Mit dem Inkrafttreten des Cyber Resilience Act (CRA) steht Europa vor einem Wandel im Umgang mit der Sicherheit digitaler Produkte. Künftig wird nicht mehr allein die Funktionalität über den Marktzugang entscheiden, sondern auch die nachweisbare Cybersicherheit. Die Bundesregierung hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun laut Mitteilung vom 07.10.2025 offiziell als zuständige Behörde gegenüber der Europäischen Kommission benannt. Insofern übernimmt es die Marktüberwachung für Cyber Resilience Act.
Hintergrund zum CRA
Der EU-Rat hat den CRA Mitte Oktober 2024 verabschiedet. Die Regelung reagiert auf die wachsende Zahl von Cyberbedrohungen, die nicht nur Verbraucher, sondern auch Unternehmen und öffentliche Infrastrukturen gefährden können. Das gilt insbesondere vor dem Hintergrund immer wieder auftretender jüngster auch politisch motivierter Cyberangriffe aus dem Ausland. Ziel des Gesetzes ist es, Sicherheitsrisiken in digitalen Produkten systematisch zu minimieren und die Widerstandsfähigkeit der EU gegen Cyberangriffe zu stärken. Neben allgemeinen Sicherheitsanforderungen enthält der CRA auch spezifische Regelungen für Hochrisiko-KI-Systeme und stellt klare Vorgaben für den Umgang mit Schwachstellen sowie für die Benachrichtigung über Sicherheitsvorfälle auf. Damit verschiebt sich die Verantwortung für IT-Sicherheit deutlich in die Entwicklungs- und Produktverantwortung der Hersteller.
Mitte November hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits einen Leitfaden veröffentlicht, der als Orientierungshilfe für Unternehmen und Hersteller betroffener Produkte die grundlegenden Fragen zum CRA beantworten und Klarheit über den Anwendungsbereich, die Ausnahmen und die Cybersicherheitsanforderungen des Gesetzes schaffen soll.
Neue Rolle des BSI
Zur wirksamen Durchsetzung der Vorgaben bedarf es auch einer zuständigen und handlungsfähigen Behörde. Durch die Benennung als notifizierende und marktüberwachende Stelle erhält das BSI laut seiner Pressemitteilung nun eine entsprechende Doppelfunktion.
Als notifizierende Behörde wird das Amt zunächst künftig die Konformitätsbewertungsstelle. In ihrer Funktion als solche soll die Behörde zukünftig IT-Produkte unabhängig auf die Einhaltung der CRA-Vorgaben testen dürfen. Grundlage dafür sind die in Art. 39 CRA festgelegten Anforderungen, deren Umsetzung das BSI derzeit konkretisiere.
Daneben wird die Stelle als marktüberwachende Behörde dafür verantwortlich sein, die Einhaltung der Cybersicherheitsanforderungen zu kontrollieren. Dabei kann sie sowohl aktiv als auch reaktiv tätig werden. Aktiv bedeutet, dass das BSI Produkte stichprobenartig oder systematisch überprüft unabhängig von einem konkreten Anlass. Reaktiv wird das BSI tätig, wenn Hinweise auf Sicherheitsmängel, Schwachstellen oder sonstige Vorfälle vorliegen.
Stellt das BSI einen Verstoß fest, kann es Maßnahmen anordnen und empfindliche Sanktionen verhängen. Die Bußgelder, die der CRA vorsieht, können bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes des Unternehmens reichen. Darüber hinaus ist das BSI befugt, unsichere Produkte vollständig vom Markt zu nehmen, wenn diese die Anforderungen des CRA nicht erfüllen.
BSI-Präsidentin Claudia Plattner betonte in diesem Zusammenhang die strategische Bedeutung der neuen Aufgabe und versichert, die „Rolle sehr gewissenhaft“ auszuführen. Der CRA sei ein „Gamechanger für die Sicherheit digitaler Produkte“.
Übergangsfristen für die Umsetzung des CRA
Der CRA trat 20 Tage nach der Veröffentlichung im Amtsblatt, also am 10.12.2024 in Kraft. Die meisten Regelungen werden jedoch erst ab dem 11.12.2027 verbindlich. Es gibt aber auch einige Vorgaben, die bereits früher zu beachten sind. Diese Übergangsfristen sollen den Unternehmen ausreichend Zeit geben, sich auf die neuen Anforderungen vorzubereiten. So besteht bereits ab Juni 2026 die Möglichkeit die Einhaltung der Sicherheitsanforderungen durch eine Konformitätsbewertungsstelle kontrollieren zu lassen. Zudem gelten die Meldepflichten für Hersteller bei Schwachstellen und Sicherheitsvorfälle bereits ab dem 11.09.2026.
Fazit
Dass das BSI die Marktüberwachung für den Cyber Resilience Act übernimmt, markiert einen weiteren verwaltungstechnischen Schritt zu einem Paradigmenwechsel in der europäischen Cybersicherheitsarchitektur. Für Unternehmen bedeutet dies eine deutliche Verschärfung der Compliance-Anforderungen, aber auch die Chance, durch nachweisbare Sicherheit Wettbewerbsvorteile zu erzielen. Das BSI wird in seiner neuen Rolle zum zentralen Garanten dafür, dass Cybersicherheitsstandards nicht nur auf dem Papier stehen, sondern im Markt tatsächlich durchgesetzt werden. Insofern empfiehlt es sich einen Externen Compliancebeauftragten zur Unterstützung bei der Umsetzung der Anforderungen heranzuziehen.
