Bereits im September 2022 legte die EU-Kommission einen Entwurf für den sogenannten Cyber Resilience Act (CRA) vor, der zwar für mehr Cybersicherheit und Resilienz zu sorgen soll, in dem Vertreter der Industrie allerdings viele Probleme sehen, etwa eine Gefährdung für Open Source Software und eine gewisse Unverhältnismäßigkeit.
Der EU Cyber Resilience Act (EU-Gesetz über Cyberresilienz) wird noch finalisiert.
Der Cyber Resilience Act kommt, so viel ist sicher. Nur wann, das ist bislang unklar. Experten gehen davon aus, dass es 2024 oder 2025 so weit sein könnte. Dann werden, gemessen an dem aktuellen Entwurf des Cyber Resilience Acts (CRA), alle Produkte und Maschinen mit digitalen Elementen, die miteinander oder mit dem Internet verbunden werden können, strengeren Sicherheitsregeln unterworfen.
Die Europäische Kommission schlägt mit dem im September 2022 vorgelegten CRA vor, bei den genannten Produkten in den Phasen Design, Entwicklung und Produktion sowie während des Inverkehrbringens und während der Nutzung risikoangemessene Cybersecurity-Maßnahmen zu etablieren.
Immer mehr Ransomware-Angriffe
An und für sich ist das eine feine Sache. Wie oft haben etablierte Nachrichtenmagazine bereits über erfolgreiche Cyberangriffe auf unter anderem wichtige Infrastrukturen berichtet, bei denen Daten, Tools und Systeme plötzlich durch Ransomware gesperrt werden und nicht mehr verfügbar sind, wenn kein Lösegeld gezahlt wird? Viel zu oft.
Laut den Berichten der EU-Kommission wird alle elf Sekunden ein Angriff mittels Ransomware durchgeführt. Im Jahr 2021 haben Ransomware-Angriffe weltweit Kosten in Höhe von etwa 20 Milliarden Euro verursacht. Weltweit wurden die generellen Kosten von Cyberattacken im Jahr 2021 auf 5,5 Billionen Euro geschätzt. Cybersicherheit ist also ein Thema, das uns alle angeht.
Doch versucht die EU-Kommission mit einer einzigen Klappe alle Fliegen zu schlagen? Speziell Entwickler von Open Source Software, aber auch Mitglieder der Deutschen Industrie- und Handelskammer (DIHK) sehen den bisher vorgelegten Entwurf kritisch und hoffen mit ihrer Kritik eine Änderung zu bewirken. Insbesondere bei den Formulierungen in dem als Verordnung angelegten CRA muss aufgepasst werden.
Was ist mit Open Source Software?
Am 8. August 2023 veröffentlichte die Open Source Business Alliance (OSBA) des Bundesverband für digitale Souveränität e.V. eine Stellungnahme, in der die Ziele des Cyber Resilience Acts ausdrücklich befürwortet werden. Allerdings scheint der CRA in den Augen der Mitglieder der OSBA vornehmlich mit Blick auf proprietäre Software geschrieben worden zu sein. „Daher sind auch die zu erfüllenden Anforderungen in Hinblick auf die Entwicklungs- und Vertriebsmodelle proprietärer Software formuliert. Die Entwicklungs- und Vertriebsmodelle von Open Source Software unterscheiden sich jedoch durch den offenen und kooperativen Ansatz sowie durch die Freiheiten, welche die Softwarelizenzen gewähren, zum Teil erheblich von den Entwicklungs- und Vertriebsmodellen proprietärer Software“, so die OSBA.
