Die Tragweite dieser Regulierung darf nicht unterschätzt werden. Betroffen sind sämtliche Produkte mit digitalen Elementen – von Smartwatches und Haushaltsgeräten über industrielle Steuerungen bis hin zu Embedded Systems. Hersteller, Importeure und Händler tragen gleichermaßen Verantwortung für die Einhaltung der Vorgaben. Bereits ab September 2026 müssen Sicherheitslücken gemeldet werden.
Im Kern verlangt der CRA eine radikale Verlagerung der Sicherheitsverantwortung in die Entwicklungsphase. Security by Design und Default wird zum Standard. Dazu kommt die Verpflichtung, eine Software Bill of Materials (SBOM) zu führen. Sie macht eingesetzte Softwarekomponenten sichtbar und hilft, Risiken in der Lieferkette zu erkennen und zu bewerten. Die Lieferkettensicherheit ist eines der kritischsten Themen, da Schwachstellen in Drittanbieter- und Open-Source-Komponenten die gesamte Integrität gefährden können.
Ein weiterer zentraler Aspekt ist die Lifecycle Security. Hersteller müssen ihre Produkte über den gesamten Lebenszyklus hinweg absichern – einschließlich Wartung, Monitoring und Patch-Management. Vorgeschrieben sind Sicherheitsupdates für mindestens fünf Jahre. In Industrien mit jahrzehntelangen Produktlaufzeiten bedeutet das einen enormen Aufwand. Unterschiedliche Betriebssysteme müssen gleichermaßen CRA-konform gemacht werden.
Die Umsetzung stellt Unternehmen vor große Herausforderungen. Die Übergangsfristen von 24 bzw. 36 Monaten sind angesichts oft mehrjähriger Entwicklungszyklen knapp bemessen. Hier können automatisierte Compliance-Tools entscheidend helfen, indem sie Schwachstellenanalysen, Risikobewertungen und die Pflege der SBOM effizient unterstützen.
Gleichzeitig bietet der CRA eine große Chance: Unternehmen, die frühzeitig auf die neuen Anforderungen reagieren, verschaffen sich einen handfesten Wettbewerbsvorteil. Proaktive Cybersicherheit stärkt das Vertrauen von Kunden und Geschäftspartnern und positioniert Hersteller als zuverlässige und zukunftsfähige Marktteilnehmer. Angesichts wachsender Bedrohungen im Cyberraum ist das nicht nur eine regulatorische Pflicht, sondern auch ein entscheidendes Verkaufsargument.
Die Botschaft ist eindeutig: Wer weiterhin im EU-Markt bestehen will, muss Cybersicherheit zur Priorität machen. Unternehmen sollten jetzt handeln – nicht erst, wenn die Fristen ablaufen. Nur wer Security by Design konsequent lebt, seine Lieferketten absichert und den gesamten Produktlebenszyklus im Blick behält, wird die Tür zum europäischen Markt auch künftig offenhalten können.
Von Jan Wendenburg, CEO des auf Product Cybersecurity & Compliance Management spezialisierten Unternehmens ONEKEY