Cyber Resilience Act: BSI wird nationale Marktaufsichtsbehörde

Seit Oktober 2025 übernimmt in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Rolle der Marktaufsichtsbehörde. Es ist damit zentral für die Umsetzung und Überwachung des CRA verantwortlich.

10.10.2025
Leuchtendes, digitales Vorhängeschloss vor einem Hintergrund aus binären Zahlen und Datenströmen.
Einheitliche Standards für digitale Sicherheit

Der Cyber Resilience Act (CRA) soll gewährleisten, dass digitale Produkte künftig sicher entwickelt, betrieben und über ihren gesamten Lebenszyklus geschützt werden. Ziel ist es, die zunehmende Vernetzung innerhalb der EU mit einem einheitlichen Sicherheitsrahmen zu begleiten.

Hersteller müssen künftig nachweisen, dass sie Cybersicherheit systematisch in ihre Prozesse integrieren – von der Entwicklung über die Markteinführung bis zum laufenden Betrieb. Zudem fordert die Verordnung eine kontinuierliche Überprüfung und Verbesserung der Sicherheitsmaßnahmen.

Zentrale Pflichten umfassen:

  • Security by Design: Sicherheitsaspekte sind bereits in der Entwicklungsphase zu berücksichtigen.

  • Schwachstellenmanagement: Hersteller müssen Schwachstellen identifizieren, beheben und melden.

  • Regelmäßige Updates: Sicherheitsupdates sind über den gesamten Produktlebenszyklus bereitzustellen.

  • CE-Kennzeichnung: Die Konformität mit den Cybersicherheitsanforderungen ist Voraussetzung für den Marktzugang.

Der CRA schafft damit erstmals einen einheitlichen europäischen Standard für die Sicherheit digitaler Produkte und ergänzt die bestehende Produktregulierung um verbindliche Cybersicherheitsanforderungen.

Rechtsrahmen und Verhältnis zu bestehenden Gesetzen

Der Cyber Resilience Act (CRA) ist eine EU-Verordnung und entfaltet daher unmittelbare Geltung in allen Mitgliedstaaten. Er tritt ohne nationale Umsetzung in Kraft und ist direkt anwendbares Recht. Nationale Regelungen wie das Produktsicherheitsgesetz (ProdSG) können den CRA zwar ergänzen oder konkretisieren, dürfen jedoch weder im Widerspruch zu seinen Vorgaben stehen noch deren Wirkung einschränken.

Während das ProdSG festlegt, dass nur sichere Produkte auf den Markt gebracht werden dürfen, erweitert der CRA diese Anforderung um den Aspekt der Cybersicherheit. Die CE-Kennzeichnung bescheinigt künftig, dass ein Produkt sowohl technisch als auch digital sicher ist. Darüber hinaus wird das Produkthaftungsgesetz (ProdHaftG) an die neuen regulatorischen Anforderungen angepasst. Hersteller haften künftig auch für digitale Mängel, etwa unzureichende Updates oder bekannte Sicherheitslücken.

Der CRA zielt damit auf Prävention ab, während das ProdHaftG die haftungsrechtliche Konsequenz regelt. Zusammen bilden beide einen kohärenten Rechtsrahmen für Produktsicherheit und digitale Verantwortung.

Compliance als verbindlicher Bestandteil

Für Unternehmen führt der CRA zu einer Ausweitung bestehender Compliance-Pflichten. Cybersicherheit wird zu einem Bestandteil rechtlicher und organisatorischer Verantwortung.

IT-, Rechts- und Risikomanagementfunktionen müssen künftig enger zusammenarbeiten, um die Anforderungen umzusetzen und deren Einhaltung zu dokumentieren.
Sicherheit wird damit zu einem kontinuierlichen Prozess, der alle Phasen des Produktlebenszyklus umfasst – von der Entwicklung bis zur Lieferkette.

Wesentliche Compliance-Anforderungen sind:

  • Dokumentation von Sicherheitsmaßnahmen und Prüfprozessen

  • Integration von IT-Risiken in das betriebliche Risikomanagement

  • Etablierung von Meldeprozessen für Sicherheitsvorfälle

  • Einbeziehung von Lieferketten und Partnerunternehmen in Sicherheitsanforderungen

Unternehmen, die diese Strukturen frühzeitig etablieren, erfüllen nicht nur regulatorische Anforderungen, sondern stärken auch Transparenz und Nachvollziehbarkeit interner Prozesse.

Zeitplan und Ausblick

Seit Oktober 2025 übernimmt das BSI die Rolle der nationalen Marktaufsichtsbehörde und ist für die Überwachung der Einhaltung des CRA in Deutschland zuständig.

Die vollständige Anwendung der Verordnung ist ab 2027 vorgesehen, wenn alle Pflichten und Kontrollmechanismen EU-weit verbindlich greifen.

Der CRA, das ProdSG und das ProdHaftG bilden künftig ein verzahntes Regelwerk für Produktsicherheit, Haftung und Cybersicherheit.
Damit werden die Anforderungen an Unternehmen in Europa vereinheitlicht und die Grundlage für eine kohärente Umsetzung von Sicherheits- und Compliance-Standards geschaffen.

Mehr Informationen zu diesem Thema finden Sie hier:

heise.online: Cyber Resilience Act: BSI wird Marktaufsichtsbehörde

Bundesamt für Sicherheit in der Informationstechnik: Cyber Resilience Act

Bundesamt für Sicherheit in der Informationstechnik: Cyber Resilience Act: BSI wird marktüberwachende Behörde