Kurzbeitrag : Der Cyber Resilience Act: Warum Produktsicherheit zur Führungsaufgabe wird : aus der RDV 2/2026, Seite 81 bis 83
Mit dem Cyber Resilience Act (CRA) etabliert die Europäische Union erstmals verbindliche Cybersicherheitsanforderungen für Pro dukte mit digitalen Elementen. Anders als die Datenschutz-Grundverordnung oder die NIS-2-Richtlinie adressiert der CRA nicht primär Organisationen oder Betriebsprozesse, sondern das digitale Produkt selbst über dessen gesamten Lebenszyklus hinweg. Damit verschiebt sich die Verantwortung für Cybersicherheit grundlegend: von der IT-Abteilung hin zu Produktmanagement, Governance-Strukturen und Unternehmensleitung. Der Beitrag ordnet den CRA systematisch in das europäische Produktsicherheitsrecht ein, analysiert Pflichten und Verantwortlichkeiten entlang der Lieferkette und zeigt, warum Produktsicherheit künftig als originäre Führungs- und Organisationsaufgabe verstanden werden muss.
I. Cybersicherheit als Produkteigenschaft
Cybersicherheit wurde lange als Frage des sicheren Betriebs verstanden. Firewalls, Zugriffskontrollen, Patchmanagement und Notfallpläne galten als hinreichende Antwort auf digitale Risiken. Diese Sichtweise greift jedoch dort zu kurz, wo Sicherheitsdefizite nicht erst im Betrieb entstehen, sondern bereits im Produkt selbst angelegt sind. Genau an diesem Punkt setzt der Cyber Resilience Act an. Er verabschiedet sich von der Vorstellung, dass Sicherheitsrisiken allein durch organisatorische Maßnahmen kompensiert werden könnten, und macht Sicherheit zu einer inhärenten Eigenschaft digitaler Produkte. Soft‑ ware, Firmware und vernetzte Systeme sollen nicht nur funktional, sondern nachweisbar sicher entworfen, ausgeliefert, gepflegt und kontrolliert außer Betrieb genommen werden. Damit verändert sich nicht nur die technische Perspektive, sondern auch die Governance des Unternehmens: Sicherheit wird zur Gestaltungsaufgabe und zur Führungsverantwortung.
II. Regelungsansatz und Anwendungsbereich des CRA
Der Cyber Resilience Act ist als unmittelbar geltende EU-Verordnung konzipiert. Ziel ist es, ein einheitliches Mindestniveau an Cybersicherheit für Produkte mit digitalen Elementen im europäischen Binnenmarkt zu schaffen und systemische Risiken durch unsichere Software zu reduzieren. Der Anwendungsbereich ist bewusst weit gefasst.
Er erfasst nahezu alle Produkte, die direkt oder indirekt mit Netzwerken oder anderen Geräten verbunden sind, von klassischer Software über IoT-Komponenten bis hin zu digitalen Steuerungen in Maschinen.
Der CRA verfolgt dabei einen präventiven Ansatz: Unsichere Produkte sollen gar nicht erst in Verkehr gebracht werden. Marktüberwachung, Konformitätsbewertung und Sanktionen flankieren diesen Anspruch. Entscheidend ist jedoch weniger das Sanktionsregime als der strukturelle Eingriff in bestehende Verantwortungsmodelle.
III. Das digitale Produkt als eigenständiger Risikoträger
Mit dem CRA entsteht faktisch eine neue regulatorische Kategorie: das digitale Produkt als eigenständiger Risikoträger.
Während die DS‑GVO personenbezogene Daten schützt und die NIS-2-Richtlinie auf die Cybersicherheit und Resilienz von Organisationen abzielt, richtet sich der CRA auf technische Artefakte selbst. Diese Perspektive ist für viele Unternehmen ungewohnt. Gerade im Mittelstand wird Software häufig lediglich als funktionaler Bestandteil eines physischen Produkts verstanden, nicht aber als eigenständiges sicher‑ heitsrelevantes Element. Maschinensteuerungen, Embedded Software oder kundenspezifische Anwendungen galten bislang als intern beherrschbar. Der CRA hebt diese Annahme auf. Sobald ein Produkt digitale Funktionen aufweist und in Verkehr gebracht wird, unterliegt es eigenständigen Sicherheitsanforderungen, unabhängig davon, ob sich das Unternehmen selbst als Softwarehersteller begreift.
IV. Lebenszyklusverantwortung und Sicherheitsorganisation
Zentraler Gedanke des CRA ist die lebenszyklusbezogene Verantwortung. Sicherheit endet nicht mit der Auslieferung, sondern beginnt bereits in der Konzeption und reicht bis zum kontrollierten Produktende. Bereits in der Entwicklungsphase verlangt der CRA „Security by Design“ und „Security by Default“. Sicherheitsfunktionen dürfen nicht optional oder nachgelagert sein, sondern müssen integraler Bestandteil der Produktarchitektur werden. Im Betrieb rückt das Schwach‑ stellenmanagement in den Mittelpunkt. Hersteller müssen Verfahren etablieren, um Sicherheitslücken systematisch zu identifizieren, zu bewerten, zu priorisieren und zu beheben. Sicherheitsupdates werden zur Pflicht, nicht zur freiwilligen Serviceleistung. Besonders anspruchsvoll ist die Phase des End-of-Life. Auch das Produktende ist sicherheitsrelevant. Unternehmen müssen definieren, wie lange Sicherheitsunterstützung erfolgt, wie dieser Supportzeitraum ausgestaltet ist und wie Kunden über dessen Ende informiert werden. Sicherheitsverantwortung endet nicht stillschweigend mit dem Verkaufsstopp.
