Der Cyber Resilience Act fordert von Unternehmen etwa die Cybersicherheit von digitalen Produkten und Meldepflichten von Sicherheitsvorfällen. Wer keine CRA-konforme digitale Produkte herstellt, vertreibt oder importiert, riskiert hohe Geldstrafen und verliert die Zulassung für den europäischen Markt.
TÜV Süd: Wer keine CRA-konforme digitale Produkte vertreibt, riskiert Geldstrafen und die Zulassung für den europäischen Markt.
Mit seiner Verkündung im Amtsblatt der EU am 20. November 2024 hat der Cyber Resilience Act (CRA) die Anforderungen an digitale Produkte in der EU verschärft. Hersteller, Importeure und Vertreiber müssen ihre Cybersicherheitsrichtlinien und -praktiken dahingehend anpassen.
Der CRA stellt neue verbindliche und umfangreiche Anforderungen an die Cybersecurity von vernetzten Hardware- und Software-Produkten in der Europäischen Union. „Ziel ist, sogenannte 'Produkte mit digitalen Elementen sicherer zu machen. Darüber hinaus sollen Hersteller zum Schutz von Unternehmen und Verbrauchern während des gesamten Produktlebenszyklus für die Cybersicherheit der Produkte verantwortlich sein“, sagt Maxime Hernandez, IoT Cybersecurity Program Manager bei TÜV SÜD.
Hohe Geldstrafen und keine Zulassung zum EU-Markt
Die neue Verordnung gilt für Produkte wie Smart TVs, Firmware, Sensoren zur Überwachung von Maschinen oder sogar für Produkte, die in Industrieanlagen eingesetzt werden. Ausgenommen sind unter anderem Medizinprodukte und Sicherheitssysteme für Kraftfahrzeuge und die zivile Luftfahrt, für die eigene branchenspezifische Anforderungen gelten. Wer nicht CRA-konforme digitale Produkte herstellt, vertreibt oder importiert, riskiert hohe Geldstrafen und verliert die Zulassung für den europäischen Markt. „Um sich gegen immer komplexere Cyberbedrohungen zu wappnen, muss nicht nur der Betrieb des digitalen Produkts, sondern sein gesamter Lebenszyklus, vom Entwurf über die Entwicklung und Herstellung etc. berücksichtigt werden“, so Maxime Hernandez weiter.
Kritische Produkte müssen durch eine benannte Stelle bewertet werden
Wie die CRA-Konformität nachgewiesen werden muss, hängt ab von der Risikoklasse des Produkts. Für digitale Produkte, die nicht als kritisch oder hochkritisch eingestuft sind, genügt zum Beispiel die Selbsterklärung durch die Hersteller gemäß Modul A einschließlich der Technischen Dokumentation als Nachweis für die Konformität mit den grundlegenden Anforderungen. Kritische Produkte müssen Hersteller und Händler jedoch durch eine benannte Stelle wie TÜV SÜD bewerten lassen und sich dabei auf harmonisierte Normen stützen, sobald diese zur Verfügung stehen.
Darunter fallen in der so genannten Klasse I etwa Netzwerk-Managementsysteme, Passwort-Manager oder Smart-Home-Produkte mit Sicherheitsfunktionalitäten. Klasse II umfasst digitale Produkte mit einem höheren Cyberrisiko wie Firewalls, manipulationssichere Mikroprozessoren und Microcontroller. Maxime Hernandez: „Dafür bieten wir Audits, Tests und Risikobewertungen basierend auf unserer langjährigen Erfahrung mit den für diese Produktkategorie maßgeblichen Normen an.“
Secure by Design
Vernetzte Produkte müssen nach CRA z. B. über Möglichkeiten zur Datenverschlüsselung und Zugangsverwaltung verfügen und eine sichere Standardkonfiguration bieten. Es reicht nicht mehr aus, dass Hersteller beim Inverkehrbringen nachweisen, dass sie cybersicher sind. Vielmehr muss über den gesamten Lebenszyklus der Produkte eine Risikobewertung erfolgen. „Wenn zum Beispiel Hersteller Komponenten zukaufen, müssen sie eine Due Diligence vornehmen, um Sicherheitslücken beim Endprodukt auszuschließen, die sich durch den Zukauf ergeben könnten“, sagt Maxime Hernandez.
