Cyber Resilience Act: EU zwingt Hersteller zu 5 Jahren Updates
26.06.2026 - 14:55:24 | boerse-global.de
Neue Cybersicherheitsgesetze in EU, USA und Asien zwingen Hersteller zum Umdenken. Wer nicht nachrüstet, verliert den Zugang zu Milliardenmärkten.
Der MWC IoT Summit in Shanghai stand am heutigen Freitag ganz im Zeichen einer grundlegenden Verschiebung: Cybersicherheit ist nicht länger ein optionales Feature, sondern wird zur zentralen Marktzugangsvoraussetzung. Branchenvertreter diskutierten vor allem die bevorstehende Durchsetzung des EU Cyber Resilience Act (CRA), der künftig mehr als 90 Prozent aller in der Europäischen Union verkauften IoT-Produkte betreffen wird.
EU verschärft Anforderungen drastisch
Der Cyber Resilience Act stellt die Weichen neu. Hersteller müssen künftig fünf Jahre lang Sicherheitsupdates bereitstellen und aktive Sicherheitsvorfälle innerhalb von 72 Stunden melden. Die Produkte selbst müssen dem „Security-by-Design“-Prinzip folgen und eine CE-Kennzeichnung tragen. Die Strafen für Verstöße sind happig: bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes.
Die Kosten für die Compliance sind enorm. Analysten schätzen die Einstiegshürde auf rund 100.000 Euro pro Produktlinie. Die Auswirkungen sind bereits in den Lieferketten spürbar: Die Preise für CRA-relevante Komponenten wie speicherprogrammierbare Steuerungen (PLCs) steigen. Während die vollständige Umsetzung des CRA für den 11. Dezember 2027 geplant ist, tritt die Meldepflicht für ausgenutzte Sicherheitslücken bereits am 11. September 2026 in Kraft.
Angesichts drastisch verschärfter EU-Regularien wie dem Cyber Resilience Act stehen Unternehmen vor komplexen Compliance-Hürden. Dieser kostenlose Umsetzungsleitfaden bietet Ihnen einen kompakten Überblick über Pflichten, Fristen und Risikoklassen, damit Ihre IT-Abteilung rechtlich auf der sicheren Seite bleibt. EU AI Act und Cyber-Regulierung in 5 Schritten verstehen
Parallel dazu treibt die EU die Richtlinie zur Resilienz kritischer Einrichtungen (CER) voran. Die Mitgliedstaaten müssen bis zum 17. Juli 2026 ihre kritischen Infrastrukturen benennen. Betroffene Unternehmen aus elf Sektoren – darunter Energie, Banken und Verkehr – haben dann neun Monate Zeit, um umfassende Schutzmaßnahmen zu implementieren.
USA weiten Sicherheitsrahmen aus
Auch die Vereinigten Staaten verschärfen ihre Vorgaben. Das National Institute of Standards and Technology (NIST) veröffentlichte am 24. Juni 2026 einen Entwurf der überarbeiteten Special Publication 800-213. Die Neufassung erweitert den Begriff des IoT-Geräts auf „IoT-Produkte“ – inklusive zugehöriger Cloud-Dienste und mobiler Anwendungen. Die Leitlinien betonen das Risikomanagement über den gesamten Produktlebenszyklus und sollen Bundesbehörden bei der Bewertung von Cybersicherheitsrisiken vor der Beschaffung helfen. Die öffentliche Kommentierungsfrist läuft bis zum 24. August 2026.
Noch konkreter wird das US-Handelsministerium: Im Rahmen der Connected Vehicle Rule wird Polestar ab dem Modelljahr 2027 vom US-Markt ausgeschlossen – wegen der Nutzung chinesischer Software. Volvo erhielt eine Ausnahmegenehmigung. Polestar, das zu Geely gehört, verlagert seinen Fokus nun auf den europäischen Markt, wo das Unternehmen rund 80 Prozent seiner Einnahmen erzielt.
Asien zieht nach – neue Lizenzen und Gesetze
Mehrere asiatische Märkte führen ebenfalls strengere Cybersicherheitskontrollen ein. Ab dem 1. Juli 2026 tritt in Vietnam ein aktualisiertes Cybersicherheitsgesetz in Kraft. Unternehmen benötigen dann eine staatliche Betriebslizenz, um Cybersicherheitsprodukte und -dienstleistungen anbieten zu dürfen. Das Gesetz ersetzt die Regelungen aus den Jahren 2015 und 2018.
Zum gleichen Datum startet in Südkorea das Gesetz zur Förderung der industriellen Digitalisierung und KI-Nutzung (Act No. 21250). Es verpflichtet autorisierte Nutzer von Industriedaten zur Umsetzung spezifischer Sicherheitsmaßnahmen zum Schutz digitalisierter Industrieanlagen.
Ob neue KI-Gesetze oder verschärfte Industriestandards – die rechtlichen Anforderungen an die IT-Sicherheit wachsen weltweit rasant. Erfahren Sie in diesem kostenlosen Report, wie Sie neue gesetzliche Pflichten erfüllen und Ihr Unternehmen proaktiv gegen moderne Bedrohungen absichern. Gratis-Report zu neuen Cyberrisiken und Gesetzen herunterladen
Angriffswelle treibt Versicherungswirtschaft um
Der verschärfte Regulierungsdruck ist die direkte Folge einer hohen Vorfallrate im verarbeitenden Gewerbe. Ein Bericht von Integris aus dem Jahr 2026 zeigt: 60 Prozent der Führungskräfte in der Fertigungsindustrie erlebten im vergangenen Jahr schwerwiegende E-Mail-Angriffe, 49 Prozent berichteten von Sicherheitsverletzungen über mobile Geräte. Die Folgen sind für die Unternehmen unmittelbar spürbar: Ein Viertel der befragten Verbraucher gab an, den Kauf bei bestimmten Herstellern wegen Sicherheitsvorfällen eingestellt zu haben.
Die Versicherungswirtschaft reagiert. Neue Partnerschaften entstehen, um IoT-Daten in finanzielle Risikomodelle zu integrieren. Die KI-Versicherungsplattform Shepherd hat sich mit Brickeye zusammengetan, um IoT-Risikoinformationen in die automatisierte Zeichnung von Versicherungspolicen einzubeziehen. Ziel ist es, durch Echtzeitüberwachung Selbstbehalte zu senken und Schadensfälle bei großen Bau- und Industrieprojekten besser zu managen.
