{"id":111,"date":"2026-06-17T08:19:06","date_gmt":"2026-06-17T08:19:06","guid":{"rendered":"https:\/\/shattered.io\/at\/2026\/06\/17\/cyber-resilience-act-2026\/"},"modified":"2026-06-17T08:20:49","modified_gmt":"2026-06-17T08:20:49","slug":"cyber-resilience-act-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/at\/cyber-resilience-act-2026\/","title":{"rendered":"Cyber Resilience Act: 15 Mio. \u20ac Strafe ab 2026"},"content":{"rendered":"\n

Am 11. September 2026 endet f\u00fcr Hunderttausende Hersteller in Europa eine lange Schonfrist. Ab diesem Stichtag verpflichtet der Cyber Resilience Act<\/strong> jeden Anbieter eines vernetzten Produkts, aktiv ausgen\u00fctzte Sicherheitsl\u00fccken innerhalb von 24 Stunden an die EU-Agentur ENISA und das zust\u00e4ndige nationale CSIRT zu melden. Wer die Vorgaben verletzt, riskiert Strafen von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes. F\u00fcr \u00f6sterreichische Unternehmen trifft diese EU-Verordnung auf ein ohnehin volles Regulierungsjahr, denn parallel l\u00e4uft die Frist des NISG 2026 am 1. Oktober 2026 ab.<\/p>\n\n\n\n

Der Cyber Resilience Act (CRA), formal die Verordnung (EU) 2024\/2847, ist das erste EU-Gesetz, das verbindliche Cybersicherheitsanforderungen f\u00fcr praktisch alle Produkte mit digitalen Elementen festlegt. Vom smarten T\u00fcrschloss \u00fcber die Industriesteuerung bis zur Buchhaltungssoftware: Was Daten sendet oder empf\u00e4ngt, f\u00e4llt in den Anwendungsbereich. Mit dem am 20. Januar 2026 vorgelegten EU-Cybersecurity-Paket hat die Kommission den regulatorischen Druck zus\u00e4tzlich erh\u00f6ht. Dieser Beitrag ordnet Fristen, Strafen, Marktfolgen und die spezielle Lage in \u00d6sterreich ein.<\/p>\n\n\n\n

Was der Cyber Resilience Act regelt<\/h2>\n\n\n\n

Der Cyber Resilience Act trat am 10. Dezember 2024 in Kraft, nachdem das Europ\u00e4ische Parlament den Text im M\u00e4rz 2024 f\u00f6rmlich angenommen und der Rat ihn am 10. Oktober 2024 beschlossen hatte. Ver\u00f6ffentlicht wurde die Verordnung am 20. November 2024 im EU-Amtsblatt. Die meisten materiellen Pflichten greifen erst nach einer 36-monatigen \u00dcbergangsphase, also ab dem 11. Dezember 2027. Bis dahin haben Hersteller Zeit, ihre Produkte auf das Prinzip “security by design” umzustellen.<\/p>\n\n\n\n

Der Kern der Verordnung verlagert die Verantwortung f\u00fcr Produktsicherheit auf die Hersteller. Konkret verlangt der CRA, dass Produkte ohne bekannte ausn\u00fctzbare Schwachstellen auf den Markt kommen, dass Anbieter eine Software-St\u00fcckliste (SBOM) der verwendeten Drittkomponenten f\u00fchren und dass Sicherheitsupdates \u00fcber einen Support-Zeitraum von mindestens f\u00fcnf Jahren bereitstehen. Dokumentation und Risikobewertung m\u00fcssen \u00fcber zehn Jahre oder den gesamten Support-Zeitraum aufbewahrt werden, je nachdem, welcher Zeitraum l\u00e4nger ist.<\/p>\n\n\n\n

