Am 11. September 2026 endet für Hunderttausende Hersteller in Europa eine lange Schonfrist. Ab diesem Stichtag verpflichtet der Cyber Resilience Act jeden Anbieter eines vernetzten Produkts, aktiv ausgenützte Sicherheitslücken innerhalb von 24 Stunden an die EU-Agentur ENISA und das zuständige nationale CSIRT zu melden. Wer die Vorgaben verletzt, riskiert Strafen von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes. Für österreichische Unternehmen trifft diese EU-Verordnung auf ein ohnehin volles Regulierungsjahr, denn parallel läuft die Frist des NISG 2026 am 1. Oktober 2026 ab.
Der Cyber Resilience Act (CRA), formal die Verordnung (EU) 2024/2847, ist das erste EU-Gesetz, das verbindliche Cybersicherheitsanforderungen für praktisch alle Produkte mit digitalen Elementen festlegt. Vom smarten Türschloss über die Industriesteuerung bis zur Buchhaltungssoftware: Was Daten sendet oder empfängt, fällt in den Anwendungsbereich. Mit dem am 20. Januar 2026 vorgelegten EU-Cybersecurity-Paket hat die Kommission den regulatorischen Druck zusätzlich erhöht. Dieser Beitrag ordnet Fristen, Strafen, Marktfolgen und die spezielle Lage in Österreich ein.
Was der Cyber Resilience Act regelt
Der Cyber Resilience Act trat am 10. Dezember 2024 in Kraft, nachdem das Europäische Parlament den Text im März 2024 förmlich angenommen und der Rat ihn am 10. Oktober 2024 beschlossen hatte. Veröffentlicht wurde die Verordnung am 20. November 2024 im EU-Amtsblatt. Die meisten materiellen Pflichten greifen erst nach einer 36-monatigen Übergangsphase, also ab dem 11. Dezember 2027. Bis dahin haben Hersteller Zeit, ihre Produkte auf das Prinzip “security by design” umzustellen.
Der Kern der Verordnung verlagert die Verantwortung für Produktsicherheit auf die Hersteller. Konkret verlangt der CRA, dass Produkte ohne bekannte ausnützbare Schwachstellen auf den Markt kommen, dass Anbieter eine Software-Stückliste (SBOM) der verwendeten Drittkomponenten führen und dass Sicherheitsupdates über einen Support-Zeitraum von mindestens fünf Jahren bereitstehen. Dokumentation und Risikobewertung müssen über zehn Jahre oder den gesamten Support-Zeitraum aufbewahrt werden, je nachdem, welcher Zeitraum länger ist.
Die Anwaltskanzlei Taylor Wessing beschreibt die Reichweite in ihrer Analyse vom November 2025 als bewusst horizontal: Die Anforderungen gelten “grundsätzlich für alle Produkte mit digitalen Elementen, unabhängig vom Sektor oder Einsatzbereich”. Genau diese Breite macht den CRA für so viele Betriebe relevant, die sich bislang nicht als Cybersicherheitsunternehmen verstanden haben. Ein Hersteller von vernetzten Heizungsthermostaten unterliegt denselben Grundpflichten wie ein Softwarehaus.
Anders als die NIS2-Richtlinie, die sich an Betreiber kritischer und wichtiger Einrichtungen wendet, setzt der CRA am Produkt selbst an. Damit schließt die EU eine Lücke: Bisher konnte ein unsicheres Gerät legal verkauft werden, solange der Betreiber keine regulierte Einrichtung war. Künftig gilt: Ohne CRA-Konformität verliert ein Produkt die CE-Kennzeichnung und darf im EU-Binnenmarkt nicht mehr angeboten werden.
Die wichtigsten Fristen im Überblick
Der CRA folgt einem gestaffelten Zeitplan. Während die vollständige Anwendbarkeit erst Ende 2027 erreicht wird, greifen zwei zentrale Pflichten deutlich früher. Die Konformitätsbewertungsstellen müssen bereits ab Juni 2026 notifiziert sein, die Melde- und Berichtspflichten starten am 11. September 2026. Die folgende Tabelle fasst die Meilensteine zusammen.
