Seit der Verabschiedung des Cyber Resilience Act (CRA) fragen sich viele Hersteller und Zulieferer, wie ernst es die Europäische Union mit der Umsetzung dieser neuen Verordnung meint. Wird es am Ende bei wohlklingenden Absichtserklärungen bleiben – oder folgt tatsächlich eine konsequente Marktüberwachung mit echten Konsequenzen?
Dieser Beitrag beleuchtet, warum der CRA mehr ist als ein regulatorisches Signal: Er ist ein verbindlicher Rechtsrahmen mit weitreichenden Pflichten, hohen Strafandrohungen und klaren Durchsetzungsmechanismen. Zahlreiche Fakten, offizielle Aussagen und strukturelle Vorbereitungen zeigen deutlich: Die EU wird den CRA durchsetzen – und erwartet dasselbe von der Industrie.<\/p>\n\n\n\n
Die EU baut beim CRA auf das etablierte System der Marktüberwachung: Nationale Marktüberwachungsbehörden sollen die Einhaltung der Vorgaben kontrollieren – etwa durch Inspektionen und Stichprobenprüfungen. Verstöße können dabei europaweit koordiniert verfolgt werden; die Behörden der Mitgliedstaaten teilen Informationen untereinander und mit der EU-Kommission, um ein einheitliches Vorgehen sicherzustellen. Die ENISA (die EU-Agentur für Cybersicherheit) erhält zudem eine zentrale Rolle: Sie koordiniert Meldungen zu Sicherheitsvorfällen und unterstützt die Aufsichtsbehörden auf EU-Ebene.<\/p>\n\n\n\n
Bemerkenswert ist, dass die EU-Kommission selbst bei Bedarf eingreifen kann, falls nationale Behörden zögerlich agieren. In „außergewöhnlichen Umständen“ darf die Kommission EU-weit Produkte vom Markt nehmen oder andere Korrekturmaßnahmen ergreifen, um die Cybersicherheit zu gewährleisten. Dies zeigt deutlich, dass die EU bereit ist, notfalls zentral durchzugreifen und den CRA nicht verwässern zu lassen. Auch praktisch ist eine aktive Überwachung geplant: So berichten Fachquellen, dass Marktaufsichtsbehörden gezielte „Sweeps” durchführen werden, um Verstöße systematisch aufzudecken. Insgesamt ist eine engmaschige Kontrolle vorgesehen, damit die neuen Cybersecurity-Pflichten für Produkte auch tatsächlich umgesetzt werden und nicht nur auf dem Papier stehen.<\/p>\n\n\n\n
Der Cyber Resilience Act sieht erhebliche Sanktionen vor, die vergleichbar mit den harten Strafen der DSGVO sind. Die Verordnung verpflichtet alle Mitgliedstaaten, „wirksame, verhältnismäßige und abschreckende“ Strafvorschriften zu erlassen. Konkret werden im CRA folgende Bußgeldrahmen vorgegeben:<\/p>\n\n\n\n
Die Befugnis der Kommission, im Ernstfall EU-weit den Vertrieb unsicherer Produkte zu stoppen, verschärft diesen Effekt zusätzlich. Die vorgesehenen Sanktionen sind also keineswegs symbolisch, sondern so bemessen, dass sie Unternehmen abschrecken und zur Compliance zwingen – vergleichbar mit den drastischen Strafen, die man seit der DSGVO kennt.<\/p>\n\n\n\n
Vertreter der EU-Institutionen haben öffentlich klar gemacht, dass der Cyber Resilience Act kein zahnloser Tiger sein wird.<\/p>\n\n\n\n
So betonte Henna Virkkunen von der Europäischen Kommission anlässlich des Inkrafttretens des CRA: „Wir sind entschlossen, Europa zu einem sicheren Ort für unsere Bürger und Unternehmen zu machen. Diese neue Verordnung ist ein großer Schritt nach vorn, um sicherzustellen, dass digitale Produkte in der EU kein Cyberrisiko für Verbraucher darstellen.”<\/a><\/p>\n\n\n\n Auch der spanische Technologieminister José Luis Escrivá, als Vertreter des EU-Ratsvorsitzes, erklärte zum politischen Abschluss der Verhandlungen: „Vernetzte Geräte brauchen ein grundlegendes Maß an Cybersicherheit, wenn sie in der EU verkauft werden… Genau das wird der Cyber Resilience Act erreichen, sobald er in Kraft ist.”.<\/a><\/p>\n\n\n\n Solche Aussagen zeigen, dass sowohl die EU-Kommission als auch die Mitgliedstaaten die Verordnung als bindend und essentiell für die Cybersicherheit betrachten. Zudem ist der CRA als EU-Verordnung unmittelbar in allen Mitgliedstaaten gültig und bedarf keiner Umsetzung in nationales Recht – das verhindert Unterschiede und Abschwächungen auf nationaler Ebene. Die Hauptpflichten gelten ab Dezember 2027 damit verbindlich in ganz Europa. Bereits diese Konstruktion garantiert einen einheitlichen, verpflichtenden Ordnungsrahmen. Die EU möchte damit – in den Worten von Kommissionspräsidentin von der Leyen – „gemeinsame europäische Cybersicherheits-Standards“ durchsetzen. Insgesamt lassen die offiziellen Verlautbarungen wenig Zweifel daran, dass der CRA mit Nachdruck umgesetzt werden soll. Ein “Verwässern” würde dem erklärten politischen Anspruch widersprechen, Europas digitalen Binnenmarkt sicherer zu machen.<\/p>\n\n\n\n