Zum Inhalt springen Zur Navigation springen
CRA: Wettbewerbsvorteil oder Druck für Compliance?

CRA: Wettbewerbsvorteil oder Druck für Compliance?

Artikel von Dr. Datenschutz·10. April 2026

Der Cyber Resilience Act (CRA) stellt Sicherheitsanforderungen an digitale Produkte der Unternehmen, die über den gesamten Lebenszyklus der eingesetzten Produkte (also quasi von der Wiege bis zur Bahre) eingehalten werden müssen. Das bringt die Unternehmen und Geschäftsführungen bis 2027 unter Zugzwang, um die Vorgaben rechtzeitig umzusetzen, denn NIS2 und CRA verschärfen die Geschäftsführerhaftung.

Ziel und Zweck des CRA

Der CRA soll ein einheitliches Sicherheitsniveau in der EU für Produkte mit digitalen Elementen schaffen. Digitale Produkte sind gem. Art. 3 Nr. 1 CRA Software- und Hardwareprodukte inkl. deren Datenfernverarbeitungslösungen und einschließlich der Software- und Hardwarekomponenten, falls diese getrennt in Verkehr gebracht werden.

Bei den vom CRA umfassten Produkten wird unterschieden zwischen den

  • Basisprodukten aus Art. 3 Abs. 1 CRA (Smartwatches, Drucker etc.),
  • wichtigen Produkten der Klasse I aus Art. 7 Anhang III CRA, wie etwa allg. Netzwerk- und Systemverwaltungssoftware,
  • wichtigen Produkten der Klasse II ebenfalls aus Art. 7 Anhang III CRA z. B. Desktops, mobile Geräte und
  • kritischen Produkte, wie diese in Art. 8 Anhang IV des CRA angeführt werden (z. B. Smartcards).

Der CRA ist damit eine horizontale Querschnittsverordnung für vernetzte Hard- und Software, wobei dieser gegenüber Spezialvorschriften in Bezug auf die Cybersicherheit (z. B. Luftfahrt) zurücktreten kann. Die DSGVO, NIS2 und CRA laufen Hand in Hand, auch wenn diese jeweils eine andere Stoßrichtung haben, so regelt

  • die DSGVO die Verarbeitung personenbezogener Daten
  • die NIS2 regelt die Sicherheit von Diensten und Betriebsprozessen kritischer und wichtiger Einrichtungen
  • der CRA die technische und organisatorische Cybersicherheit von Produkten mit digitalen Elementen unabhängig von den damit verarbeiteten Daten (personenbezogen oder nicht)

Für viele Unternehmen sind daher CRA und NIS2 sowie die DSGVO gleichermaßen von Bedeutung.

Insgesamt lässt sich sagen, dass die Regelungen zur lebenslangen Überprüfung der Produkte den Unternehmen nicht fremd sind, denn in der Maschinenrichtlinie / Maschinenverordnung wird bereits seit langem für die mechanische und funktionale Sicherheit der Lebenszyklus eines Produkts herangezogen. Der CRA knüpft an diese Logik vom Lebenszyklus eines Produktes an und erweitert sie um die konsequente Absicherung der digitalen Komponenten sowie der Datenfernverarbeitungslösungen.

Wer sind die Adressaten des CRA?

Wichtig zu wissen ist, dass nicht nur der klassische Softwarehersteller betroffen ist, sondern auch Nutzer von digitalen Elementen, die diese in die eigenen Produkte einbauen. Adressaten des CRA sind alle Wirtschaftsakteure:

