Cyber Resilience Act (CRA)

  • Juli 14, 2026

Definition

Der Cyber Resilience Act ist eine EU-Verordnung, die einheitliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt, um Sicherheitslücken über den gesamten Produktlebenszyklus hinweg zu reduzieren und den europäischen Binnenmarkt zu stärken.

Erklärung / Hintergrund

Der Cyber Resilience Act, kurz CRA, verpflichtet Hersteller, Importeure und Händler digitaler Produkte dazu, grundlegende Cybersicherheitsanforderungen bereits bei der Entwicklung zu berücksichtigen und über den gesamten Produktlebenszyklus hinweg Sicherheitsupdates bereitzustellen. Ziel ist es, das allgemeine Sicherheitsniveau vernetzter Produkte innerhalb der Europäischen Union spürbar zu erhöhen.

Für Unternehmen ist der Cyber Resilience Act relevant, weil er neue Nachweis- und Meldepflichten für Hersteller und teils auch für Nutzer digitaler Produkte mit sich bringt. Betroffen sind insbesondere Software, vernetzte Geräte und andere Produkte mit digitalen Komponenten, die auf dem EU-Markt angeboten werden.

Für Architektur- und Ingenieurbüros ist dies vor allem relevant, wenn eingesetzte Software, IoT-Geräte oder digitale Planungswerkzeuge betroffen sind, deren Hersteller künftig verbindliche Sicherheitsstandards einhalten müssen. Dies kann mittelbar die Auswahl und Bewertung genutzter Softwareprodukte beeinflussen und zusätzliche Sicherheit für die eigene Projektarbeit schaffen.

Abzugrenzen ist der Cyber Resilience Act von Standards wie ISO 27001 oder einem ISMS, die freiwillige Rahmenwerke für das eigene Informationssicherheitsmanagement darstellen, sowie vom Begriff Critical National Infrastructure, der spezifisch besonders schützenswerte Infrastrukturen betrifft. Business Continuity Management ergänzt diese Regelwerke um Aspekte der betrieblichen Kontinuität.

Praxisrelevanz

Für Sie als Geschäftsführerin oder Geschäftsführer eines Planungsbüros ist der Cyber Resilience Act relevant, weil er mittelbar die Sicherheit der von Ihnen genutzten Software und digitalen Werkzeuge verbessert, da Hersteller künftig verbindliche Mindeststandards einhalten müssen. Ein grundlegendes Verständnis hilft Ihnen, bei der Auswahl neuer Softwareprodukte gezielt auf entsprechende Konformitätsnachweise zu achten und Anbieter danach zu bewerten, wie zuverlässig und langfristig sie Sicherheitsupdates für ihre Produkte bereitstellen. Für die Cyberversicherung kann relevant sein, dass die Einhaltung solcher regulatorischer Standards zunehmend Teil der allgemeinen Bewertung des IT-Sicherheitsniveaus eines Unternehmens wird und sich positiv auf Beratungsgespräche und mögliche Vertragskonditionen auswirken kann.

Praxisbeispiel

Ein Ingenieurbüro plant die Einführung einer neuen, vernetzten Messtechnik für Bauüberwachungsprojekte und prüft im Vorfeld verschiedene Anbieter. Ein Hersteller kann durch entsprechende Konformitätskennzeichnung glaubhaft nachweisen, dass sein Produkt die Anforderungen des Cyber Resilience Act erfüllt und über einen festgelegten Zeitraum regelmäßig mit Sicherheitsupdates versorgt wird. Ein anderer, günstigerer Anbieter kann zu dieser Frage keine klare Auskunft geben. Die Geschäftsführung entscheidet sich bewusst für das konformere Produkt, um langfristig ein geringeres Risiko unentdeckter Sicherheitslücken in der eingesetzten Messtechnik einzugehen und die eigene Projektarbeit besser abzusichern. Der gewählte Anbieter liefert zudem regelmäßige, dokumentierte Statusberichte zu allen relevanten Sicherheitsupdates.

FAQ

Was regelt der Cyber Resilience Act?

Der Cyber Resilience Act ist eine EU-Verordnung, die einheitliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen über deren gesamten Lebenszyklus hinweg festlegt.

Wer ist vom Cyber Resilience Act betroffen?

Betroffen sind vor allem Hersteller, Importeure und Händler von Software und vernetzten Geräten, die auf dem europäischen Markt angeboten werden.

Warum ist der Cyber Resilience Act für Ingenieurbüros relevant?

Genutzte Software und vernetzte Planungswerkzeuge müssen künftig verbindliche Sicherheitsstandards erfüllen, was die Sicherheit der eigenen Projektarbeit mittelbar erhöht.

Welche Rolle spielt der Cyber Resilience Act für die Cyberversicherung?

Die Einhaltung solcher regulatorischer Standards kann Teil der Bewertung des IT-Sicherheitsniveaus eines Unternehmens werden und Beratungsgespräche erleichtern.

Wie unterscheidet sich der Cyber Resilience Act von ISO 27001?

ISO 27001 ist ein freiwilliger Standard für das eigene Informationssicherheitsmanagement, während der Cyber Resilience Act verbindliche gesetzliche Anforderungen an Produkte selbst stellt.

Verwandte Begriffe

ISO 27001 – bietet ein freiwilliges Rahmenwerk, das die verbindlichen Anforderungen des Cyber Resilience Act sinnvoll ergänzen kann.

Business Continuity Management (BCM) – sichert die betriebliche Kontinuität ergänzend zu den produktbezogenen Anforderungen des Cyber Resilience Act.

Critical National Infrastructure (CNI) – unterliegt teilweise besonders strengen, verwandten regulatorischen Anforderungen.

ISMS (Informationssicherheitsmanagementsystem) – strukturiert die Umsetzung von Informationssicherheit und kann Anforderungen des Cyber Resilience Act unterstützen.