Ab September 2026 tritt der Cyber Resilience Act (CRA) in Kraft. Er definiert einheitliche Sicherheitsanforderungen für Hardware- und Softwareprodukte, die innerhalb der EU in Verkehr gebracht werden. Ziel ist es, die Cyberresilienz von Produkten zu erhöhen, Risiken für Endkunden zu minimieren und den Schutz kritischer Infrastrukturen zu stärken. Für Unternehmen, die Software oder Hardware nutzen oder bereitstellen, bedeutet dies erhebliche Veränderungen – sowohl in Bezug auf die Compliance als auch auf die eigene IT-Sicherheitsstrategie.

1. Wer ist vom CRA betroffen?

Der CRA richtet sich primär an:

Zentrale Anforderungen:

Unternehmen, die Produkte nach EU-Recht vertreiben oder einsetzen, müssen also sicherstellen, dass die Software und Hardware, die sie verwenden, CRA-konform ist.

2. Kernanforderungen des Cyber Resilience Act

Der CRA definiert klare Sicherheitsanforderungen für Produkte:

Unternehmen, die ihre Systeme mit Lösungen absichern, die Zugangskontrolle, Audit-Trails und sichere Softwarebereitstellung unterstützen, können bereits heute viele CRA-Anforderungen abdecken.

3. Software Supply Chain sichern

Ein zentrales Thema des CRA ist die Sicherheit der Software-Lieferkette. Viele Sicherheitsvorfälle entstehen, weil Komponenten von Drittanbietern kompromittiert werden. Die neuen Anforderungen:

Unternehmen, die Lösungen einsetzen, die die Integrität von SBOMs gewährleisten und Zugriffsrechte strikt kontrollieren, erfüllen damit einen Kernpunkt des CRA.

4. Lieferkettensicherheit in der Praxis

Der CRA verpflichtet Unternehmen dazu, Lieferkettenrisiken systematisch zu managen. Dazu gehören:

Unternehmen, die Plattformen nutzen, die die gesamte Lieferkette überwachen und dokumentieren, können schnell nachweisen, dass sie CRA-konform handeln.

5. Meldung von Sicherheitsvorfällen

Mit dem CRA besteht eine Meldefrist für Sicherheitsvorfälle, die für Hersteller verpflichtend ist. Das Ziel ist, dass Sicherheitslücken frühzeitig erkannt und behoben werden, bevor sie Endkunden gefährden.

Unternehmen profitieren von Tools, die automatisierte Erkennung und Reporting von Vorfällen ermöglichen, um die gesetzlichen Fristen einzuhalten.

6. Vorteile für Unternehmen

Unternehmen, die CRA-konforme Produkte einsetzen, sichern sich mehrere Vorteile:

7. Handlungsempfehlungen für 2026

Durch den Einsatz von Lösungen, die diese Punkte abdecken, sind Unternehmen auf den CRA gut vorbereitet.

8. Wie KOBIL-Lösungen Unternehmen beim CRA unterstützen
Unternehmen stehen mit dem Cyber Resilience Act vor der Herausforderung, Software- und Hardwareprodukte transparent, sicher und CRA-konform bereitzustellen. KOBIL-Lösungen unterstützen Organisationen dabei, indem sie die Integrität von Software-Stücklisten (SBOMs) sicherstellen, Zugriffsrechte auf kritische Quellcodes kontrollieren und Änderungen nachvollziehbar dokumentieren. Sie ermöglichen eine zentrale Überwachung von Sicherheitsvorfällen und vereinfachen das fristgerechte Reporting an Behörden. Durch diese Maßnahmen können Unternehmen ihre Software-Lieferketten schützen, Compliance-Anforderungen erfüllen und Risiken von Cyberangriffen deutlich reduzieren, ohne dass die operative Umsetzung zusätzliche Komplexität erzeugt.

Fazit

Der Cyber Resilience Act verschärft die Anforderungen an Software- und Hardwareanbieter deutlich. Für Unternehmen bedeutet dies: mehr Transparenz, mehr Verantwortung und die Notwendigkeit, Lieferketten und Software kontinuierlich zu überwachen. Die Praxis zeigt: Wer bereits heute Systeme implementiert, die SBOMs sichern, Zugriffsrechte kontrollieren und Sicherheitsvorfälle zentral melden, ist bestens gerüstet.