Zwar soll es im CRA Ausnahmen für Open Source geben, allerdings nur dann, wenn die Software nicht für kommerzielle Aktivitäten eingesetzt wird – und die Definition von „kommerziell“ ist in den Augen der OSBA ungenügend. „Hier ist eine klare Abgrenzung schwierig und es ergibt sich ein zu großer Graubereich mit Interpretationsspielraum und dadurch eine Rechtsunsicherheit. Open-Source-Lösungen werden teilweise im Rahmen einer rein kommerziellen Aktivität (durch bezahlte Angestellte einer Firma mit kommerziellem Interesse), im Rahmen von Wissenschaft und Lehre, durch die öffentliche Verwaltung und teilweise auch durch tausende Freiwillige in ihrer Freizeit, ohne eigenes kommerzielles Interesse entwickelt und gepflegt.“ Der OSBA befürchtet mit Blick auf Open Source eine Überregulierung, einen zu großen Interpretationsspielraum sowie eine rechtliche Unsicherheit für vor allem kleine OS-Projekte.
Verschiedenen Studien zufolge beinhalten 78 bis 96 Prozent aller Softwareprodukte Open-Source-Komponenten, und Open Source spielt in der Gesamtwirtschaft und Wettbewerbsfähigkeit europäischer Unternehmen eine signifikante Rolle. Selbst Projekte der Bundesregierung setzen auf Open Source. In Wissenschaft, in Startups und in kleinen und mittelständischen Unternehmen ist Open Source Software eine oft und gerne genutzte Lösung, und die OSBA sieht einen drohenden Schaden für die Wirtschaft sowie für die digitale Souveränität. Was die EU-Kommission und die Bundesregierung gegen die Unklarheiten im ersten CRA-Entwurf tun könnten, etwa einige sinnvollere Formulierungen des Europäischen Rates zu übernehmen, schlägt die OSBA ebenfalls vor.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel Communications Group GmbH & Co. KG, Max-Planckstr. 7-9, 97082 Würzburg einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
Der Blick der Deutschen Industrie- und Handelskammer
Die Mitglieder der Deutschen Industrie- und Handelskammer (DIHK) haben natürlich obendrein im Blick, dass nicht nur vernetzbare Produkte in den Handel gelangen, sondern auch in Unternehmen für die Produktion beziehungsweise als Vorprodukte bezogen werden. Damit sind diese Produkte Teil der Lieferkette. Der Cyber Resilience Act kann damit einen empfindlichen Einfluss auf Lieferketten nehmen. Der ursprüngliche Entwurf des CRA sieht unter anderem umfangreiche Dokumentations- und Informationssorgfaltspflichten vor.
Die DIHK hat dafür ein ansehnliches Beispiel, wie umfangreich die notwendigen Pflichten ausfallen können: „Ein Industrieunternehmen verbaut Chips als Bestandteile seines Produkts. Das Unternehmen muss sich darauf verlassen können, dass diese sicher konzipiert sind und benötigt für eine gewisse Zeit Sicherheitsupdates vom Hersteller, um die Sicherheit entlang der Lieferkette zu gewährleisten. Nach dem CRA müsste der Hersteller nachweisen, dass er bei Entwicklung und Produktion EU-harmonisierte Cybersicherheitsnormen eingehalten hat. Das wird über eine sogenannte Software-Stückliste dokumentiert. Er muss auch Schwachstellen dokumentieren, von denen er Kenntnis erlangt hat. Vor Inverkehrbringen des Chips muss er ein Konformitätsbewertungsverfahren durchführen, erst dann darf die CE-Kennzeichnung angebracht werden. Das Industrieunternehmen muss auch für seinen Teil der Lieferkette all dies tun. Beide Unternehmen müssen auch nach Inverkehrbringen von Chip und Industrieprodukt Updates bereitstellen sowie Melde- und Informationspflichten erfüllen.“
Die Handelskammer mahnt in ihrem Text an, dass der Cyber Resilience Act seinen Zweck zur Erhöhung der Cybersicherheit nur erhöhen kann, wenn er praktikable und angemessene Vorgaben macht, um sein Ziel zu erreichen. Das Problem, das an der Stelle gesehen wird, ist, dass Unternehmen sich an europäischen Normen für die Einführung neuer Produktionsschritte halten müssen, die zu dem Zeitpunkt erst noch erarbeitet werden müssen. Eine Übergangsfrist für EU-Verordnungen liegt meistens bei ein bis zwei Jahren. Die DIHK bittet jetzt bereits um eine Verlängerung der Fristen, denn vor allem Fachkräfteengpässe müssen überwunden werden.
