Cyber Resilience Act untersagt Produkte mit bekannten Sicherheitslücken
Ein Wendepunkt für die Cybersicherheit in der EU
Der Cyber Resilience Act (CRA) markiert einen entscheidenden Wendepunkt in der EU: Ab dem 11. Dezember 2027 dürfen Hersteller keine smarten Produkte mehr mit bekannten, ausnutzbaren Schwachstellen in den Verkehr bringen. Dieses cyber resilience act sicherheitslücken Verbot greift für alle neuen Produkte, die ab diesem Stichtag auf den EU-Markt kommen; zuvor eingeführte Produkte müssen nachgerüstet werden, wenn sie wesentlich verändert werden (Stand 2025).
Die Bedeutung von CVEs und ihre Rolle im CRA
Allein in den USA wurden im Jahr 2024 bisher 14.286 CVEs (Common Vulnerabilities and Exposures) auf der Website des National Institute of Standards and Technology veröffentlicht. Diese CVEs bezeichnen Sicherheitslücken, die Angriffe ermöglichen. Der CRA macht Schluss damit, dass Geräte mit bekannten, ausnutzbaren Schwachstellen ausgeliefert werden. Treten dennoch solche Lücken auf, haften Hersteller, Händler oder Importeure – auch die Unternehmensleitung ist adressiert. In der Praxis heißt das: kontinuierliches Schwachstellenmanagement, priorisierte Patches und dokumentierte Prozesse sind Pflicht über den gesamten Produktlebenszyklus.
Ab wann gilt das Verbot konkret?
Ab dem 11. Dezember 2027 müssen neue Produkte mit digitalen Elementen alle CRA-Anforderungen erfüllen; das Verbot bekannter Schwachstellen gilt damit verbindlich für Neuware. Ab dem 11. September 2026 greifen bereits erste Meldepflichten.
Für bestehende Produkte gilt: Werden sie nach dem Stichtag wesentlich verändert, müssen sie ebenfalls den CRA-Anforderungen entsprechen. Hersteller sollten daher bereits 2025/2026 ihre Produktlinien auf „Security by Design“ und belastbare Update-Prozesse umstellen. Details zu Geltungsbereich, Pflichten und Fristen bündelt das BSI-Überblick zum Cyber Resilience Act.
Welche Produkte sind betroffen – auch Smart-Home-Geräte?
Ja. Der CRA gilt horizontal für Hardware und Software mit „digitalen Elementen“, die direkt oder indirekt vernetzt werden können – von Babymonitoren, Smartwatches und Router‑Firmware bis zu Industrie-Controllern.
Dazu zählen im Smart-Living-Kontext typischerweise: smarte Kameras, Türklingeln, Heizungsregler, smarte Steckdosen, Sensoren, Fernseher, Lautsprecher, WLAN-Router, Mesh-Systeme sowie zugehörige Apps und Cloud-Dienste. Die Verordnung führt zudem Produktklassen mit erhöhten Anforderungen („wichtige“ und „kritische“ Produkte). Eine kompakte, juristisch eingeordnete Übersicht bietet Taylor Wessing mit Fristen und Pflichten.
Effektive Ansprüche auf sichere Software
Der CRA verankert „Security by Design“ und „Security by Default“ rechtlich. Kundinnen und Kunden – privat wie industriell – erhalten damit einen wirksamen Anspruch auf sichere Software und laufende Sicherheitsupdates. Der Wettlauf um Zero-Days bleibt bestehen, aber: Entdeckte, ausnutzbare Schwachstellen müssen zeitnah bewertet, behoben und dokumentiert werden. Aus Redaktionssicht sollten Hersteller jetzt CVE-Scans, SBOM-Management und ein verbindliches Patch-Backlog etablieren – sonst drohen Verzögerungen bei der CE-Konformität ab 2027.
Verpflichtende Prüfungen und Überwachung
Der CRA fordert verpflichtende Prüfungen, Überwachung und Dokumentation der Produkt-Cybersicherheit, inklusive Tests auf unbekannte Schwachstellen (Zero-Days). In der Praxis hat sich gezeigt: Wer bereits im Design verlässliche Update-Kanäle, Fallback-Mechanismen (Rollback) und eine Risiko-Priorisierung (CVSS) vorsieht, kann spätere Sicherheitslücken schneller schließen – und Ausfallzeiten im Feld minimieren.
