Cyber Resilience Act: EU-Gesetz zwingt Hersteller ab September zur Meldepflicht
15.06.2026 - 23:26:20 | boerse-global.de
Die Europäische Union hat die letzten Hürden für das neue Cybersicherheitsgesetz genommen. Der Cyber Resilience Act (CRA) verpflichtet Hersteller, Importeure und Händler digitaler Produkte zu einheitlichen Sicherheitsstandards. Betroffen ist eine breite Palette – vom Smartphone über die Waschmaschine bis hin zur Industrie-Software. Das Gesetz markiert einen Paradigmenwechsel für den gesamten Binnenmarkt.
IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen. Gratis-E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen
Strenge Auflagen für Hersteller
Die neuen Regeln zwingen Unternehmen zu einem umfassenden Schwachstellenmanagement. Sie müssen während des gesamten Produktlebenszyklus Sicherheitsupdates bereitstellen. Wer die Vorgaben nicht einhält, haftet künftig für entstandene Schäden.
Der Zeitplan steht: Bereits ab dem 11. September 2026 gelten Meldepflichten für entdeckte Sicherheitslücken. Die vollständigen Anforderungen für alle neu in Verkehr gebrachten Produkte werden am 11. Dezember 2027 wirksam. Drei Wege zur Zertifizierung stehen offen: harmonisierte Normen, gemeinsame Spezifikationen oder spezifische Zertifikate wie das europäische EUCC-Schema.
Der EUCC-Standard ist seit Anfang 2025 gültig und bietet Sicherheitsstufen von „substanziell" bis „hoch". Allerdings fehlt noch der delegierte Rechtsakt, der diese Zertifikate offiziell für die CRA-Konformität anerkennt – Stand Mitte Juni 2026 ist dieser Schritt nicht abgeschlossen.
Industrie reagiert auf neue Vorgaben
Die Einführung des CRA fällt mit einer grundlegenden Überprüfung der EU-Cybersicherheitsarchitektur zusammen. Der Wissenschaftliche Dienst des Europäischen Parlaments (EPRS) hat die Folgenabschätzung der Kommission zur Reform des Cybersecurity Act bewertet – ursprünglich im Januar 2026 vorgeschlagen. Die Experten lobten die klare Problemdefinition und die Unterstützung für kleine Unternehmen, kritisierten aber schwache operative Ziele und das Fehlen einer formalen Subsidiaritätsprüfung.
Die Industrie stellt sich bereits neu auf. Vom 16. bis 18. Juni 2026 findet in Prag der OT Cybersecurity Summit statt. Dort diskutieren Betreiber kritischer Infrastrukturen aus Energie, Fertigung und Verkehr, wie sie CRA und NIS2-Richtlinie umsetzen können.
Ein konkretes Beispiel für die verschärften Regeln: Am heutigen Montag erhielt der US-Softwareanbieter Mavenir als erster Tier-1-Lieferant eine BSI-NESAS-Zertifizierung des Bundesamts für Sicherheit in der Informationstechnik für eine 5G-Kernnetzkomponente. Diese Zertifizierung ist für kritische 5G-Bauteile in Deutschland seit Jahresbeginn 2026 Pflicht.
Bedrohungslage verschärft sich dramatisch
Der Gesetzesvorstoß kommt nicht zu früh. Bei der jüngsten Cyber Europe 2026-Übung simulierten rund 5.000 Experten groß angelegte Angriffe auf europäische Schienennetze und Seehäfen. Der Verkehrssektor gilt als Hauptziel – 2024 entfielen rund 11 Prozent aller Vorfälle auf diesen Bereich.
Die Zahlen für Deutschland sind alarmierend: Über 330.000 Cyberangriffe wurden 2025 registriert. Der wirtschaftliche Schaden übersteigt umgerechnet 230 Milliarden Euro. Kein Wunder also, dass die Politik nun massiv gegensteuert.
Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenloses E-Book: Cyber Security Awareness Trends
Milliarden für 6G-Sicherheit und europäische Souveränität
Die EU-Kommission startete am 15. Juni 2026 das Projekt Shield-6G. Das mit 8 Millionen Euro geförderte Vorhaben unter Leitung des University College Dublin entwickelt eine KI-gesteuerte Plattform für die Sicherheit von 6G-Netzen.
Am selben Day stimmte der EU-Rat der Aufnahme der Ukraine in die EU-Cybersecurity-Reserve zu. Das Land kann damit bei schweren Angriffen auf private Incident-Response-Dienste zurückgreifen.
Diese Maßnahmen sind Teil des Europäischen Pakets für technologische Souveränität, das Anfang Juni vorgestellt wurde. Es enthält unter anderem das Cloud- und KI-Entwicklungsgesetz. Das Paket verdeutlicht die wachsenden Spannungen zwischen EU-Regulierung und internationalen Anbietern. Erst am 12. Juni 2026 gab es Berichte, wonach US-Exportkontrollen zur Abschaltung bestimmter Anthropic-KI-Modelle für EU-Nutzer führten – nach einem Sicherheitsvorfall.