  • Hersteller nach Art. 3 Nr. 13 CRA treffen umfangreiche Pflichten, wie diese in Art. 13, 14, Anhang I, II, V VI und VII CRA festgelegt sind, unter anderem das Einhalten von
    • Sicherheitsanforderungen in Bezug auf die Produkteigenschaften und die Behandlung von Schwachstellen
    • Anforderungen an die technische Dokumentation, Dokumentation der Cybersicherheitsaspekte, Risikomanagement, anwendbares Konformitätsbewertungsverfahren inkl. Ausstellung der EU-Konformitätserklärung, Anbringung CE-Kennzeichen/Seriennummer,
    • Erfüllen der Informationspflichten (Hersteller-, Nutzerinformation, Supportzeitraum)
    • Aufbewahrungspflichten inkl. Nachmarktpflichten
    • Meldepflichten von Vorfällen innerhalb von 24h an die nationalen CSIRTs und die Enisa ggf. auch an Wartungsstelle von Komponenten
  • Bevollmächtigter nach Art. 3 Nr. 15 CRA, ist eine in der EU ansässige Person, die vom Hersteller mit bestimmten Aufgaben gem. Art. 18 CRA beauftragt wurde und gegenüber den Marktüberwachungsbehörden die EU-Konformitätserklärung und technische Dokumentation für mindestens 10 Jahre aufbewahren muss, dieser ggf. weitere Informationen übermitteln und mit ihr zusammenarbeiten muss.
  • Importeure nach Art. 3 Nr. 16 CRA haben eine Prüfpflicht vor dem Inverkehrbringen, ob die Produkte den Sicherheitsanforderungen genügen und die vom Hersteller festgelegten Verfahren zur Erkennung von Schwachstellen den Anforderungen gem. Art. 19 CRA entsprechen.
  • Händler (Distributoren) nach Art. 3 Nr. 17 CRA haben ebenfalls Prüf- und Informationspflichten, Nachmarkt- und Aufbewahrungspflichten, wie diese in Art. 20 CRA festgelegt sind. Er prüft vor der Bereitstellung, u.a. ob das Produkt mit einer CE-Kennzeichnung, Seriennummer, versehen ist.
  • jede andere natürliche oder juristische Person, die Verpflichtungen im Zusammenhang mit der Herstellung von Produkten mit digitalen Elementen oder deren Bereitstellung auf dem Markt unterliegt, z. B. Systemhäuser und Integratoren, die Produkte unter eigenem Namen bündeln oder verändern.
  • Verwalter quelloffener Software nach Art. 3 Nr. 14 CRA mit den Dokumentations- und Meldepflichten aus Art. 24 CRA.

Mit dem CRA wird der Fokus IT- und Informationssicherheit im Unternehmen auch auf das Produkt gelenkt. Intern sollte somit der ISB bereits bei der Produktentwicklung von Beginn an involviert sein. Dies gilt auch für Einkauf, QM und Compliance/Legal, denn um Sicherheitsanforderungen in der Entwicklung einhalten zu können, ist es wichtig, die CRA-Anforderungen und deren Interpretation zu kennen sowie zu wissen, wie der Entwicklungsprozess und die technische Dokumentation im Unternehmen gehandhabt wird und wie diese Qualitäts- und Produkterfordernisse gegenüber den Dienstleistern/Lieferanten durchgesetzt werden, d. h. welche Sicherheitsanforderungen in den Verträgen, bei Produktausschreibungen zu beachten sind.

Was ist ein Produkt mit digitalen Elementen?

Nachdem der CRA nur für Produkte mit digitalen Elementen gilt, ist zu klären, ob denn ein solches vorliegt. Dies ist der Fall, wenn es sich um eine eigenständig vermarktete Software- / Hardware- / IoT-Produkt mit Netzwerkanbindung handelt, eine Datenfernverarbeitungslösung vorliegt, die funktional zum Produkt gehört.

Maßgeblich ist, ob das Produkt am Markt als eigenständiges digitales Produkt mit Datenfernverarbeitungslösungen s. Art. 3 Abs. 1 CRA, d. h. ohne diese Datenfernverarbeitungslösung ist das Produkt nicht funktionsfähig – unabhängig davon, ob diese Datenfernverarbeitungslösung vom Hersteller selbst konzipiert und erstellt wurde.

Keine CRA-Produkte sind:

  • reine Beratungsleistungen: Entwicklungen im Auftrag
  • klassisches Hosting ohne eigenes Produkt
  • Managed-Services (Dienstleister betreibt die Produkte des Kunden)
  • nicht-kommerzielle Angebote/Community Tool

Insbesondere beim Shared-Responsibility Model, also wenn Cloud- / SaaS-Komponenten Teil eines CRA-relevanten Produkts sind, ist ein angemessenes Dienstleistermanagement mit adäquaten vertraglichen Regelungen hinsichtlich erforderlicher Sicherheitsanforderungen im Unternehmen besonders relevant, um die CRA-Anforderungen in den Verträgen durchzusetzen.

Dienstleistermanagement und Zeitdruck bis 2027

Die Übergangsfristen des CRA sind vermeintlich lange. Um in den Unternehmen das vorhandene „Produktportfolio“ zu ermitteln, für das der CRA einschlägig ist, bedarf es einer gewissen Zeit. Um im weiteren Verlauf dann für die Produkte, die dem CRA unterfallen, die vorhandenen Verträge auf Konformität zu prüfen, entsprechende Verträge mit den Dienstleistern/Lieferanten zu verhandeln und abzuschließen, bedarf es erneut Zeit. Es liegt auf der Hand, dass der verfügbare Zeitraum für Planung, Analyse, Kontrolle, Vertragsverhandlung und Umsetzung real deutlich zusammenschrumpft.

Schließlich muss im Rahmen des Dienstleistermanagements im Unternehmen festgezurrt werden, wer – oftmals bei knapper Personaldecke – konkret für das Third-Party-Risk-Management verantwortlich ist. Zudem kann das Lieferantenmanagement nicht stand-alone betrachtet werden, sondern muss mit den bestehenden ISMS-Prozessen und den Produktentwicklungs- sowie QM-Prozessen verknüpft werden. Schließlich sollen die CRA-Anforderungen nicht isoliert, sondern im Rahmen des ISMS integriert umgesetzt werden.