V. Verantwortung entlang der Lieferkette
Der Cyber Resilience Act differenziert ausdrücklich zwischen Herstellern, Importeuren und Händlern und folgt dabei konsequent den Grundsätzen des europäischen Produkt- und Marktüberwachungsrechts. Verantwortlich ist nicht allein, wer ein Produkt technisch entwickelt, sondern insbesondere, wer es unter eigenem Namen oder eigener Marke in Verkehr bringt oder erstmals in den Unionsmarkt einführt. Die primäre Verantwortung für die Einhaltung der CRA-Anforde‑ rungen trägt der Hersteller. Der Importeur nimmt jedoch eine eigenständige, rechtlich relevante Rolle ein: Er darf Produkte mit digitalen Elementen nur dann auf dem Unionsmarkt bereitstellen, wenn er sich vorab vergewissert hat, dass eine ordnungsgemäße Konformitätsbewertung durchgeführt wurde, technische Dokumentation vorliegt und Verfahren zum Schwachstellenmanagement bestehen. Kommt der Importeur diesen Pflichten nicht nach, wird er selbst Adressat marktaufsichtsrechtlicher Maßnahmen und Sanktionen. Händler unterliegen abgestuften Sorgfalts- und Informationspflichten, ohne jedoch die Verantwortung von Hersteller oder Importeur zu ersetzen. Der CRA verankert Cybersicherheit damit als nicht delegierbare Produktverantwortung.
VI. CE-Kennzeichnung, Marktüberwachung und Durchsetzung
Systematisch fügt sich der CRA in das bestehende europäische Produktsicherheitsrecht ein. Produkte mit digitalen Elementen dürfen nur dann auf dem Unionsmarkt bereitgestellt werden, wenn sie die CRA-Anforderungen erfüllen und entsprechend CE-gekennzeichnet sind. Die CE-Kennzeichnung ist dabei keine bloße Formalie, sondern Ausdruck einer rechtlich relevanten Konformitätserklärung. Die Durchsetzung erfolgt über die nationalen Marktüberwachungsbehörden auf Grundlage der Verordnung (EU) 2019/1020. In Deutschland sind – abhängig von der Produktkategorie – unterschiedliche Stellen zuständig, etwa die Bundesnetzagentur bei Funkanlagen und vernetzten Produkten oder die zuständigen Landesbehörden. Diese Behörden sind befugt, technische Unterlagen anzufordern, Sicherheitsbewertungen zu prüfen und bei Verstößen abgestufte Maßnahmen bis hin zu Rückrufen, Vertriebsverboten und Sanktionen anzuordnen. Die hier dargestellten Anforderungen und Pflichten decken sich mit den vom Bundesamt für Sicherheit in der Informationstechnik veröffentlichten fachlichen Einordnungen und Umsetzungshinweisen zum Cyber Resilience Act.
VII. Produktsicherheit als Governanceund Haftungsthema
Häufig wird der CRA dennoch als weiteres IT-Sicherheitsge‑ setz missverstanden. Tatsächlich adressiert er zwar technische Maßnahmen, ist aber in seinem Kern ein GovernanceInstrument. Die Anforderungen lassen sich nicht allein durch technische Kontrollen erfüllen. Sie erfordern Entscheidungen über Produktstrategie, Risikobereitschaft, Ressourceneinsatz und Haftung. Damit rücken Geschäftsführung, Produktmanagement und Compliance-Funktionen in den Fokus. Cy‑ bersicherheit wird zur Führungsentscheidung, nicht im Sinne operativer Detailsteuerung, sondern im Sinne struktureller Verantwortung.
Für den Mittelstand bedeutet der CRA keine Pflicht zur technischen Perfektion, wohl aber eine strukturelle Zäsur. Er verlangt ein nachvollziehbares, dokumentiertes und steuerbares Sicherheitsniveau. Viele mittelständische Unternehmen verfügen hierfür bislang weder über klare Zuständigkeiten noch über belastbare Prozesse. Der CRA macht diese Defizite sichtbar und sanktionierbar. Produkte, deren Sicherheit organisatorisch nicht beherrscht wird, verlieren ihre re‑ gulatorische Akzeptanz und damit ihre Marktfähigkeit.
Hinzu kommt die haftungsrechtliche Dimension. Produktsicherheit wird unter dem CRA Teil der ordnungsgemäßen Unternehmensorganisation. Geschäftsleitungen müssen si‑ cherstellen, dass geeignete Strukturen zur Erfüllung der CRAPflichten bestehen. Fehlen diese, droht Organisationsver‑ schulden, unabhängig vom Eintritt eines konkreten Schadens. Delegation entlastet nicht. Verantwortung verbleibt beim Leitungsorgan. Der CRA verschiebt damit den Maßstab dessen, was als ordnungsgemäße Unternehmensführung gilt.
VIII. Fazit
Der Cyber Resilience Act markiert einen Wendepunkt der europäischen Digitalregulierung. Cybersicherheit wird zur Produkteigenschaft und damit zur Führungsaufgabe. Unternehmen, die den CRA ausschließlich operativ interpretieren, werden scheitern. Wer ihn hingegen als Impuls für bessere Governance begreift, gewinnt mehr als regulatorische Konformität: Vertrauen, Resilienz und langfristige Marktfähigkeit.
*Christopher Schroer ist geschäftsführender Gesellschafter der firstbyte digi‑ tal consulting gmbh (https://firstbyte.digital) und berät seit über 20 Jahren mittelständische Unternehmen zu digitaler Resilienz, IT-GRC und Digitalisie‑ rung. Er unterrichtet regelmäßig an den Akademien des TÜV NORD und TÜV Rheinland. Sein Fokus liegt auf der Verbindung von regulatorischer Sicherheit, technischer Umsetzbarkeit und unternehmerischer Praxis.