| Datum | Meilenstein | Bedeutung für Hersteller |
|---|---|---|
| 10. Dezember 2024 | Inkrafttreten der Verordnung (EU) 2024/2847 | Start der Übergangsfristen, noch keine Pflichten |
| Juni 2026 | Kapitel IV anwendbar | Notifizierung der Konformitätsbewertungsstellen |
| 11. September 2026 | Melde- und Berichtspflichten | 24-Stunden-Meldung aktiv ausgenützter Lücken an ENISA und CSIRT |
| 11. Dezember 2027 | Vollständige Anwendbarkeit | Alle Produktanforderungen, CE-Konformität verpflichtend |
| nach 11. Dezember 2027 | Bestandsprodukte | Erfasst nur bei wesentlicher Änderung |
Wichtig für die Praxis: Produkte, die vor dem 11. Dezember 2027 in Verkehr gebracht wurden, fallen grundsätzlich nicht unter das neue Regime, solange sie nicht wesentlich verändert werden. Ein Software-Update, das neue Funktionen einführt, kann jedoch als wesentliche Änderung gelten und das Produkt nachträglich in den Anwendungsbereich ziehen. Hersteller mit langen Produktlebenszyklen, etwa in der Industrieautomation, sollten diese Schwelle genau prüfen.
Die zeitliche Nähe zur österreichischen NIS2-Umsetzung ist kein Zufall, sondern Ausdruck einer abgestimmten EU-Architektur. Wer in Österreich produziert und vertreibt, hat im Herbst 2026 zwei harte Stichtage fast zeitgleich auf dem Tisch: den CRA-Meldestart am 11. September und das vollständige Wirksamwerden des NISG 2026 am 1. Oktober.
Die 24-Stunden-Meldepflicht ab 11. September 2026
Das operativ schärfste Element des CRA ist die Meldepflicht für aktiv ausgenützte Schwachstellen. Ab dem 11. September 2026 muss ein Hersteller, der von einer solchen Lücke Kenntnis erlangt, innerhalb von 24 Stunden eine Erstmeldung an das zuständige nationale Computer Security Incident Response Team (CSIRT) und an ENISA absetzen. Ziel ist eine möglichst frühe Warnung des gesamten Marktes, bevor Angreifer eine Lücke breit ausnützen können.
Der Meldeprozess ist dreistufig angelegt. Die Erstmeldung nach 24 Stunden enthält vorläufige Angaben zum betroffenen Produkt, zur Art der Schwachstelle und zu möglichen Auswirkungen. Eine Folgemeldung nach 72 Stunden vertieft die technischen Details und dokumentiert den Stand der Gegenmaßnahmen. Der Abschlussbericht nach 14 Tagen liefert eine vollständige Ursachenanalyse, die umgesetzten Maßnahmen und die geplanten Sicherheitsupdates.
Diese Taktung ähnelt der Logik der NIS2-Richtlinie, die für Vorfälle bei wichtigen und wesentlichen Einrichtungen ebenfalls eine Frühwarnung binnen 24 Stunden vorsieht. Für österreichische Unternehmen bedeutet das eine doppelte Meldelandschaft: Ein produzierendes KMU kann sowohl als CRA-Hersteller als auch als NIS2-Einrichtung meldepflichtig sein, mit teils unterschiedlichen Adressaten. In Österreich laufen NIS-Meldungen über das Portal von CERT.at und GovCERT Austria, koordiniert vom Innenministerium als zentraler Anlaufstelle.
Praktisch zwingt die 24-Stunden-Frist viele Betriebe zu einem grundlegenden Umbau ihrer Prozesse. Eine Schwachstelle, die am Freitagabend bekannt wird, muss am Samstag gemeldet sein. Ohne ein definiertes Bereitschaftskonzept, klare Verantwortlichkeiten und vorbereitete Meldevorlagen ist diese Frist kaum zu halten. Wer hier improvisiert, riskiert nicht nur Strafen, sondern auch den Reputationsschaden einer verspäteten oder fehlerhaften Meldung.
