Der Cyber Resilience Act (CRA) ist kein weiteres Papiermonster, das man in einer stillen Stunde „irgendwann“ abarbeitet. Er ist die neue Realität für jedes vernetzte Produkt, jede Software, jeden Smart-Dienst: Ohne systematische Cybersicherheit kein Marktzugang. Punkt. Die gute Nachricht: Wer die richtigen Stellhebel kennt, kann in erstaunlich kurzer Zeit aus lose verteilten Sicherheitsinitiativen ein belastbares System formen – belastbar genug, um Prüfern standzuhalten, Kunden zu beruhigen und Krisen kommunikativ zu überleben.

Dieser Text ist Ihr 10-Minuten-Plan. Kein juristisches Gutachten, sondern eine handfeste, operativ gedachte Anleitung. Zehn Minuten Lektüre, zehn zentrale Schritte – und Sie wissen, wo Sie stehen, was fehlt und wie Sie jetzt zügig (und glaubwürdig) auf CRA-Kurs kommen.

Der Cyber Resilience Act (CRA) ist die EU-Regel, die aus „nice to have Security“ eine Marktzulassungsbedingung macht. Er betrifft praktisch alle Produkte mit digitalen Elementen – vom smarten Thermostat über Industriesteuerungen bis zur Desktop-App. Und er ändert, wie Sie planen, bauen, ausliefern und pflegen. Hier ist der verständliche, praxisnahe Überblick: Was verlangt der CRA? Wen trifft er? Was müssen Sie jetzt umstellen, damit Features morgen nicht zu Haftung werden?

1) Der CRA in einem Satz

Der CRA verpflichtet Hersteller, Importeure und Händler, cybersichere Produkte zu entwickeln, Sicherheitsrisiken über den gesamten Lebenszyklus zu managen, Schwachstellen zügig zu beheben, Updates bereitzustellen und das alles nachweisbar zu dokumentieren – sonst drohen Bußgelder, Vertriebsstopps und Rückrufe.

Ein Audit ist für viele Unternehmen wie eine Mischung aus Zahnarzttermin und Bewerbungsgespräch: Man weiß, dass es wichtig ist, man weiß, dass es nicht ausbleibt – und trotzdem sorgt der Gedanke daran bei manchen für Nervosität. Ob es sich um ein ISO-27001-Audit, eine BSI-Prüfung, eine NIS2-Überprüfung, ein Lieferantenaudit oder ein internes Review handelt: Audits sind keine reinen Kontrollübungen, sondern strukturierte Chancen, die eigene Organisation auf den Prüfstand zu stellen, Schwachstellen zu erkennen und Verbesserungen einzuleiten. Der Schlüssel zum Erfolg liegt in der Vorbereitung – und zwar nicht nur in der Dokumentenpflege, sondern vor allem in der mentalen und organisatorischen Einstellung des gesamten Teams. Wer Audits als wiederkehrenden Prozess begreift, dem gelingt etwas Entscheidendes: Prüfungen werden kalkulierbar, vorhersehbar und produktiv.

Was wird eigentlich geprüft? Auditarten, Erwartungen, Spielregeln

Bevor man in das „Wie“ der Vorbereitung einsteigt, hilft ein klarer Blick auf das „Was“. Ein Zertifizierungsaudit (z. B. ISO 27001) verifiziert, ob das Managementsystem normkonform geplant, umgesetzt, überwacht und verbessert wird. Ein Überwachungsaudit prüft in kürzerem Takt die Wirksamkeit und die Beibehaltung des Niveaus. Rezertifizierungen gehen wieder tiefer. BSI-Prüfungen oder aufsichtsrechtliche Reviews (z. B. MaRisk, MaGO, BAIT/VAIT/DORA-Bezüge) haben teilweise andere Schwerpunkte, bleiben methodisch aber ähnlich: Es wird anhand von Dokumenten, Interviews und Stichproben beurteilt, ob Prozesse wie beschrieben funktionieren und Risiken im Griff sind. Kunden- und Lieferantenaudits fokussieren zusätzlich die Vertragserfüllung, Informationssicherheit in der Lieferkette und Servicequalität.

Stell dir vor, dein Auto kennt dich besser als deine Werkstatt. Dein Staubsauger weiß, wie du wohnst. Deine Armbanduhr kennt deine Fitnesskurve, deinen Stresslevel und manchmal sogar deinen Schlafrhythmus präziser als du selbst. All diese Geräte erzeugen Daten – über dich, durch dich, mit dir. Bisher lagen diese Daten oft in den Silos der Hersteller: schwer zugänglich, teils in intransparenten Formaten, vertraglich eingeschlossen. Mit dem EU Data Act will Europa das ändern. Der Slogan klingt verheißungsvoll: „Deine Daten, deine Wahl.“ Aber was bedeutet das konkret für Verbraucherinnen und Verbraucher? Welche Vorteile verspricht das Gesetz – und wo lauern Fallstricke?

Dieser Artikel führt dich durch die Chancen und Risiken des Data Act aus Kundensicht. Ohne Juristendeutsch, aber mit Substanz. Mit vielen Beispielen aus dem Alltag – vom smarten Auto über die vernetzte Küche bis zur Cloud, die plötzlich nicht mehr festgeschraubt ist. Und mit einem Blick darauf, was du schon heute vorbereiten kannst, um die neuen Rechte wirklich zu nutzen.

Es gibt Regulierungstexte, die man einmal liest, abnickt und dann in den Schrank stellt. Und es gibt Gesetze wie den Cyber Resilience Act (CRA): Er verändert, wie Produkte mit digitalen Funktionen in Europa entwickelt, gebaut, ausgeliefert, gepflegt und aus dem Verkehr gezogen werden. Der CRA ist kein weiteres „nice to have“ in Sachen IT-Security, sondern die neue Grundlinie, an der sich künftig jedes „Produkt mit digitalen Elementen“ messen lassen muss – vom smarten Heizkörperthermostat über Routers, Türschlösser, Kameras, Medizingeräte-Software bis hin zu industriellen Steuerungen, Entwicklungswerkzeugen, Passwortmanagern oder Betriebssystemen.

Der CRA ist seit Ende 2024 im EU-Amtsblatt veröffentlicht und in Kraft; die Pflichten greifen gestaffelt: Die Melde- und Vulnerability-Management-Pflichten gelten 21 Monate nach Inkrafttreten, die übrigen Pflichten nach 36 Monaten – also spätestens Ende 2027 muss das Regelwerk in der Breite erfüllt sein. Wer ab dann Produkte in der EU „in Verkehr bringt“ (Hersteller), importiert (Importeure) oder weiterverkauft (Händler), bewegt sich nur noch innerhalb dieses neuen Spielraums. Das gilt auch für Unternehmen außerhalb der EU, die ihre Soft- oder Hardware hier vermarkten: Sie benötigen einen in der EU ansässigen Bevollmächtigten und unterliegen denselben Regeln.