Die Anwaltskanzlei Taylor Wessing beschreibt die Reichweite in ihrer Analyse vom November 2025 als bewusst horizontal: Die Anforderungen gelten “grunds\u00e4tzlich f\u00fcr alle Produkte mit digitalen Elementen, unabh\u00e4ngig vom Sektor oder Einsatzbereich”. Genau diese Breite macht den CRA f\u00fcr so viele Betriebe relevant, die sich bislang nicht als Cybersicherheitsunternehmen verstanden haben. Ein Hersteller von vernetzten Heizungsthermostaten unterliegt denselben Grundpflichten wie ein Softwarehaus.<\/p>\n\n\n\n

Anders als die NIS2-Richtlinie, die sich an Betreiber kritischer und wichtiger Einrichtungen wendet, setzt der CRA am Produkt selbst an. Damit schlie\u00dft die EU eine L\u00fccke: Bisher konnte ein unsicheres Ger\u00e4t legal verkauft werden, solange der Betreiber keine regulierte Einrichtung war. K\u00fcnftig gilt: Ohne CRA-Konformit\u00e4t verliert ein Produkt die CE-Kennzeichnung und darf im EU-Binnenmarkt nicht mehr angeboten werden.<\/p>\n\n\n\n

Die wichtigsten Fristen im \u00dcberblick<\/h2>\n\n\n\n

Der CRA folgt einem gestaffelten Zeitplan. W\u00e4hrend die vollst\u00e4ndige Anwendbarkeit erst Ende 2027 erreicht wird, greifen zwei zentrale Pflichten deutlich fr\u00fcher. Die Konformit\u00e4tsbewertungsstellen m\u00fcssen bereits ab Juni 2026 notifiziert sein, die Melde- und Berichtspflichten starten am 11. September 2026. Die folgende Tabelle fasst die Meilensteine zusammen.<\/p>\n\n\n\n

Datum<\/th>Meilenstein<\/th>Bedeutung f\u00fcr Hersteller<\/th><\/tr><\/thead>
10. Dezember 2024<\/td>Inkrafttreten der Verordnung (EU) 2024\/2847<\/td>Start der \u00dcbergangsfristen, noch keine Pflichten<\/td><\/tr>
Juni 2026<\/td>Kapitel IV anwendbar<\/td>Notifizierung der Konformit\u00e4tsbewertungsstellen<\/td><\/tr>
11. September 2026<\/td>Melde- und Berichtspflichten<\/td>24-Stunden-Meldung aktiv ausgen\u00fctzter L\u00fccken an ENISA und CSIRT<\/td><\/tr>
11. Dezember 2027<\/td>Vollst\u00e4ndige Anwendbarkeit<\/td>Alle Produktanforderungen, CE-Konformit\u00e4t verpflichtend<\/td><\/tr>
nach 11. Dezember 2027<\/td>Bestandsprodukte<\/td>Erfasst nur bei wesentlicher \u00c4nderung<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Wichtig f\u00fcr die Praxis: Produkte, die vor dem 11. Dezember 2027 in Verkehr gebracht wurden, fallen grunds\u00e4tzlich nicht unter das neue Regime, solange sie nicht wesentlich ver\u00e4ndert werden. Ein Software-Update, das neue Funktionen einf\u00fchrt, kann jedoch als wesentliche \u00c4nderung gelten und das Produkt nachtr\u00e4glich in den Anwendungsbereich ziehen. Hersteller mit langen Produktlebenszyklen, etwa in der Industrieautomation, sollten diese Schwelle genau pr\u00fcfen.<\/p>\n\n\n\n

Die zeitliche N\u00e4he zur \u00f6sterreichischen NIS2-Umsetzung ist kein Zufall, sondern Ausdruck einer abgestimmten EU-Architektur. Wer in \u00d6sterreich produziert und vertreibt, hat im Herbst 2026 zwei harte Stichtage fast zeitgleich auf dem Tisch: den CRA-Meldestart am 11. September und das vollst\u00e4ndige Wirksamwerden des NISG 2026 am 1. Oktober.<\/p>\n\n\n\n