Strafen bis 15 Millionen Euro oder 2,5 Prozent Umsatz
Der CRA setzt das Sanktionsniveau bewusst nahe an die DSGVO, um Abschreckung zu erzeugen. Die Bußgelder sind dreistufig gestaffelt und orientieren sich am weltweiten Jahresumsatz, sodass auch Großkonzerne spürbar getroffen werden. Maßgeblich ist jeweils der höhere der beiden Werte, also entweder der feste Eurobetrag oder der Prozentsatz vom Umsatz.
| Verstoß | Maximalstrafe | Prozent vom Umsatz |
|---|---|---|
| Verletzung der grundlegenden Cybersicherheitsanforderungen (Annex I) | 15 Mio. € | 2,5 % |
| Verletzung sonstiger Pflichten (z. B. Schwachstellenbehandlung, Dokumentation) | 10 Mio. € | 2,0 % |
| Falsche oder irreführende Angaben gegenüber Behörden | 5 Mio. € | 1,0 % |
Die höchste Stufe von 15 Millionen Euro oder 2,5 Prozent betrifft Verstöße gegen die wesentlichen Sicherheitsanforderungen aus Annex I sowie die Pflichten rund um Design und Bereitstellung. Die mittlere Stufe von 10 Millionen Euro oder 2 Prozent greift bei Verstößen gegen Schwachstellenbehandlung, Dokumentation und Behördenkooperation. Die unterste Stufe von 5 Millionen Euro oder 1 Prozent sanktioniert falsche, unvollständige oder irreführende Angaben gegenüber notifizierten Stellen und Marktüberwachungsbehörden. Die Strategie “wir haben den Bericht verloren” ist damit keine Option mehr.
Neben den Geldbußen verfügen die Marktüberwachungsbehörden über scharfe Instrumente: Sie können Produkte vom Markt nehmen, deren Bereitstellung untersagen oder Rückrufe anordnen. Für Hersteller wiegt dieser Marktausschluss oft schwerer als die Strafe selbst, denn ein nicht verkäufliches Produkt bedeutet sofortigen Umsatzausfall. Die Branchenplattform complycra.eu schätzt für die ersten sieben Jahre nach voller Wirksamkeit zwischen 5.322 und 8.843 verhängte Bußgelder mit einem Gesamtvolumen von 8,2 bis 13,6 Milliarden Euro, bei einer durchschnittlichen Strafhöhe von rund 1,54 Millionen Euro und einem Median von 5.000 bis 10.000 Euro.
Welche Produkte der CRA erfasst
Der Anwendungsbereich ist breit definiert. Erfasst sind “Produkte mit digitalen Elementen” (Products with Digital Elements, PDE), also Hardware und Software, deren bestimmungsgemäße oder vernünftigerweise vorhersehbare Nutzung eine direkte oder indirekte Datenverbindung zu einem Gerät oder Netzwerk umfasst. Das reicht von Betriebssystemen und mobilen Apps über Router und IoT-Sensoren bis zu industriellen Steuerungssystemen.
Der CRA unterscheidet zwischen Standardprodukten, “wichtigen” Produkten und “kritischen” Produkten. Diese Einstufung entscheidet darüber, wie streng die Konformitätsbewertung ausfällt. Für Standardprodukte genügt in der Regel eine Selbstbewertung des Herstellers. Wichtige Produkte unterliegen strengeren Verfahren, kritische Produkte den höchsten Anforderungen, teils mit verpflichtender Prüfung durch eine notifizierte Stelle. Zu den wichtigen Klassen zählen etwa Passwortmanager, Netzwerkmanagement-Tools, Firewalls und VPN-Lösungen.
Ausnahmen und Sonderfälle
Nicht alles fällt unter den CRA. Produkte, die bereits durch sektorspezifische EU-Regeln abgedeckt sind, etwa Medizinprodukte, Kraftfahrzeuge oder zivile Luftfahrt, bleiben außen vor, weil dort eigene Sicherheitsregime gelten. Reine Cloud-Dienste sind nicht direkt erfasst, da sie unter NIS2 fallen. Für die Open-Source-Welt gilt eine wichtige Erleichterung: Nicht-kommerzielle Open-Source-Entwickler unterliegen nicht den Bußgeldern, was eine zentrale Sorge der Community im Gesetzgebungsprozess war.
Für österreichische Hersteller ist die Einstufung der erste praktische Schritt. Wer ein “wichtiges” oder “kritisches” Produkt anbietet, muss früher und intensiver in Konformitätsbewertung, Dokumentation und Prüfprozesse investieren. Die Einordnung sollte daher noch 2026 erfolgen, damit genug Vorlauf bis zur vollen Anwendbarkeit Ende 2027 bleibt.