Was ist konkret zu tun?

Um die Anforderungen des Cyber Resilience Act (CRA) erfolgreich umzusetzen, ist ein systematischer und proaktiver Ansatz im Management von Lieferanten und Dienstleistern unerlässlich. Die folgenden Schritte beschreiben einen konkreten Handlungsplan für Unternehmen:

1. Lieferantenprüfung und Klassifizierung

Ein fundamentaler Schritt ist die sorgfältige Prüfung und Freigabe von Lieferanten, bevor eine Geschäftsbeziehung eingegangen wird. Ein besonderes Augenmerk liegt dabei auf Partnern, von denen Produkte mit digitalen Elementen bezogen werden. Dieser Prozess sollte eine formale Produktfreigabe beinhalten. Um dies zu strukturieren, empfiehlt sich die Klassifizierung der Lieferanten anhand von standardisierten Kurz- oder Detailfragebögen, um deren Reifegrad in Bezug auf Cybersicherheit zu bewerten:

  • Anpassung bestehender Fragebögen auf CRA-Anforderungen: Bereitstellung von Updates, Meldeprozesse, SBOM, Vulnerability-Management
  • Transparenz der Komponenten eines Produkts und der damit einhergehenden Subunternehmer
  • Prüfung bestehender Verträge und deren Ergänzung
  • Prüfung und Ergänzung von Ausschreibungsunterlagen
  • Vorgaben für die Produktsicherheit / Cloudsicherheitskonzept
  • Vertragsende und dessen Regelungen zum Datenexport, Datenformat, Fristen, sichere Löschung

2. Integration in das zentrale Risikomanagement

Die identifizierten Risiken, die von Lieferanten und deren Produkten ausgehen, dürfen nicht isoliert betrachtet werden. Sie müssen nahtlos in das zentrale Risikomanagement des Unternehmens eingebunden werden. Nur so kann ein ganzheitliches Bild der unternehmensweiten Risikolage entstehen und angemessen darauf reagiert werden.

3. Anpassung der Anforderungen und Verträge

Bestehende Fragebögen und Prüfkataloge für Lieferanten müssen an die spezifischen CRA-Anforderungen angepasst werden. Dies bedeutet, konkrete Abfragen zur Bereitstellung von Sicherheitsupdates, zu etablierten Meldeprozessen für Schwachstellen (Vulnerability Management) und zur Offenlegung einer Software-Stückliste (Software Bill of Materials, SBOM) zu integrieren. Parallel dazu ist die Prüfung und Ergänzung bestehender Verträge sowie die Anpassung von Ausschreibungsunterlagen notwendig, um die CRA-Pflichten rechtlich verbindlich zu machen.

4. Transparenz und Sicherheitsvorgaben schaffen

Der CRA fordert eine durchgehende Transparenz über die Komponenten eines Produkts und die damit verbundenen Subunternehmer. Unternehmen müssen wissen, welche Software-Bibliotheken oder Hardware-Module in den zugekauften Produkten enthalten sind, um die gesamte Lieferkette abzusichern. Als Grundlage dafür sollten klare interne Vorgaben für die Produktsicherheit, beispielsweise in Form eines übergreifenden Sicherheitskonzepts oder eines spezifischen Cloudsicherheitskonzepts, definiert werden.

5. Regelmäßige Überprüfung und Regelungen zum Vertragsende

Das Lieferantenmanagement ist ein kontinuierlicher Prozess. Ein regelmäßiges Assessment der Dienstleister bis zum Ende der Vertragsbeziehung ist entscheidend. Dies umfasst die Überprüfung von Sicherheitsvorfällen, Auditberichten und Zertifizierungen. Ebenso wichtig sind klare vertragliche Regelungen für das Vertragsende, die den sicheren Datenexport in einem nutzbaren Format, verbindliche Fristen und die nachweislich sichere Löschung von Daten festschreiben.

Je früher Unternehmen die genannten Punkte systematisch angehen, desto größer ist die Chance, die Fristen des CRA einzuhalten – und gleichzeitig Haftungsrisiken für die Geschäftsführung spürbar zu reduzieren.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »DSGVO und Künstliche Intelligenz«
  • »Microsoft 365 sicher gestalten«
  • »Bewerber- und Beschäftigtendatenschutz«
  • »Auftragsverarbeitung in der Praxis«
  • »IT-Notfall Ransomware«
  • »DSGVO-konformes Löschen«
  • »ISMS: Informationssicherheit mit System«
Webinare entdecken
Mit dem Code „Webinar2026B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2026.
    Beitrag kommentieren
    Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
    Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.