Cyber Resilience Act – und jetzt?
Wie bereits angedeutet, rechnen Experten damit, dass der CRA im Jahr 2024 oder 2025 als Verordnung in Kraft tritt. In der Timeline des CRA steht vermerkt, dass das Europäische Parlament und der Europarat die Vorschläge diskutieren. Der Rat an im Sommer 2023 bereits einige Anpassungen vorgeschlagen. Anschließend, sobald der CRA angenommen wird, haben die Mitgliedsstaaten zwei Jahre Zeit, die neuen Anforderungen zu übernehmen. Eine Ausnahme gibt es für die Pflicht, Schwachpunkte und deren Ausnutzung (sprich: Cyberangriffe auf ein Unternehmen) zu melden, denn diese Pflicht tritt bereits ein Jahr nach Annahme des Cyber Resilience Acts in Kraft. Im Anschluss will die Kommission den CRA regelmäßig überprüfen und über seine Auswirkungen berichten.
Wer sich auf Grundlage des bislang vorgelegten Entwurfs über kommende Pflichten, Fristen und möglicherweise geforderte Bußgelder informieren möchte, kann das unter anderem am 28. November 2023 in Frankfurt am Main im House of Logistics and Mobility auf der IT-Sicherheitskonferenz Cybics machen. Der Fokus des Konferenzprogramms liegt auf der Cybersicherheit von IoT/ICS/OT-Produkten aus regulatorischer Sicht. Auf der Webseite der Cybics erfahren Sie mehr. Ein Factsheet zum Cyber Resilience Act und weitere Details lassen sich auf der offiziellen Webseite der EU-Kommission einsehen. (sb)
:quality(80)/p7i.vogel.de/wcms/59/bf/59bfd2822d711b0ae2cb9383b679f38d/0129302533v2.jpeg "Im Lehrstuhl für KI-Chip Design in der Technischen Universität München (TUM) ist der EU-weit erste KI-Chip mit moderner 7-Nanometer-Technologie entstanden. Im Bild: Lehrstuhlinhaber Prof. Hussam Amrouch. (Bild: Andreas Heddergott / TU Muenchen)")
:quality(80)/p7i.vogel.de/wcms/c1/94/c19403fe0194686b2f4911be7e1e9539/0129294209v2.jpeg "Supraleitung kann verborgene magnetische Ordnungen offenlegen, indem sie gezwungen wird, ihre eigenen Symmetrien zu brechen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/e6/72/e67279e23a3267a463edf3e3f55c8e81/0129260553v2.jpeg "Diese künstlerische Darstellung zeigt ein thermisches Analogrechengerät, das Berechnungen unter Verwendung von überschüssiger Wärme durchführt und in ein mikroelektronisches System eingebettet ist. (Bild: Jose-Luis Olivares, MIT)")
:quality(80)/p7i.vogel.de/wcms/28/0f/280fe550dfb032b53edbaac11d09bced/0129337134v3.jpeg "Antennensuche: Taoglas bietet nun einen KI-Assistenten für individuelle Produktempfehlungen (Bild: Taoglas)")
:quality(80)/p7i.vogel.de/wcms/29/21/29218000af0daabca33bf8a7947b61ad/0129310204v2.jpeg "Die Umgebung jederzeit im Blick: Dank des sehr dünnen Heizelements, das direkt in die interne Linsenkonstruktion integriert ist, ist dies möglich. Vorteile sind der geringere Platzbedarf bei höherer Effizienz. (Bild: VIA optronics)")
:quality(80)/p7i.vogel.de/wcms/2b/5d/2b5d6ddedab3fdcaf528ff1caf650433/0129302953v2.jpeg "Die EU-Funkrichtlinie hätte das Aus für die softwaredefinierte Elektronik bedeutet. Jetzt hat sich der zehnjährige Kampf zum Guten gewendet. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/7b/57/7b5725dd2e7545ab4904a9b7a3735721/0129309389v2.jpeg "Die embedded world 2026 findet vom 10. bis zum 12. März 2026 statt. (Bild: NürnbergMesse / Thomas Geiger)")
:quality(80)/p7i.vogel.de/wcms/b2/9c/b29ce10d1817d4b67968dfb737d812b7/0129308255v2.jpeg "Die Machine-Learning- (ML) und KI-Technologie von Canopus AI für Messtechnik und Inspektion – Messung des Kantenplatzierungsfehlers (EPE) zur Verbesserung der Simulationsmodelle für die Waferherstellung. (Bild: Siemens EDA / Canopus AI)")
:quality(80)/p7i.vogel.de/wcms/4b/c5/4bc5a6e591592fac9c3f05b77b8c237f/0129307845v4.jpeg "Ein potentiell neuer Marktführer im Embedded-Wireless-Bereich: Texas Instruments hat angekündigt, Silicon Labs für insgesamt 7,5 Mrd. US-$ übernehmen zu wollen. (Bild: Texas Instruments)")
:quality(80)/p7i.vogel.de/wcms/61/85/6185c7a5619aba866e3b237690bea839/0129334467v3.jpeg "So soll die Fabrik im polnischen Wałbrzych aussehen. (Bild: Sungrow Power Supply Co., Ltd.)")