Wissen um die eigenen Schwachstellen
Zero-Day steht für neu entdeckte Sicherheitslücken, über die Angreifer (noch) ungehindert eindringen können. Viele Hersteller kennen die potenziellen Schwachstellen eigener und zugekaufter Komponenten unzureichend – gerade bei Firmware von Zulieferern. Betroffen sein können alle IoT-Devices, ihre Firmware, Bootloader, Bibliotheken und Cloud-Backends. Aus der Praxis: Eine aktuelle, gepflegte SBOM macht Abhängigkeiten sichtbar, verkürzt die Zeit bis zur Bewertung und Patch-Entwicklung deutlich.
Automatisierte Schwachstellenerkennung
Automatisierte Analysen helfen, CVEs im Code und in Binär-Firmware zu erkennen, zu priorisieren und deren Ausnutzbarkeit einzuordnen. Für mittelständische Hersteller ist ein Toolchain-Mix aus SBOM-Generator, Vulnerability-Scanner, Lizenz-Compliance und Ticket-Integration (PSIRT-Workflow) erfahrungsgemäß der effizienteste Weg, um CRA-relevante Nachweise revisionssicher zu erzeugen.
Welche Pflichten gelten ab 2026 für Meldungen?
Ab dem 11. September 2026 müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle binnen 24 Stunden an das nationale CSIRT und an ENISA gemeldet werden.
Diese produktbezogene Meldepflicht verlangt einen klar definierten Incident-Response-Prozess mit 24/7-Erreichbarkeit, Triage, Impact-Analyse und zeitnaher Kundeninformation. Hersteller sollten PSIRT-Rollen, Eskalationspfade und Vorlagen für Sicherheitsmitteilungen jetzt festziehen. Empfehlenswert ist zudem ein Stresstest der Meldekette mit Tabletop-Übungen.
Risk-Assessment und Software Bill of Materials
Ein CRA-Assessment zeigt Lücken in Entwicklungs- und Update-Prozessen früh. Zwingend ist zudem die technische Dokumentation, inklusive Software Bill of Materials (SBOM), Patch-Policy, Vulnerability-Handling und Nachweisen zur Wirksamkeit von Maßnahmen. Für Smart-Home-Serien mit vielen Varianten sind automatisierte SBOMs und Delta-Analysen praktisch, um identische Schwachstellen quer über Produktfamilien zu schließen.
Erstellung und Überwachung der SBOM
SBOMs müssen aktuell gehalten und gegen öffentliche Datenbanken (z. B. NVD/CVE) gespiegelt werden, um neu veröffentlichte Schwachstellen in Abhängigkeiten rasch zu erkennen. Aus Redaktionssicht sinnvoll: SBOM-Checks in die CI/CD-Pipeline integrieren, CVE-Funde automatisch bewerten (CVSS/EPSS) und in ein PSIRT-Board einspeisen – das spart Zeit, reduziert Fehlalarme und schafft belastbare Compliance-Nachweise.
Automatisierung als Schlüssel zur Compliance
Ab Dezember 2027 erfordert die Konformität u. a. sichere Standardeinstellungen, kontinuierliches Schwachstellenmanagement, rechtzeitige Sicherheitsupdates und technische Dokumentation. Für viele Hersteller ist Automatisierung der Kernhebel, um Aufwand in Selbsterklärungen bzw. Zertifizierungen zu reduzieren und Fristen einzuhalten.
ONEKEY als führender Spezialist
Plattformen, die Firmware automatisiert analysieren, CVEs priorisieren und SBOMs erzeugen, beschleunigen die Vorbereitung auf den CRA – inklusive Unterstützung des Product-Security-Incident-Response-Teams (PSIRT). In der Praxis hat sich die Kombination aus Tooling und Beratung bewährt, um Prozesse vom Einkauf über Entwicklung bis End-of-Life abzusichern.
KI-basierte Technologie zur Schwachstellenidentifikation
KI-gestützte Binäranalysen identifizieren kritische Schwachstellen ohne Quellcodezugriff und liefern Angriffsflächen-Rankings binnen Minuten. Ergänzend ermöglichen „Digital Twins“ eine 24/7-Überwachung nach dem Release – ein Plus, um Exploit-Trends mit Feed-Daten zu korrelieren und risikobasiert zu patchen. Für den Smart-Home-Markt beschleunigt das Reaktionszeiten bei Routern, Hubs und Embedded-Geräten.