Der Umgang mit Sicherheitslücken ist eine zentrale Pflicht der Hersteller. „Nur wer Sicherheitslücken früh entdeckt und bewertet, kann angemessen darauf reagieren.“ Hersteller müssen während der gesamten Lebensdauer ihrer Produkte für Sicherheits-Updates sorgen. Tritt in dieser Zeit eine Sicherheitslücke auf, müssen die Hersteller Security Advisories herausgeben und kostenlose Updates bereitstellen.
Meldepflicht von Sicherheitsvorfällen
Hersteller haben zudem eine Meldepflicht von Sicherheitsvorfällen – gegenüber der ENISA (Agentur der Europäischen Union für Cybersicherheit), dem Produktnutzer und gegebenenfalls dem Beauftragten für Wartung und Instandhaltung. Insbesondere bei digitalen Produkten mit Schwachstellen müssen Produktnutzer schnell reagieren und Sicherheits-Patches installieren, sobald diese Updates verfügbar sind, oder das Produkt in der Zwischenzeit, während sie auf den Sicherheits-Patch warten, isolieren. TÜV SÜD unterstützt Hersteller dabei, Prozesse zur Meldung solcher Vorfälle zu implementieren und die CRA-Vorgaben zur technischen Dokumentation einzuhalten.
Transparent kommunizieren und dokumentieren
Der CRA schreibt zudem eine umfassende Produktdokumentation vor, die alle wichtigen Eigenschaften und Sicherheitsfunktionen aufführt. Sie muss enthalten, welche Cyberrisiken unter welchen Umständen eintreten können sowie einen Kontakt, an den man sich im Fall einer Cybersicherheitslücke wenden kann. Sie muss auch deutlich machen, wo das CE-Kennzeichen und die Software-Stücklisten zu finden sind. Letztere listen detailliert alle Bestandteile einer Software auf und erleichtern das Sicherheitsmanagement.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel Communications Group GmbH & Co. KG, Max-Planckstr. 7-9, 97082 Würzburg einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
Nach einer Übergangsfrist von 36 Monaten treten alle Anforderungen der CRA in Kraft. „Hersteller, Händler und Importeure sollten das Thema CRA trotzdem frühzeitig angehen, um die Sicherheit für die Nutzer zu gewährleisten und später keine Wettbewerbsnachteile zu haben. Die Hersteller müssen beginnen, ihre Produkte zu verbessern und dies geht nicht von heute auf morgen“, sagt Maxime Hernandez. Vor diesem Hintergrund hat TÜV SÜD bereits damit begonnen, ein umfassendes Schulungs- und Testprogramm zur Cyber Resilience anzubieten. (mk)
:quality(80)/p7i.vogel.de/wcms/ce/09/ce09cbfd70dd50b7f8e9e923c4fd8f3d/0129481054v2.jpeg "Im neuen Projekt „CircEL“ erforschen Ingenieure und Juristen gemeinsam Wege zu einer wirklichen Kreislaufwirtschaft. Die Carl-Zeiss-Stiftung fördert das Forschungsprojekt mit drei Millionen Euro für die kommenden sechs Jahre. (Bild: Silvia Wolf / Universität Freiburg)")
:quality(80)/p7i.vogel.de/wcms/59/bf/59bfd2822d711b0ae2cb9383b679f38d/0129302533v2.jpeg "Im Lehrstuhl für KI-Chip Design in der Technischen Universität München (TUM) ist der EU-weit erste KI-Chip mit moderner 7-Nanometer-Technologie entstanden. Im Bild: Lehrstuhlinhaber Prof. Hussam Amrouch. (Bild: Andreas Heddergott / TU Muenchen)")