Das EU-Cybersecurity-Paket vom 20. Januar 2026
Am 20. Januar 2026 legte die EU-Kommission ein neues Cybersecurity-Paket vor, das den regulatorischen Rahmen weiter verdichtet. Es besteht aus zwei legislativen Strängen: einem Vorschlag zur Revision des EU Cybersecurity Act als Verordnung COM(2026) 11 sowie einem begleitenden Richtlinienvorschlag COM(2026) 13, der gezielte Vereinfachungs- und Klarstellungsmaßnahmen enthält, insbesondere zur Umsetzung der NIS-2-Richtlinie.
Der zentrale Neuerungssprung liegt in einem horizontalen Rahmen für “trusted ICT supply chain security” in kritischen Infrastrukturen. Die Kommission will einen Mechanismus etablieren, der es der EU und den Mitgliedstaaten erlaubt, strategische Risiken in den Lieferketten für kritische Informations- und Kommunikationstechnologie gemeinsam zu bewerten und mit verhältnismäßigen Maßnahmen zu adressieren. Der juristische Kern ist nicht die Fokussierung auf ein bestimmtes Herstellerland, sondern die Operationalisierung eines risikobasierten Mechanismus, der strategische Abhängigkeiten als Sicherheitsrisiko behandelt.
Der Vorschlag enthält “targeted amendments” zur NIS-2-Richtlinie, um Jurisdiktionsregeln zu vereinfachen, die Erhebung von Daten zu Ransomware-Angriffen zu straffen und die Aufsicht grenzüberschreitender Organisationen zu erleichtern. ENISA, die EU-Agentur für Cybersicherheit, erhält dabei eine gestärkte koordinierende Rolle. Die Vorschläge werden nun vom Europäischen Parlament und vom Rat der EU geprüft, eine Verabschiedung steht also noch aus.
Für Unternehmen bedeutet das Paket vor allem eines: Die EU baut ihre Cybersicherheitsregeln nicht zurück, sondern verzahnt sie enger. CRA, NIS2, DORA und der EU AI Act greifen wie Zahnräder ineinander und bilden gemeinsam eine europäische Architektur für digitale Resilienz. Die angekündigte “Vereinfachung” zielt eher auf konsistentere Aufsicht als auf weniger Pflichten.
Österreich-Perspektive: CRA trifft auf NISG 2026
Österreich hat bei der NIS2-Umsetzung lange gezögert. Der erste Entwurf, das NISG 2024, wurde im Juli 2024 im Nationalrat abgelehnt, weshalb die Republik die EU-Frist vom 17. Oktober 2024 verfehlte und ein Vertragsverletzungsverfahren riskierte. Am 7. Mai 2025 versandte die Kommission eine mit Gründen versehene Stellungnahme wegen fehlender vollständiger Umsetzung. Erst das NISG 2026, am 12. Dezember 2025 vom Nationalrat beschlossen und am 23. Dezember 2025 im Bundesgesetzblatt (BGBl. I Nr. 94/2025) veröffentlicht, brachte die Wende.
Das NISG 2026 tritt am 1. Oktober 2026 vollständig in Kraft. Bis dahin gilt das alte NISG 2018 weiter, das nur rund 1.000 designierte Betreiber erfasste. Mit dem neuen Regime steigt die Zahl der betroffenen Organisationen drastisch: Schätzungen reichen von rund 4.000 bis etwa 5.000 direkt erfassten Unternehmen, dazu kommen bis zu 50.000 Zulieferer, die über Lieferkettenanforderungen indirekt betroffen sind. Neu geschaffen wird das Bundesamt für Cybersicherheit, angesiedelt beim Innenministerium, als zentrale Aufsichtsbehörde.
Die Fristen für österreichische Einrichtungen sind eng: Nach Inkrafttreten müssen sich betroffene Unternehmen binnen drei Monaten, spätestens bis 31. Dezember 2026, registrieren. Innerhalb eines Jahres, also bis 30. September 2027, ist eine Selbstdeklaration über die umgesetzten Risikomanagement-Maßnahmen abzugeben. Bei Verstößen drohen nach NISG 2026 Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des Umsatzes für wesentliche Einrichtungen und mindestens 7 Millionen Euro oder 2 Prozent für wichtige Einrichtungen.