Die 24-Stunden-Meldepflicht ab 11. September 2026<\/h2>\n\n\n\n

Das operativ sch\u00e4rfste Element des CRA ist die Meldepflicht f\u00fcr aktiv ausgen\u00fctzte Schwachstellen. Ab dem 11. September 2026 muss ein Hersteller, der von einer solchen L\u00fccke Kenntnis erlangt, innerhalb von 24 Stunden eine Erstmeldung an das zust\u00e4ndige nationale Computer Security Incident Response Team (CSIRT) und an ENISA absetzen. Ziel ist eine m\u00f6glichst fr\u00fche Warnung des gesamten Marktes, bevor Angreifer eine L\u00fccke breit ausn\u00fctzen k\u00f6nnen.<\/p>\n\n\n\n

Der Meldeprozess ist dreistufig angelegt. Die Erstmeldung nach 24 Stunden enth\u00e4lt vorl\u00e4ufige Angaben zum betroffenen Produkt, zur Art der Schwachstelle und zu m\u00f6glichen Auswirkungen. Eine Folgemeldung nach 72 Stunden vertieft die technischen Details und dokumentiert den Stand der Gegenma\u00dfnahmen. Der Abschlussbericht nach 14 Tagen liefert eine vollst\u00e4ndige Ursachenanalyse, die umgesetzten Ma\u00dfnahmen und die geplanten Sicherheitsupdates.<\/p>\n\n\n\n

Diese Taktung \u00e4hnelt der Logik der NIS2-Richtlinie, die f\u00fcr Vorf\u00e4lle bei wichtigen und wesentlichen Einrichtungen ebenfalls eine Fr\u00fchwarnung binnen 24 Stunden vorsieht. F\u00fcr \u00f6sterreichische Unternehmen bedeutet das eine doppelte Meldelandschaft: Ein produzierendes KMU kann sowohl als CRA-Hersteller als auch als NIS2-Einrichtung meldepflichtig sein, mit teils unterschiedlichen Adressaten. In \u00d6sterreich laufen NIS-Meldungen \u00fcber das Portal von CERT.at und GovCERT Austria, koordiniert vom Innenministerium als zentraler Anlaufstelle.<\/p>\n\n\n\n

Praktisch zwingt die 24-Stunden-Frist viele Betriebe zu einem grundlegenden Umbau ihrer Prozesse. Eine Schwachstelle, die am Freitagabend bekannt wird, muss am Samstag gemeldet sein. Ohne ein definiertes Bereitschaftskonzept, klare Verantwortlichkeiten und vorbereitete Meldevorlagen ist diese Frist kaum zu halten. Wer hier improvisiert, riskiert nicht nur Strafen, sondern auch den Reputationsschaden einer versp\u00e4teten oder fehlerhaften Meldung.<\/p>\n\n\n\n

Strafen bis 15 Millionen Euro oder 2,5 Prozent Umsatz<\/h2>\n\n\n\n

Der CRA setzt das Sanktionsniveau bewusst nahe an die DSGVO, um Abschreckung zu erzeugen. Die Bu\u00dfgelder sind dreistufig gestaffelt und orientieren sich am weltweiten Jahresumsatz, sodass auch Gro\u00dfkonzerne sp\u00fcrbar getroffen werden. Ma\u00dfgeblich ist jeweils der h\u00f6here der beiden Werte, also entweder der feste Eurobetrag oder der Prozentsatz vom Umsatz.<\/p>\n\n\n\n

Versto\u00df<\/th>Maximalstrafe<\/th>Prozent vom Umsatz<\/th><\/tr><\/thead>
Verletzung der grundlegenden Cybersicherheitsanforderungen (Annex I)<\/td>15 Mio. \u20ac<\/td>2,5 %<\/td><\/tr>
Verletzung sonstiger Pflichten (z. B. Schwachstellenbehandlung, Dokumentation)<\/td>10 Mio. \u20ac<\/td>2,0 %<\/td><\/tr>
Falsche oder irref\u00fchrende Angaben gegen\u00fcber Beh\u00f6rden<\/td>5 Mio. \u20ac<\/td>1,0 %<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Die h\u00f6chste Stufe von 15 Millionen Euro oder 2,5 Prozent betrifft Verst\u00f6\u00dfe gegen die wesentlichen Sicherheitsanforderungen aus Annex I sowie die Pflichten rund um Design und Bereitstellung. Die mittlere Stufe von 10 Millionen Euro oder 2 Prozent greift bei Verst\u00f6\u00dfen gegen Schwachstellenbehandlung, Dokumentation und Beh\u00f6rdenkooperation. Die unterste Stufe von 5 Millionen Euro oder 1 Prozent sanktioniert falsche, unvollst\u00e4ndige oder irref\u00fchrende Angaben gegen\u00fcber notifizierten Stellen und Markt\u00fcberwachungsbeh\u00f6rden. Die Strategie “wir haben den Bericht verloren” ist damit keine Option mehr.<\/p>\n\n\n\n

