Der Bundesrat hat heute, 12. Juni 2026, zu den Entwurf eines Gesetzes zur Durchführung der Verordnung (EU) 2024/2847 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (Cyberresilienz-Verordnung) keine Einwendungen erhoben. Das Gesetz durchlief im ersten Durchgang den Bundesrat und befand sich auf der sogenannten „grünen Liste“ – der zusammengefassten Beratungsgegenstände.
Das Gesetz dient der Durchführung des Cyber Resilience Act – Verordnung (EU) 2024/2847. Als Verordnung gelten die Regelungen grundsätzlich unmittelbar und werden ab dem 11. Juni 2026 zeitlich gestaffelt wirksam, bis die Regelungen ab dem 11. Dezember 2027 vollends wirken. Zur Durchführung der Verordnung muss jeder Mitgliedstaat mindestens eine Marktüberwachungsbehörde und eine notifizierende Behörde einrichten - in Deutschland wird dies das Bundesamt für Sicherheit in der Informationstechnik (BSI) sein. Im Übrigen sollen die Mitgliedstaaten Unterstützungsmaßnahmen für die betroffenen Wirtschaftsakteure ergreifen, insbesondere für kleine und mittlere Unternehmen. Zudem bedürfen die Vorschriften über Sanktionen, die bei Verstößen gegen die Verordnung (EU) 2024/2847 zu verhängen sind, ergänzende Verfahrensregelungen.
Mit dem Cyber Resilience Act wird die Cybersicherheit als grundlegende Eigenschaft eines Produktes definiert und damit zur zwingenden Voraussetzung für den Marktzugang innerhalb der EU. Alle Produkte, die „digitale Elemente“ enthalten und in der EU verkauft werden, müssen künftig den Vorgaben des CRA entsprechen. Unter „Produkten mit digitalen Elementen“ versteht man sämtliche Software- und Hardware-Produkte sowie deren Lösungen zur Datenverarbeitung. Darunter fallen insbesondere alle Software und Hardware mit Netzwerkfähigkeit, wie etwa smarte Geräte (Smart-TV, Smartphones, Smart-Home-Geräte), Router oder Betriebssysteme. Auch Cloud-basierte Lösungen sowie freie und Open-Source-Software zählen hierzu.
Die bekannten CE-Kennzeichnungen werden um den Aspekt der Cybersicherheit erweitert. Produkte müssen eine umfassende Liste an Cybersicherheitsanforderungen erfüllen. Dazu gehört unter anderem, dass sie ohne bekannte, ausnutzbare Sicherheitslücken auf den Markt kommen, eine möglichst geringe Angriffsfläche bieten, die Auswirkungen von Sicherheitsvorfällen reduzieren und den Nutzern ermöglichen, sämtliche Daten und Einstellungen sicher sowie unwiderruflich zu löschen.
Hersteller, Importeure und Händler sind verpflichtet, die Umsetzung der neuen Vorgaben sicherzustellen. Produkte, die nicht den neuen Standards entsprechen, dürfen nicht auf den europäischen Markt gebracht werden. Bei Verstößen drohen Unternehmen erhebliche Bußgelder.
Allerdings unterliegen nicht alle Produkte mit digitalen Elementen dem Cyber Resilience Act. Für bestimmte Produktkategorien – wie Medizinprodukte, Fahrzeuge, Produkte der zivilen Luftfahrt sowie Produkte, die ausschließlich für Zwecke der nationalen Sicherheit oder Verteidigung entwickelt werden – gelten andere, oft strengere Regularien. Daher sind diese Produkte vom CRA ausgenommen.