Die folgende Tabelle zeigt, wie sich die vier zentralen EU-Regelwerke für österreichische Unternehmen unterscheiden und überlagern.
| Regelwerk | Fokus | Zentrale Frist | Maximalstrafe |
|---|---|---|---|
| Cyber Resilience Act | Sicherheit digitaler Produkte | Meldepflicht 11.09.2026, voll 11.12.2027 | 15 Mio. € / 2,5 % |
| NIS2 / NISG 2026 | Cybersicherheit von Organisationen | 1. Oktober 2026 | 10 Mio. € / 2 % |
| DORA | Resilienz im Finanzsektor | in Kraft seit 17.01.2025 | je nach nationaler Regel |
| EU AI Act | Governance für KI-Systeme | Hochrisiko-Pflichten ab 2026 | 35 Mio. € / 7 % |
Für ein österreichisches Industrieunternehmen, das vernetzte Maschinen baut und gleichzeitig kritische Infrastruktur betreibt, heißt das: Es ist Hersteller im Sinne des CRA und wesentliche Einrichtung im Sinne des NISG 2026. Beide Pflichtenwelten müssen parallel erfüllt werden, mit teils getrennten Melde- und Dokumentationsstrukturen. Eine integrierte Compliance-Strategie spart hier erheblich Aufwand.
Marktauswirkungen für Hersteller und KMU
Der wirtschaftliche Effekt des CRA ist zweischneidig. Einerseits entsteht ein erheblicher Aufwand für Risikobewertung, SBOM-Pflege, Update-Bereitstellung über fünf Jahre und Meldeprozesse. Andererseits schafft die Verordnung einen verbindlichen Mindeststandard, der seriöse Anbieter gegenüber Billigware mit unsicherer Software bessergestellt. Wer Sicherheit ohnehin ernst nimmt, gewinnt einen Wettbewerbsvorteil, weil unsichere Konkurrenzprodukte den Marktzugang verlieren.
Besonders kleine und mittlere Unternehmen stehen vor einer Belastungsprobe. Die fünfjährige Update-Pflicht zwingt zu langfristiger Ressourcenplanung, die SBOM-Anforderung verlangt vollständige Transparenz über alle eingesetzten Drittkomponenten, und die 24-Stunden-Meldefrist setzt funktionierende Bereitschaftsprozesse voraus. Viele KMU werden externe Dienstleister oder Plattformlösungen brauchen, um diese Anforderungen überhaupt stemmen zu können. Der CRA berücksichtigt die KMU-Lage mit vereinfachten technischen Dokumentationen, hebt die Grundpflichten aber nicht auf.
Für den DACH-Raum ist die Dimension beträchtlich. Cyberkriminalität verursacht in der Region längst Milliardenschäden, und der regulatorische Druck steigt synchron. Hersteller, die früh investieren, können die Compliance als Verkaufsargument nutzen, gerade gegenüber öffentlichen Auftraggebern und Konzernen, die Lieferketten-Sicherheit zunehmend vertraglich einfordern. Wer wartet, riskiert dagegen, ab Ende 2027 ganze Produktlinien nicht mehr verkaufen zu dürfen.
Stimmen aus Industrie und Politik
Der Digitalverband Bitkom ordnete die EU-Initiative bei der Vorstellung am 20. Januar 2026 als Reaktion auf eine veränderte Bedrohungslage ein. In seiner Presseinformation heißt es: “Cyberangriffe treffen längst nicht mehr nur einzelne Unternehmen, sie gefährden kritische Infrastrukturen, ganze Lieferketten.” Der Verband sieht in der Überarbeitung des über sechs Jahre alten Cybersecurity Act einen überfälligen Schritt.
Die Europäische Kommission beschreibt das Paket selbst als Maßnahmenbündel zur Stärkung von Cybersicherheit, Resilienz und Fähigkeiten. Zuständig ist Henna Virkkunen, Exekutiv-Vizepräsidentin für technologische Souveränität, Sicherheit und Demokratie. Die Kommission betont, durch bessere Zertifizierung, eine gestärkte Agentur und einfachere Vorschriften das Schutzniveau in Europa heben zu wollen. Die Vorschläge durchlaufen nun das ordentliche Gesetzgebungsverfahren.
Aus der Rechtsberatung kommt der Hinweis auf den operativen Ernstfall. Taylor Wessing weist darauf hin, dass Marktüberwachungsbehörden Produkte zurückziehen, deren Bereitstellung untersagen oder Rückrufe anordnen können, zusätzlich zu den Bußgeldern nach Artikel 64 CRA. Damit wird Cybersicherheit zur produkthaftungsähnlichen Pflicht, deren Verletzung den Marktzugang kostet. Branchenanalysen aus dem DACH-Raum betonen ergänzend, dass NIS2 IT-Sicherheit “endgültig zur unternehmerischen Verantwortung” macht, weil die Geschäftsleitung persönlich in die Pflicht genommen wird.