:quality(80)/p7i.vogel.de/wcms/c1/94/c19403fe0194686b2f4911be7e1e9539/0129294209v2.jpeg "Supraleitung kann verborgene magnetische Ordnungen offenlegen, indem sie gezwungen wird, ihre eigenen Symmetrien zu brechen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ca/81/ca81333a02b8c934dcad5c1745435a3d/0125018126v2.jpeg "Gehäuseschirmung und EMV: Ein umfassender Leitfaden zum Thema gibt der fünfteilige Beitrag. Teil 1 thematisiert Emissionsquellen auf der Leiterplatte. (Bild: Papisut - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/06/ce/06cece1c695ea91c5108cf7f583feea5/0129540778v2.jpeg "Vernetzte Industrie: Panasonic präsentiert neue Funkmodule und Sensortechnologien auf der diesjährigen Embedded World. (Bild: Panasonic)")
:quality(80)/p7i.vogel.de/wcms/79/33/7933c5529f1bbc132e7935d7c53b6beb/0129501631v2.jpeg "Molekularer Wandel in der Industrie: Das drohende PFAS-Verbot zwingt Hersteller zum Umdenken. Unternehmen wie igus entwickeln bereits Hochleistungskunststoffe, die komplett ohne das Fluorpolymer PTFE auskommen, im Labor aber gleiche tribologischen Eigenschaften beweisen. (Bild: Igus)")
:quality(80)/p7i.vogel.de/wcms/3f/69/3f69e2ac28f7f9ee735680c5e5d53d94/0129470810v2.jpeg "Demo des ChipStack AI Super Agent. (Bild: Cadence)")
:quality(80)/p7i.vogel.de/wcms/7b/57/7b5725dd2e7545ab4904a9b7a3735721/0129309389v2.jpeg "Die embedded world 2026 findet vom 10. bis zum 12. März 2026 statt. (Bild: NürnbergMesse / Thomas Geiger)")
:quality(80)/p7i.vogel.de/wcms/b1/77/b1770e7d7499d7f807a2d5236dc081c8/0129461958v2.jpeg "Dr. Joshua Fryman, Intel Fellow und CTO der Intel Government Technologies (Mitte), stellte zusammen mit Vertretern der Softbank-Tochter Saimemory den ersten Prototypen des neuartigen ZAM-Speichers auf der Intel-Hausmesse Intel Connection 2026 in Japan vor. (Bild: Intel Japan)")
:quality(80)/p7i.vogel.de/wcms/9d/f7/9df7b15f177b8b3ca0e93cf965a476bc/0129529705v2.jpeg "Speicherfehler wie Pufferüberläufe oder Use-After-Free gefährden die Stabilität von Fahrzeugsoftware. Formale Verifizierung hilft dabei, aus getesteter Software nachweislich sichere Systeme zu machen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/67/3f/673f67f2c8dbef2f0f6a5d01ec1f5ec6/0129505643v2.jpeg "Arduino App Lab: Das aktuelle Release 0.4.0 bringt etliche hilfreiche Neuerungen. (Bild: Arduino)")
:quality(80)/p7i.vogel.de/wcms/1d/e5/1de5e11918cfb261b8b5c4632fc1f7db/0129456364v3.jpeg "An drei Standorten in Litauen entstehen die Speicher. (Bild: Nidec Conversion)")
:quality(80)/p7i.vogel.de/wcms/e8/a8/e8a8a953c77af9bbf208cce6454139d4/0129427931v3.jpeg "Strategisch: EPC lizenziert eGaN-Technologie an Renesas (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/61/85/6185c7a5619aba866e3b237690bea839/0129334467v3.jpeg "So soll die Fabrik im polnischen Wałbrzych aussehen. (Bild: Sungrow Power Supply Co., Ltd.)")