Neben den Geldbu\u00dfen verf\u00fcgen die Markt\u00fcberwachungsbeh\u00f6rden \u00fcber scharfe Instrumente: Sie k\u00f6nnen Produkte vom Markt nehmen, deren Bereitstellung untersagen oder R\u00fcckrufe anordnen. F\u00fcr Hersteller wiegt dieser Marktausschluss oft schwerer als die Strafe selbst, denn ein nicht verk\u00e4ufliches Produkt bedeutet sofortigen Umsatzausfall. Die Branchenplattform complycra.eu sch\u00e4tzt f\u00fcr die ersten sieben Jahre nach voller Wirksamkeit zwischen 5.322 und 8.843 verh\u00e4ngte Bu\u00dfgelder mit einem Gesamtvolumen von 8,2 bis 13,6 Milliarden Euro, bei einer durchschnittlichen Strafh\u00f6he von rund 1,54 Millionen Euro und einem Median von 5.000 bis 10.000 Euro.<\/p>\n\n\n\n

Welche Produkte der CRA erfasst<\/h2>\n\n\n\n

Der Anwendungsbereich ist breit definiert. Erfasst sind “Produkte mit digitalen Elementen” (Products with Digital Elements, PDE), also Hardware und Software, deren bestimmungsgem\u00e4\u00dfe oder vern\u00fcnftigerweise vorhersehbare Nutzung eine direkte oder indirekte Datenverbindung zu einem Ger\u00e4t oder Netzwerk umfasst. Das reicht von Betriebssystemen und mobilen Apps \u00fcber Router und IoT-Sensoren bis zu industriellen Steuerungssystemen.<\/p>\n\n\n\n

Der CRA unterscheidet zwischen Standardprodukten, “wichtigen” Produkten und “kritischen” Produkten. Diese Einstufung entscheidet dar\u00fcber, wie streng die Konformit\u00e4tsbewertung ausf\u00e4llt. F\u00fcr Standardprodukte gen\u00fcgt in der Regel eine Selbstbewertung des Herstellers. Wichtige Produkte unterliegen strengeren Verfahren, kritische Produkte den h\u00f6chsten Anforderungen, teils mit verpflichtender Pr\u00fcfung durch eine notifizierte Stelle. Zu den wichtigen Klassen z\u00e4hlen etwa Passwortmanager, Netzwerkmanagement-Tools, Firewalls und VPN-L\u00f6sungen.<\/p>\n\n\n\n

Ausnahmen und Sonderf\u00e4lle<\/h3>\n\n\n\n

Nicht alles f\u00e4llt unter den CRA. Produkte, die bereits durch sektorspezifische EU-Regeln abgedeckt sind, etwa Medizinprodukte, Kraftfahrzeuge oder zivile Luftfahrt, bleiben au\u00dfen vor, weil dort eigene Sicherheitsregime gelten. Reine Cloud-Dienste sind nicht direkt erfasst, da sie unter NIS2 fallen. F\u00fcr die Open-Source-Welt gilt eine wichtige Erleichterung: Nicht-kommerzielle Open-Source-Entwickler unterliegen nicht den Bu\u00dfgeldern, was eine zentrale Sorge der Community im Gesetzgebungsprozess war.<\/p>\n\n\n\n