Kritik kommt vor allem mit Blick auf den Aufwand. Die schiere Breite des Anwendungsbereichs und die Dokumentations- und Meldepflichten gelten als operative Belastung, gerade für kleinere Anbieter. Die Open-Source-Community hatte im Gesetzgebungsprozess gewarnt, dass eine Haftung freier Entwickler das europäische Software-Ökosystem schädigen könnte. Diese Sorge wurde mit der Ausnahme für nicht-kommerzielle Open-Source-Entwickler teilweise entschärft.
Historischer Kontext: Von NIS1 zur Resilienz-Architektur
Der CRA steht am vorläufigen Ende einer zehnjährigen Entwicklung. Mit der NIS-1-Richtlinie von 2016 begann die EU, Cybersicherheit verbindlich zu regeln, zunächst nur für Betreiber wesentlicher Dienste. Die NIS-2-Richtlinie, in Kraft seit 16. Januar 2023 und mit Umsetzungsfrist 17. Oktober 2024, weitete den Kreis auf 18 kritische Sektoren aus. DORA ergänzte ab 17. Januar 2025 ein eigenes Regime für den Finanzsektor, ohne Übergangsfristen.
Der CRA schließt nun die letzte große Lücke, indem er nicht Organisationen, sondern Produkte adressiert. Das Sanktionsmodell ist erkennbar an der DSGVO orientiert: hohe, umsatzbezogene Bußgelder als Abschreckung und ein extraterritorialer Geltungsanspruch, der jeden trifft, der im EU-Binnenmarkt anbietet, unabhängig vom Produktionsstandort. Ein Hersteller aus Asien oder den USA, der vernetzte Geräte in Österreich verkauft, unterliegt denselben Pflichten wie ein heimischer Anbieter.
Diese Entwicklung markiert einen Paradigmenwechsel. Cybersicherheit wandelt sich von einer freiwilligen Qualitätseigenschaft zu einer gesetzlichen Marktzugangsvoraussetzung. Die EU setzt damit, ähnlich wie bei der DSGVO, einen globalen Standard, an dem sich auch Hersteller außerhalb Europas orientieren müssen, wenn sie den größten Binnenmarkt der Welt nicht verlieren wollen.
Fünf Prognosen für 2026 und 2027
Erstens: Die 24-Stunden-Meldepflicht ab September 2026 wird zu einem sprunghaften Anstieg gemeldeter Schwachstellen bei ENISA führen. Viele Hersteller werden im Zweifel melden, um Strafen zu vermeiden, was die Aufsichtsbehörden in den ersten Monaten an Kapazitätsgrenzen bringen dürfte.
Zweitens: Ein Markt für CRA-Compliance-Dienstleistungen wird entstehen. SBOM-Tools, automatisierte Schwachstellenmeldung und Konformitätsbewertung werden zu einem eigenen Geschäftsfeld, von dem auch österreichische IT-Dienstleister profitieren.
Drittens: Bis Ende 2027 werden einzelne Billiganbieter, vor allem im IoT-Segment, den EU-Markt verlassen oder ihre Produkte aus den Regalen nehmen, weil sich die Update- und Dokumentationspflichten für margenschwache Geräte nicht rechnen.
Viertens: Lieferketten-Sicherheit wird vertraglich durchgereicht. Große Hersteller werden CRA-Konformität von ihren Zulieferern verlangen, sodass auch Betriebe, die selbst nicht direkt erfasst sind, faktisch in die Pflicht geraten. Die rund 50.000 indirekt betroffenen österreichischen Zulieferer spüren das zuerst.
Fünftens: Die ersten spektakulären Bußgelder werden frühestens 2028 verhängt, da die vollen Produktanforderungen erst ab Dezember 2027 greifen. Bis dahin dominiert die Vorbereitung, und die von complycra.eu geschätzten 8,2 bis 13,6 Milliarden Euro an Strafen bauen sich erst über sieben Jahre auf.
