Thought Leadership
Der Cyber Resilience Act der Europäischen Union bringt ab 2026 verbindliche Sicherheitsanforderungen für Hersteller vernetzter Geräte, Maschinen und Anlagen.
Darauf weist das Cybersicherheitsunternehmen ONEKEY hin, das sich auf die Analyse von Firmware und die Prüfung regulatorischer Anforderungen spezialisiert hat. Für viele Unternehmen beginnt damit eine neue Phase verbindlicher Cybersecurity-Pflichten.
Neue Meldepflichten ab Herbst 2026
Ein zentraler Einschnitt steht im September 2026 bevor. Dann müssen Hersteller aktiv ausgenutzte Schwachstellen sowie schwerwiegende Sicherheitsvorfälle innerhalb kurzer Fristen melden. Die Europäische Agentur für Cybersicherheit baut dafür derzeit eine zentrale Meldeplattform auf, über die entsprechende Berichte künftig eingereicht werden.
Parallel dazu startet bereits im Juni 2026 die Arbeit unabhängiger Prüfstellen, die Produkte auf ihre Konformität mit den neuen Vorgaben untersuchen. Spätestens zu diesem Zeitpunkt müssen interne Prozesse, technische Nachweise und Dokumentationen vorbereitet sein, damit eine Bewertung überhaupt möglich wird.
Vollständige Anforderungen gelten ab 2027
Die umfassenden Vorgaben des Cyber Resilience Act treten im Dezember 2027 vollständig in Kraft. Dazu zählen unter anderem Sicherheitskonzepte von Beginn der Produktentwicklung an, ein durchgängiges Lebenszyklus-Management, dokumentierte Risikobewertungen sowie der formale Konformitätsnachweis für den Vertrieb innerhalb der EU.
Für besonders kritische Produkte, etwa in der Industrie oder bei sicherheitsrelevanten Infrastrukturen, ist eine externe Prüfung verpflichtend. Der Großteil der vernetzten Produkte kann dagegen über eine Selbsterklärung des Herstellers in Verkehr gebracht werden – vorausgesetzt, die Einhaltung der Anforderungen wird nachvollziehbar dokumentiert.
Große Herausforderungen in der Praxis
Nach Einschätzung von ONEKEY zeigt sich bei Sicherheitsanalysen häufig, dass viele Produkte noch erhebliche Lücken aufweisen. Probleme entstehen unter anderem durch unvollständige Dokumentationen zugekaufter Komponenten, schwer nachvollziehbare Open-Source-Abhängigkeiten oder Schwachstellen in Software von Drittanbietern.
Ein wichtiger erster Schritt ist daher die Erstellung einer vollständigen Software-Stückliste. Diese muss sämtliche eingesetzten Komponenten, Versionen, Lizenzen und bekannte Sicherheitslücken enthalten. Genau hier bestehen in vielen Unternehmen noch Defizite, etwa durch veraltete oder unvollständige Angaben aus der Lieferkette.
Sicherheit über den gesamten Produktlebenszyklus
Die neuen EU-Vorgaben beschränken sich nicht auf Dokumentation. Gefordert sind sichere Entwicklungsprozesse, strukturierte Verfahren zum Umgang mit Schwachstellen, kontinuierliches Risikomanagement sowie regelmäßige Sicherheitsupdates über die gesamte Nutzungsdauer eines Produkts hinweg. Alle Maßnahmen müssen nachvollziehbar geprüft und dokumentiert werden.
Damit wird der Cyber Resilience Act zu einem zentralen Baustein der europäischen Cybersicherheitsstrategie. Für Hersteller bedeutet er jedoch zugleich erheblichen organisatorischen, technischen und finanziellen Aufwand – und die Notwendigkeit, sich frühzeitig auf die neuen Anforderungen vorzubereiten.