F\u00fcr \u00f6sterreichische Hersteller ist die Einstufung der erste praktische Schritt. Wer ein “wichtiges” oder “kritisches” Produkt anbietet, muss fr\u00fcher und intensiver in Konformit\u00e4tsbewertung, Dokumentation und Pr\u00fcfprozesse investieren. Die Einordnung sollte daher noch 2026 erfolgen, damit genug Vorlauf bis zur vollen Anwendbarkeit Ende 2027 bleibt.<\/p>\n\n\n\n

Das EU-Cybersecurity-Paket vom 20. Januar 2026<\/h2>\n\n\n\n

Am 20. Januar 2026 legte die EU-Kommission ein neues Cybersecurity-Paket vor, das den regulatorischen Rahmen weiter verdichtet. Es besteht aus zwei legislativen Str\u00e4ngen: einem Vorschlag zur Revision des EU Cybersecurity Act als Verordnung COM(2026) 11 sowie einem begleitenden Richtlinienvorschlag COM(2026) 13, der gezielte Vereinfachungs- und Klarstellungsma\u00dfnahmen enth\u00e4lt, insbesondere zur Umsetzung der NIS-2-Richtlinie.<\/p>\n\n\n\n

Der zentrale Neuerungssprung liegt in einem horizontalen Rahmen f\u00fcr “trusted ICT supply chain security” in kritischen Infrastrukturen. Die Kommission will einen Mechanismus etablieren, der es der EU und den Mitgliedstaaten erlaubt, strategische Risiken in den Lieferketten f\u00fcr kritische Informations- und Kommunikationstechnologie gemeinsam zu bewerten und mit verh\u00e4ltnism\u00e4\u00dfigen Ma\u00dfnahmen zu adressieren. Der juristische Kern ist nicht die Fokussierung auf ein bestimmtes Herstellerland, sondern die Operationalisierung eines risikobasierten Mechanismus, der strategische Abh\u00e4ngigkeiten als Sicherheitsrisiko behandelt.<\/p>\n\n\n\n

Der Vorschlag enth\u00e4lt “targeted amendments” zur NIS-2-Richtlinie, um Jurisdiktionsregeln zu vereinfachen, die Erhebung von Daten zu Ransomware-Angriffen zu straffen und die Aufsicht grenz\u00fcberschreitender Organisationen zu erleichtern. ENISA, die EU-Agentur f\u00fcr Cybersicherheit, erh\u00e4lt dabei eine gest\u00e4rkte koordinierende Rolle. Die Vorschl\u00e4ge werden nun vom Europ\u00e4ischen Parlament und vom Rat der EU gepr\u00fcft, eine Verabschiedung steht also noch aus.<\/p>\n\n\n\n

F\u00fcr Unternehmen bedeutet das Paket vor allem eines: Die EU baut ihre Cybersicherheitsregeln nicht zur\u00fcck, sondern verzahnt sie enger. CRA, NIS2, DORA und der EU AI Act greifen wie Zahnr\u00e4der ineinander und bilden gemeinsam eine europ\u00e4ische Architektur f\u00fcr digitale Resilienz. Die angek\u00fcndigte “Vereinfachung” zielt eher auf konsistentere Aufsicht als auf weniger Pflichten.<\/p>\n\n\n\n

\u00d6sterreich-Perspektive: CRA trifft auf NISG 2026<\/h2>\n\n\n\n

\u00d6sterreich hat bei der NIS2-Umsetzung lange gez\u00f6gert. Der erste Entwurf, das NISG 2024, wurde im Juli 2024 im Nationalrat abgelehnt, weshalb die Republik die EU-Frist vom 17. Oktober 2024 verfehlte und ein Vertragsverletzungsverfahren riskierte. Am 7. Mai 2025 versandte die Kommission eine mit Gr\u00fcnden versehene Stellungnahme wegen fehlender vollst\u00e4ndiger Umsetzung. Erst das NISG 2026, am 12. Dezember 2025 vom Nationalrat beschlossen und am 23. Dezember 2025 im Bundesgesetzblatt (BGBl. I Nr. 94\/2025) ver\u00f6ffentlicht, brachte die Wende.<\/p>\n\n\n\n