:quality(80)/p7i.vogel.de/wcms/c7/f6/c7f61d0437c7f8fca3c6ff947ba2ad62/0129322490v2.jpeg "AMD hat die zweite Generation der Kintex UltraScale+ Gen 2 FPGA-Familie vorgestellt, die mit PCIe Gen4 den 4K-AV-over-IP-Betrieb für 4K/8K-Medienanwendungen unterstützt. (Bild: AMD)")
:quality(80)/p7i.vogel.de/wcms/66/0c/660c31afa35398bac9be42f2be73fdc4/0129073529v2.jpeg "FPGAs lösen Performance-Engpässe, gelten aber in der Programmierung als schwer zugänglich. Die universelle Programmiersprache Livt soll die Hürde senken – korrekt, deterministisch und HDL-kompatibel. (Bild: Toby Giessen / VCG)")
:quality(80)/p7i.vogel.de/wcms/9c/35/9c35ed04fa562b190cbc496a695a6802/0128823288v1.jpeg "Optimiert auf Skalierung oder Geschwindigkeit: Die SGET hat den offenen Standard oHFM für FPGA-Module in zwei Varianten vorgestellt. (Bild: SGET (Screencast / Screenshot))")
:quality(80)/p7i.vogel.de/wcms/d7/e6/d7e6fe4124ec2efc726e9c3f2c2a4cfc/0128241940v2.jpeg "(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/8f/bf/8fbf2cfa5f7238e41e046b12e936212b/0129541806v3.jpeg "Der Pistenbully 600 E+ ist eine hybride Pistenraupe, die nicht an die Steckdose muss. (Bild: Kässbohrer Geländefahrzeug AG)")
:quality(80)/p7i.vogel.de/wcms/fc/4f/fc4f36089dac773f0b9483eb39a726a1/0129508876v2.jpeg "Microsoft-Deutschlangzentrale in München: Im Rahmen der Münchner Sicherheitskonferenz haben 15 internationale Unternehmen entlang der gesamten Elektronik-Wertschöpfungskette unter Federführung von Microsoft und Ericsson eine Tech Allianz für digitale Souveränität und gemeinsame Vertrauensstarndards gebildet. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/bc/42/bc42dd0a04818f6195a7f78bcec88be6/0129484567v2.jpeg "Der oberirdische Teil des IceCube-Experiments und die grafische Simulation eines Messsignals der Detektoren im Eis. Die Forscher können mit dem IceCube-Observatorium kosmische Neutrinos messen. (Bild: Stephan Richter, IceCube; Fotomontage: Beatrix von Puttkamer)")
:quality(80)/p7i.vogel.de/wcms/14/63/14635e09eff181f7ab7a0f81ffa0daa3/0129407664v2.jpeg "Dank eines neuartigen Sensors lässt sich Wasserstoff auch in feuchten Umgebungen zuverlässig detektieren. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ff/e4/ffe44f0dcf0fc0323926b1bc0a60d94f/0129386849v2.jpeg "Strukturwandel der API: Die Firma Phytec Messtechnik ist von einem traditionellen Testaufbau zu einer Architektur mit Web-Service-API gewechselt. (Bild: Göpel electronic)")
:quality(80)/p7i.vogel.de/wcms/a7/8c/a78c5f851db209abb1540909918fbf4a/0129260768v2.jpeg "Eine KI-basierte Code-Vervollständig ist in der LabVIEW+-Suite von Emerson möglich. Der Projektkontext wird analysiert und passende Programmierschritte vorgeschlagen. (Bild: Emerson)")
:quality(80)/p7i.vogel.de/wcms/38/1d/381de324bbe6d190a95169372a8ca02b/0129540692v2.jpeg "Komponenten von Infineon ermöglichen eine schnelle Datenverarbeitung und -Kommunikation sowie ein effizientes Energiemanagement in BMW's Neuer Klasse. (Bild: BMW)")
