipulationssichere Mikroprozessoren. Kritische Produkte umfassen Hardwaregeräte mit Sicherheitsboxen, Geräte für fortgeschrittene Sicherheitszwecke und Chipkarten.
Hersteller sollten prüfen, ob ihre Produkte durch diese Konkretisierung in eine höhere Klasse fallen — das hat direkte Auswirkungen auf die Konformitätsbewertungspflicht und damit auf Zeit- und Kostenaufwand.
Was Secure by Design konkret bedeutet
Secure by Design ist kein Marketingbegriff, sondern eine technische und rechtliche Anforderung. Was der CRA konkret einfordert:
- Risikoanalyse vor dem ersten Code: Sicherheitsrisiken müssen bereits in der Konzeptionsphase identifiziert und dokumentiert werden — nicht nachträglich gepatcht
- Minimale Angriffsfläche: Produkte müssen so entwickelt werden, dass unnötige Funktionen, Ports und Dienste von vornherein deaktiviert sind
- Keine Standardpasswörter: Schwache voreingestellte Zugangsdaten sind untersagt — jedes Gerät braucht individuelle oder erzwungen geänderte Credentials
- Software Bill of Materials (SBOM): Hersteller sind verpflichtet, ein systematisches Schwachstellenmanagement einzuführen, einschließlich einer SBOM — ein detailliertes Verzeichnis aller im Produkt verwendeten Softwarekomponenten
- Sicherheitsupdates über den gesamten Lebenszyklus: Hersteller müssen Patches bereitstellen — für einen definierten Supportzeitraum, der dem typischen Nutzungszeitraum des Produkts entspricht
- CE-Kennzeichnung als Sicherheitsnachweis: Ab Dezember 2027 darf kein Produkt mit digitalen Elementen ohne CRA-konforme CE-Kennzeichnung in der EU verkauft werden
Die drei Fristen, die jetzt zählen
Der CRA ist kein Gesetz mit einem einzigen Stichtag. Er rollt in Stufen aus — und die erste relevante Frist ist bereits in wenigen Monaten:
| Datum | Anforderung | Betroffene |
| 11. Juni 2026 | Konformitätsbewertungsstellen benannt | EU-Behörden |
| 11. September 2026 | Meldepflicht für Schwachstellen aktiv | Alle Hersteller |
| 11. Dezember 2027 | Vollständige CRA-Compliance | Alle Hersteller |
Ab dem 11. September 2026 müssen aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden als Frühwarnung an ENISA gemeldet werden. Innerhalb von 72 Stunden folgt eine vollständige Meldung, innerhalb von 14 Tagen ein abschließender Bericht. Wer diese Prozesse bis September 2026 nicht aufgebaut hat, verstößt ab diesem Datum täglich gegen geltendes EU-Recht.
Warum die Mehrheit noch nicht bereit ist
Viele Produkte, die bis Dezember 2027 auf den Markt gebracht werden sollen, befinden sich bereits in Entwicklung. Eine späte Einbindung von Produktsicherheit führt erfahrungsgemäß zu höherem Nacharbeits- und Kostenaufwand und erhöht das Risiko, zum Stichtag nicht compliant zu sein.
Das strukturelle Problem: Sicherheit wurde in der Produktentwicklung traditionell als letzter Schritt behandelt — Security-Reviews kurz vor dem Launch, Patches nach Markteinführung. Dieser Ansatz ist mit dem CRA strukturell unvereinbar. Secure by Design bedeutet, dass Sicherheitsarchitektur vor dem ersten Entwicklungssprint steht, nicht danach. Das erfordert neue Rollen, neue Prozesse und eine andere Entwicklungskultur — was in etablierten Produktteams Zeit braucht.
Was das für digitale Plattformen bedeutet
Die Anforderungen des CRA beschränken sich nicht auf physische Hardware. Digitale Plattformen, die Nutzerdaten verarbeiten, Zahlungen abwickeln und rund um die Uhr verfügbar sein müssen, stehen vor denselben Grundfragen: Wo liegen Schwachstellen, wie werden sie erkannt und wie schnell werden sie behoben? Verde Casino Österreich operiert in einem regulierten digitalen Markt, in dem Systemsicherheit, Datenschutz und Schwachstellenmanagement keine optionalen Qualitätsmerkmale sind, sondern Lizenzvoraussetzungen — eine Logik, die der CRA nun für alle Hersteller digitaler Produkte verbindlich macht.
Compliance als Wettbewerbsvorteil
Frühzeitige Compliance reduziert Risiken wie hohe Bußgelder und Reputationsschäden, stärkt gleichzeitig Time-to-Market, Produktzuverlässigkeit und Kundenvertrauen. Durch klare Prozesse für Vulnerability-Management, Reporting und kontinuierliche Überwachung schaffen Unternehmen die Grundlage für robuste, zukunftsfähige digitale Produkte.
Das Sanktionspotenzial ist erheblich: Verstöße gegen grundlegende CRA-Anforderungen können mit Bußgeldern von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes geahndet werden. Wer Secure by Design als lästige Pflicht betrachtet, übersieht, dass es gleichzeitig das einzige Modell ist, das in einem Markt mit 84 Prozent unvorbereiteten Wettbewerbern einen messbaren Qualitätsvorsprung schafft.