Das NISG 2026 tritt am 1. Oktober 2026 vollst\u00e4ndig in Kraft. Bis dahin gilt das alte NISG 2018 weiter, das nur rund 1.000 designierte Betreiber erfasste. Mit dem neuen Regime steigt die Zahl der betroffenen Organisationen drastisch: Sch\u00e4tzungen reichen von rund 4.000 bis etwa 5.000 direkt erfassten Unternehmen, dazu kommen bis zu 50.000 Zulieferer, die \u00fcber Lieferkettenanforderungen indirekt betroffen sind. Neu geschaffen wird das Bundesamt f\u00fcr Cybersicherheit, angesiedelt beim Innenministerium, als zentrale Aufsichtsbeh\u00f6rde.<\/p>\n\n\n\n

Die Fristen f\u00fcr \u00f6sterreichische Einrichtungen sind eng: Nach Inkrafttreten m\u00fcssen sich betroffene Unternehmen binnen drei Monaten, sp\u00e4testens bis 31. Dezember 2026, registrieren. Innerhalb eines Jahres, also bis 30. September 2027, ist eine Selbstdeklaration \u00fcber die umgesetzten Risikomanagement-Ma\u00dfnahmen abzugeben. Bei Verst\u00f6\u00dfen drohen nach NISG 2026 Bu\u00dfgelder von bis zu 10 Millionen Euro oder 2 Prozent des Umsatzes f\u00fcr wesentliche Einrichtungen und mindestens 7 Millionen Euro oder 2 Prozent f\u00fcr wichtige Einrichtungen.<\/p>\n\n\n\n

Die folgende Tabelle zeigt, wie sich die vier zentralen EU-Regelwerke f\u00fcr \u00f6sterreichische Unternehmen unterscheiden und \u00fcberlagern.<\/p>\n\n\n\n

Regelwerk<\/th>Fokus<\/th>Zentrale Frist<\/th>Maximalstrafe<\/th><\/tr><\/thead>
Cyber Resilience Act<\/td>Sicherheit digitaler Produkte<\/td>Meldepflicht 11.09.2026, voll 11.12.2027<\/td>15 Mio. \u20ac \/ 2,5 %<\/td><\/tr>
NIS2 \/ NISG 2026<\/td>Cybersicherheit von Organisationen<\/td>1. Oktober 2026<\/td>10 Mio. \u20ac \/ 2 %<\/td><\/tr>
DORA<\/td>Resilienz im Finanzsektor<\/td>in Kraft seit 17.01.2025<\/td>je nach nationaler Regel<\/td><\/tr>
EU AI Act<\/td>Governance f\u00fcr KI-Systeme<\/td>Hochrisiko-Pflichten ab 2026<\/td>35 Mio. \u20ac \/ 7 %<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

F\u00fcr ein \u00f6sterreichisches Industrieunternehmen, das vernetzte Maschinen baut und gleichzeitig kritische Infrastruktur betreibt, hei\u00dft das: Es ist Hersteller im Sinne des CRA und wesentliche Einrichtung im Sinne des NISG 2026. Beide Pflichtenwelten m\u00fcssen parallel erf\u00fcllt werden, mit teils getrennten Melde- und Dokumentationsstrukturen. Eine integrierte Compliance-Strategie spart hier erheblich Aufwand.<\/p>\n\n\n\n

Marktauswirkungen f\u00fcr Hersteller und KMU<\/h2>\n\n\n\n

Der wirtschaftliche Effekt des CRA ist zweischneidig. Einerseits entsteht ein erheblicher Aufwand f\u00fcr Risikobewertung, SBOM-Pflege, Update-Bereitstellung \u00fcber f\u00fcnf Jahre und Meldeprozesse. Andererseits schafft die Verordnung einen verbindlichen Mindeststandard, der seri\u00f6se Anbieter gegen\u00fcber Billigware mit unsicherer Software bessergestellt. Wer Sicherheit ohnehin ernst nimmt, gewinnt einen Wettbewerbsvorteil, weil unsichere Konkurrenzprodukte den Marktzugang verlieren.<\/p>\n\n\n\n