:quality(80)/p7i.vogel.de/wcms/87/4e/874eb8316b30d4b79793576f26c7dc62/0129542275v2.jpeg "10G TSN-Endpoint: Neuer IP-Core für Echtzeit-Ethernet bis 10 Gbit/s. (Bild: Fraunhofer IPMS)")
:quality(80)/p7i.vogel.de/wcms/62/1c/621cb1390951d6ac4029cd471edf956d/0129543495v2.jpeg "DBK EMS ist in Rülzheim beheimatet und sieht sich nicht als simpler Dienstleister, sondern als Mitdenker. (Bild: niko design / DBK)")
:quality(80)/p7i.vogel.de/wcms/2c/60/2c60940d2ebd2d45765085bc69488764/0129530286v2.jpeg "Der chinesische Chiphersteller Nexperia, der in Nimwegen den europäischen Standort hat, wurde vom Gericht in Amsterdam dazu verdonnert, weiterhin kontrolliert zu werden. Das schmeckt Peking nicht. Das Dumme: Die Chips sind für Europas Autohersteller bekanntlich sehr wichtig ... (Bild: Nexperia)")
:quality(80)/p7i.vogel.de/wcms/a6/a8/a6a880c57faa551baeca28d4178de438/0129419457v2.jpeg "China investiert stark in das heimische Halbleiter-Ökosystem. Wer daran teilhaben will, sollte vorher wissen, wo sich welcher Cluster befindet und welche Technologie er vorantreibt. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/69/1f/691f39ba12be3cad90eb88bdabc456a6/0127321404v2.jpeg "Das Kreativteam Christian Göller, GreatScott! und Christopher Becht (v. l. n. r.): erfolgreiches Creator-Marketing im B2B-Sektor (Bild: Würth Elektronik)")
:quality(80)/p7i.vogel.de/wcms/6a/cc/6acc4f803241cfe5b6d60560c0a2b4d9/0126684948v2.jpeg "In der Altersgruppe 25 bis 64 verfügen 34 Prozent der Deutschen über einen tertiären Abschluss im MINT-Bereich. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ef/aa/efaae5a25fb0a4c55c434611033447af/0126532350v2.jpeg "Die jährliche Back-to-School-Aktion von Digikey mit Preisen für Studierende ist gestartet. (Bild: Digikey)")
:fill(fff,0)/p7i.vogel.de/companies/66/62/6662eace22e05/csa-group-logo.jpeg "csa-group-logo (CSA Group Bayern GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/b6/60b601af20368/et-system-logo-rgb.png "et-system-logo-rgb (Logo)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/62/68621fc4f1d39/logo.png "logo (https://www.ymin.cn/)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/60/2d/602d886362685d4b11ecc1dd004d425b/0121283675v2.jpeg "PFAS: Die „Ewigkeitschemikalien“ werden fast überall benötigt, sind aber teilweise gesundheitsgefährdend. (Bild: DA, VDMA, ZVEI)")
:quality(80)/p7i.vogel.de/wcms/3f/ae/3faeb8c7361df165e58a09f2d3364ccb/0126310245v2.jpeg "EU-Verordnung Cyber Resilience Act: Herausforderung für Hersteller, Importeure und Händler. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/4d/c7/4dc76c4a3dce60566b765235b5596409/0124421890v2.jpeg "Der Cyber Resilience Act der EU verändert grundlegend, wie IoT-Geräte entwickelt und abgesichert werden müssen. Mit Strafen von bis zu 2,5% des weltweiten Jahresumsatzes bei Verstößen ist Konformität keine Option, sondern Pflicht. Dieser Artikel liefert wertvolle Einblicke in die praktische Umsetzung der Anforderungen und stellt eine mögliche Tool-Lösung vor, die von unabhängigen Experten auf ihre CRA-Konformität geprüft wurde. (Bild: KI-Generiert / DALL-E)")