:quality(80)/p7i.vogel.de/wcms/3c/88/3c8863ad57e80adc0acb9c9d9ea30351/0129319571v2.jpeg "Die Verluste und Eindringtiefe sind abhängig von der Frequenz. (Bild: © studioworkstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4e/f2/4ef224fde728985d8b9630eb0fa37909/0129293948v3.jpeg "Der EPC2366 (Bild: Efficient Power Conversion)")
:quality(80)/p7i.vogel.de/wcms/c7/f6/c7f61d0437c7f8fca3c6ff947ba2ad62/0129322490v2.jpeg "AMD hat die zweite Generation der Kintex UltraScale+ Gen 2 FPGA-Familie vorgestellt, die mit PCIe Gen4 den 4K-AV-over-IP-Betrieb für 4K/8K-Medienanwendungen unterstützt. (Bild: AMD)")
:quality(80)/p7i.vogel.de/wcms/66/0c/660c31afa35398bac9be42f2be73fdc4/0129073529v2.jpeg "FPGAs lösen Performance-Engpässe, gelten aber in der Programmierung als schwer zugänglich. Die universelle Programmiersprache Livt soll die Hürde senken – korrekt, deterministisch und HDL-kompatibel. (Bild: Toby Giessen / VCG)")
:quality(80)/p7i.vogel.de/wcms/9c/35/9c35ed04fa562b190cbc496a695a6802/0128823288v1.jpeg "Optimiert auf Skalierung oder Geschwindigkeit: Die SGET hat den offenen Standard oHFM für FPGA-Module in zwei Varianten vorgestellt. (Bild: SGET (Screencast / Screenshot))")
:quality(80)/p7i.vogel.de/wcms/d7/e6/d7e6fe4124ec2efc726e9c3f2c2a4cfc/0128241940v2.jpeg "(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/e6/0a/e60ae162bd38bfc111ecf434d5c5fbd7/0129308123v2.jpeg "Der Agibot A2 bei einem Fortune-China-Event im Dezember 2025. (Bild: Agibot)")
:quality(80)/p7i.vogel.de/wcms/75/c0/75c0d5ccd1cee4e66dbd5f3ed02efd0a/0129305300v2.jpeg "Von links nach rechts: Sandro Amendola (Leiter der Abteilung \"Standardisierung, Zertifizierung und Prüfung\" im BSI); Sarah Linder (BSI), Thomas Caspers (BSI-Vizepräsident), Thomas Rosteck (Chief Security Advisor Infineon Technologies AG), Sebastien Colle (Infineon). (Bild: BSI)")
:quality(80)/p7i.vogel.de/wcms/a7/8c/a78c5f851db209abb1540909918fbf4a/0129260768v2.jpeg "Eine KI-basierte Code-Vervollständig ist in der LabVIEW+-Suite von Emerson möglich. Der Projektkontext wird analysiert und passende Programmierschritte vorgeschlagen. (Bild: Emerson)")
:quality(80)/p7i.vogel.de/wcms/9a/51/9a5199a5ad49e895b4aef7e04fe629e2/0129255110v2.jpeg "Der Vector Network Analyzer CMT A2202 deckt Frequenzen bis 22 GHz ab. (Bild: Telemeter)")
:quality(80)/p7i.vogel.de/wcms/d9/d6/d9d68c274ac9c3c728978fac46c773ba/0129239468v2.jpeg "Mit dem Spektrumanalysator R&S FPL1044 bringt Rohde & Schwarz das Ka-Band in die Mittelklasse. (Bild: Rohde & Schwarz)")
:quality(80)/p7i.vogel.de/wcms/52/7a/527ad5ae7d10b9e34b72570639d7870c/plagiarius-zwerg-gnome-2849x1602v1.jpeg "Die Trophäe des Schmähpreises ist ein schwarzer Zwerg mit goldener Nase. Er soll die immensen Profite, die ideenlose Nachahmer auf Kosten von Kreativwirtschaft und Industrie erzielen, symbolisieren. (Bild: Aktion Plagiarius e.V.)")