Was Unternehmen jetzt tun sollten
Die Vorbereitung sollte nicht bis 2027 warten. Der erste Schritt ist eine Bestandsaufnahme: Welche Produkte fallen unter den CRA, und in welche Klasse (Standard, wichtig, kritisch) sind sie einzuordnen? Parallel sollten Unternehmen prüfen, ob sie zusätzlich als NIS2-Einrichtung nach NISG 2026 gelten, denn die Registrierungsfrist endet bereits am 31. Dezember 2026.
- Produktinventar erstellen und CRA-Klassifizierung vornehmen
- Software-Stückliste (SBOM) für alle Produkte aufbauen
- Meldeprozess für die 24-Stunden-Frist definieren, inklusive Bereitschaft am Wochenende
- Update-Strategie über mindestens fünf Jahre Support festlegen
- NISG-2026-Registrierung bis 31. Dezember 2026 vorbereiten
- Lieferanten auf CRA-Konformität prüfen und vertraglich absichern
Wer diese Schritte 2026 angeht, hat ausreichend Vorlauf bis zur vollen Anwendbarkeit Ende 2027. Entscheidend ist, Compliance nicht als isoliertes Projekt zu behandeln, sondern CRA, NIS2 und gegebenenfalls DORA in einer gemeinsamen Sicherheitsstrategie zu bündeln. Das reduziert Doppelarbeit und schafft belastbare Prozesse für den Ernstfall.
Related Coverage
- NIS2 Österreich: 5.000 Betroffene, EU-Verfahren
- Cyberangriffe DACH 2026: 289 Mrd. € Schaden
- Cyberkriminalität Österreich: 62.328 Fälle
- Oracle-Datenleck: Cl0p trifft über 100 Firmen
- Akira Ransomware: 244 Mio. $, DACH im Visier
- Mehr aus dem Bereich Security
Häufige Fragen zum Cyber Resilience Act
Ab wann gilt der Cyber Resilience Act?
Der CRA trat am 10. Dezember 2024 in Kraft. Die Melde- und Berichtspflichten greifen ab 11. September 2026, die vollständige Anwendbarkeit für Produkte beginnt am 11. Dezember 2027. Die Notifizierung der Konformitätsbewertungsstellen ist bereits ab Juni 2026 relevant.
Wie hoch sind die Strafen nach dem Cyber Resilience Act?
Die Bußgelder reichen bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes bei Verstößen gegen die wesentlichen Sicherheitsanforderungen. Sonstige Pflichtverletzungen kosten bis zu 10 Millionen Euro oder 2 Prozent, falsche Behördenangaben bis zu 5 Millionen Euro oder 1 Prozent. Maßgeblich ist jeweils der höhere Wert.
Welche Produkte fallen unter den Cyber Resilience Act?
Erfasst sind alle Produkte mit digitalen Elementen, also Hardware und Software mit direkter oder indirekter Netzwerkverbindung. Ausgenommen sind Bereiche mit eigenen Sicherheitsregeln wie Medizinprodukte, Kraftfahrzeuge und Luftfahrt sowie Cloud-Dienste, die unter NIS2 fallen.
Wie unterscheidet sich der CRA von NIS2?
Der CRA reguliert die Sicherheit von Produkten, NIS2 die Cybersicherheit von Organisationen. In Österreich wird NIS2 durch das NISG 2026 umgesetzt, das am 1. Oktober 2026 vollständig in Kraft tritt und rund 4.000 bis 5.000 Unternehmen direkt betrifft. Viele Hersteller fallen unter beide Regelwerke gleichzeitig.
Gilt der Cyber Resilience Act auch für Open Source?
Nicht-kommerzielle Open-Source-Entwickler unterliegen nicht den Bußgeldern des CRA. Sobald Open-Source-Software jedoch im Rahmen einer kommerziellen Tätigkeit bereitgestellt wird, können die Pflichten greifen. Diese Abgrenzung war einer der zentralen Streitpunkte im Gesetzgebungsprozess.
Was müssen österreichische Unternehmen jetzt tun?
Unternehmen sollten ihre Produkte klassifizieren, eine Software-Stückliste aufbauen, einen Meldeprozess für die 24-Stunden-Frist einrichten und prüfen, ob sie zusätzlich nach NISG 2026 registrierungspflichtig sind. Die NISG-Registrierung endet am 31. Dezember 2026, die volle CRA-Anwendbarkeit folgt am 11. Dezember 2027.