Integrierter Compliance-Workflow
Ein integrierter Compliance-Workflow verknüpft Schwachstellen-Priorisierung, SBOM-Pflege, Nachweisdokumentation und Konformitätsbewertung (z. B. gegen ETSI EN 303 645 oder IEC 62443-4-2). Das reduziert Audit-Aufwände und hilft, das cyber resilience act sicherheitslücken Verbot belastbar einzuhalten.
International führende Unternehmen setzen auf kontinuierliche Cyber-Resilienz
Global agierende Hersteller in Asien, Europa und Amerika richten PSIRTs ein, definieren Update-SLAs und koppeln Vulnerability-Scans an die Release-Pipeline. Im Smart-Living-Umfeld empfehlen wir: klare Verantwortlichkeiten, kleine sicherheitsfokussierte Firmware-Updates, Rollout in Wellen mit Telemetrie sowie eine transparente Kundenkommunikation zu sicherheitsrelevanten Versionen. Das stärkt Vertrauen – und senkt das Risiko von Rückrufen ab 2027.
Was sollten Hersteller jetzt konkret tun?
Hersteller sollten 2025 den CRA-Fahrplan operationalisieren und messbar machen.
- Produkt- und Variantenliste mit Risiko-Klasse erstellen; Lückenanalyse gegen CRA-Anforderungen.
- SBOM-Erstellung automatisieren; CVE-Monitoring und Priorisierung (CVSS/EPSS) etablieren.
- PSIRT aufbauen, 24h-Meldefähigkeit für 2026 testen; Vorlagen für CSIRT/ENISA-Meldungen vorbereiten.
- Sichere Update-Mechanismen (Signaturen, Rollback) und SLA für Sicherheitsupdates definieren.
- Technische Dokumentation und Konformitätsbewertung frühzeitig aufsetzen; Pilot-Audit durchführen.
Fazit
Der CRA macht Sicherheit zur Pflicht: Ab 11.12.2027 sind neue Produkte mit bekannten, ausnutzbaren Schwachstellen in der EU tabu. Ab 11.09.2026 gelten strenge Meldepflichten binnen 24 Stunden. Wer jetzt SBOM, CVE-Management, PSIRT und dokumentierte Update-Prozesse etabliert, erfüllt nicht nur das cyber resilience act sicherheitslücken Verbot, sondern reduziert auch Ausfälle und Haftungsrisiken. Aus Redaktionssicht lohnt sich der frühe Umbau – für schnellere Patches, verlässliche Compliance und mehr Vertrauen im Smart-Home-Markt.
Der Cyber Resilience Act ist ein wichtiger Schritt zur Verbesserung der Sicherheit von Smart-Living-Produkten. Er untersagt den Verkauf von Produkten mit bekannten Sicherheitslücken. Dies bedeutet, dass Hersteller ihre Produkte sorgfältiger testen und aktualisieren müssen, bevor sie auf den Markt kommen. Sicherheitslücken können erhebliche Risiken darstellen, besonders in Bereichen wie kritischen Infrastrukturen. Ein umfassender Ansatz zur Implementierung von Sicherheitslösungen ist daher unerlässlich. Mehr dazu erfahren Sie in unserem Artikel KRITIS Sicherheitslösungen ganzheitlich umsetzen.
Auch im Bereich der digitalen Zahlungsabwicklung sind Sicherheitslücken ein großes Thema. Arztpraxen und andere Gesundheitseinrichtungen müssen sicherstellen, dass ihre Systeme gegen Cyberangriffe geschützt sind. Der Cyber Resilience Act wird dazu beitragen, die Sicherheit in diesen Bereichen zu erhöhen. Weitere Informationen finden Sie in unserem Beitrag zur digitalisierten Zahlungsabwicklung Arztpraxen.
Ein weiteres Beispiel für die Bedeutung von Sicherheit im digitalen Raum ist der Schutz vor Identitätsdiebstahl in sozialen Medien. Der Cyber Resilience Act zielt darauf ab, auch hier die Sicherheitsstandards zu erhöhen. Tipps und Tricks, wie Sie sich schützen können, finden Sie in unserem Artikel zum Social-Media-Identitätsdiebstahl Schutz.