Besonders kleine und mittlere Unternehmen stehen vor einer Belastungsprobe. Die f\u00fcnfj\u00e4hrige Update-Pflicht zwingt zu langfristiger Ressourcenplanung, die SBOM-Anforderung verlangt vollst\u00e4ndige Transparenz \u00fcber alle eingesetzten Drittkomponenten, und die 24-Stunden-Meldefrist setzt funktionierende Bereitschaftsprozesse voraus. Viele KMU werden externe Dienstleister oder Plattforml\u00f6sungen brauchen, um diese Anforderungen \u00fcberhaupt stemmen zu k\u00f6nnen. Der CRA ber\u00fccksichtigt die KMU-Lage mit vereinfachten technischen Dokumentationen, hebt die Grundpflichten aber nicht auf.<\/p>\n\n\n\n

F\u00fcr den DACH-Raum ist die Dimension betr\u00e4chtlich. Cyberkriminalit\u00e4t verursacht in der Region l\u00e4ngst Milliardensch\u00e4den, und der regulatorische Druck steigt synchron. Hersteller, die fr\u00fch investieren, k\u00f6nnen die Compliance als Verkaufsargument nutzen, gerade gegen\u00fcber \u00f6ffentlichen Auftraggebern und Konzernen, die Lieferketten-Sicherheit zunehmend vertraglich einfordern. Wer wartet, riskiert dagegen, ab Ende 2027 ganze Produktlinien nicht mehr verkaufen zu d\u00fcrfen.<\/p>\n\n\n\n

Stimmen aus Industrie und Politik<\/h2>\n\n\n\n

Der Digitalverband Bitkom ordnete die EU-Initiative bei der Vorstellung am 20. Januar 2026 als Reaktion auf eine ver\u00e4nderte Bedrohungslage ein. In seiner Presseinformation hei\u00dft es: “Cyberangriffe treffen l\u00e4ngst nicht mehr nur einzelne Unternehmen, sie gef\u00e4hrden kritische Infrastrukturen, ganze Lieferketten.” Der Verband sieht in der \u00dcberarbeitung des \u00fcber sechs Jahre alten Cybersecurity Act einen \u00fcberf\u00e4lligen Schritt.<\/p>\n\n\n\n

Die Europ\u00e4ische Kommission beschreibt das Paket selbst als Ma\u00dfnahmenb\u00fcndel zur St\u00e4rkung von Cybersicherheit, Resilienz und F\u00e4higkeiten. Zust\u00e4ndig ist Henna Virkkunen, Exekutiv-Vizepr\u00e4sidentin f\u00fcr technologische Souver\u00e4nit\u00e4t, Sicherheit und Demokratie. Die Kommission betont, durch bessere Zertifizierung, eine gest\u00e4rkte Agentur und einfachere Vorschriften das Schutzniveau in Europa heben zu wollen. Die Vorschl\u00e4ge durchlaufen nun das ordentliche Gesetzgebungsverfahren.<\/p>\n\n\n\n

Aus der Rechtsberatung kommt der Hinweis auf den operativen Ernstfall. Taylor Wessing weist darauf hin, dass Markt\u00fcberwachungsbeh\u00f6rden Produkte zur\u00fcckziehen, deren Bereitstellung untersagen oder R\u00fcckrufe anordnen k\u00f6nnen, zus\u00e4tzlich zu den Bu\u00dfgeldern nach Artikel 64 CRA. Damit wird Cybersicherheit zur produkthaftungs\u00e4hnlichen Pflicht, deren Verletzung den Marktzugang kostet. Branchenanalysen aus dem DACH-Raum betonen erg\u00e4nzend, dass NIS2 IT-Sicherheit “endg\u00fcltig zur unternehmerischen Verantwortung” macht, weil die Gesch\u00e4ftsleitung pers\u00f6nlich in die Pflicht genommen wird.<\/p>\n\n\n\n