:quality(80)/p7i.vogel.de/wcms/43/43/4343a389b15f84f683b7d1cdb4745d23/0129331527v2.jpeg "Der TSMC-Standort der Japan Advanced Semiconductor Manufacturing im japanischen Kumamoto. War in der im Bau befindlichen zweiten Fab zunächst nur die Fertigung von Halbleitern im N6-Verfahren vorgesehen, verhandelt der Auftragsfertiger derzeit mit der japanischen Regierung, um den Standort möglicherweise doch auf N3 aufzurüsten. (Bild: JASM)")
:quality(80)/p7i.vogel.de/wcms/89/6b/896bbee46d0440c8a01ce4d0dab325f0/0129302555v2.jpeg "Wir erleben eine paradoxe Situation: Die alten Speicher sind knapp, weil sie nicht mehr produziert werden, und die neuen Speicher sind knapp, weil sie noch technische Probleme haben. (Bild: Memphis Electronic)")
:quality(80)/p7i.vogel.de/wcms/69/1f/691f39ba12be3cad90eb88bdabc456a6/0127321404v2.jpeg "Das Kreativteam Christian Göller, GreatScott! und Christopher Becht (v. l. n. r.): erfolgreiches Creator-Marketing im B2B-Sektor (Bild: Würth Elektronik)")
:quality(80)/p7i.vogel.de/wcms/6a/cc/6acc4f803241cfe5b6d60560c0a2b4d9/0126684948v2.jpeg "In der Altersgruppe 25 bis 64 verfügen 34 Prozent der Deutschen über einen tertiären Abschluss im MINT-Bereich. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ef/aa/efaae5a25fb0a4c55c434611033447af/0126532350v2.jpeg "Die jährliche Back-to-School-Aktion von Digikey mit Preisen für Studierende ist gestartet. (Bild: Digikey)")
:fill(fff,0)/p7i.vogel.de/companies/67/d1/67d1a4da69c1f/b--rklin-logo-digital--002-.jpeg "b--rklin-logo-digital--002- (Bürklin GmbH & Co. KG)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/66/62/6662eace22e05/csa-group-logo.jpeg "csa-group-logo (CSA Group Bayern GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/25/6825cd91dbb00/logo-pp-rot-quadratzuschnitt-inv512px.png "logo-pp-rot-quadratzuschnitt-inv512px (precoplat / markusdesign)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/54/69/54695c85c8c97a423bc34a834e48c585/0122946265v2.jpeg "Thomas Rosteck ist Division President Connected Secure Systems bei Infineon Technologies. (Bild: www.wernerbartsch.de)")
:quality(80)/p7i.vogel.de/wcms/3f/ae/3faeb8c7361df165e58a09f2d3364ccb/0126310245v2.jpeg "EU-Verordnung Cyber Resilience Act: Herausforderung für Hersteller, Importeure und Händler. (Bild: frei lizenziert)")