Kritik kommt vor allem mit Blick auf den Aufwand. Die schiere Breite des Anwendungsbereichs und die Dokumentations- und Meldepflichten gelten als operative Belastung, gerade f\u00fcr kleinere Anbieter. Die Open-Source-Community hatte im Gesetzgebungsprozess gewarnt, dass eine Haftung freier Entwickler das europ\u00e4ische Software-\u00d6kosystem sch\u00e4digen k\u00f6nnte. Diese Sorge wurde mit der Ausnahme f\u00fcr nicht-kommerzielle Open-Source-Entwickler teilweise entsch\u00e4rft.<\/p>\n\n\n\n

Historischer Kontext: Von NIS1 zur Resilienz-Architektur<\/h2>\n\n\n\n

Der CRA steht am vorl\u00e4ufigen Ende einer zehnj\u00e4hrigen Entwicklung. Mit der NIS-1-Richtlinie von 2016 begann die EU, Cybersicherheit verbindlich zu regeln, zun\u00e4chst nur f\u00fcr Betreiber wesentlicher Dienste. Die NIS-2-Richtlinie, in Kraft seit 16. Januar 2023 und mit Umsetzungsfrist 17. Oktober 2024, weitete den Kreis auf 18 kritische Sektoren aus. DORA erg\u00e4nzte ab 17. Januar 2025 ein eigenes Regime f\u00fcr den Finanzsektor, ohne \u00dcbergangsfristen.<\/p>\n\n\n\n

Der CRA schlie\u00dft nun die letzte gro\u00dfe L\u00fccke, indem er nicht Organisationen, sondern Produkte adressiert. Das Sanktionsmodell ist erkennbar an der DSGVO orientiert: hohe, umsatzbezogene Bu\u00dfgelder als Abschreckung und ein extraterritorialer Geltungsanspruch, der jeden trifft, der im EU-Binnenmarkt anbietet, unabh\u00e4ngig vom Produktionsstandort. Ein Hersteller aus Asien oder den USA, der vernetzte Ger\u00e4te in \u00d6sterreich verkauft, unterliegt denselben Pflichten wie ein heimischer Anbieter.<\/p>\n\n\n\n

Diese Entwicklung markiert einen Paradigmenwechsel. Cybersicherheit wandelt sich von einer freiwilligen Qualit\u00e4tseigenschaft zu einer gesetzlichen Marktzugangsvoraussetzung. Die EU setzt damit, \u00e4hnlich wie bei der DSGVO, einen globalen Standard, an dem sich auch Hersteller au\u00dferhalb Europas orientieren m\u00fcssen, wenn sie den gr\u00f6\u00dften Binnenmarkt der Welt nicht verlieren wollen.<\/p>\n\n\n\n

F\u00fcnf Prognosen f\u00fcr 2026 und 2027<\/h2>\n\n\n\n

Erstens:<\/strong> Die 24-Stunden-Meldepflicht ab September 2026 wird zu einem sprunghaften Anstieg gemeldeter Schwachstellen bei ENISA f\u00fchren. Viele Hersteller werden im Zweifel melden, um Strafen zu vermeiden, was die Aufsichtsbeh\u00f6rden in den ersten Monaten an Kapazit\u00e4tsgrenzen bringen d\u00fcrfte.<\/p>\n\n\n\n

Zweitens:<\/strong> Ein Markt f\u00fcr CRA-Compliance-Dienstleistungen wird entstehen. SBOM-Tools, automatisierte Schwachstellenmeldung und Konformit\u00e4tsbewertung werden zu einem eigenen Gesch\u00e4ftsfeld, von dem auch \u00f6sterreichische IT-Dienstleister profitieren.<\/p>\n\n\n\n

Drittens:<\/strong> Bis Ende 2027 werden einzelne Billiganbieter, vor allem im IoT-Segment, den EU-Markt verlassen oder ihre Produkte aus den Regalen nehmen, weil sich die Update- und Dokumentationspflichten f\u00fcr margenschwache Ger\u00e4te nicht rechnen.<\/p>\n\n\n\n

Viertens:<\/strong> Lieferketten-Sicherheit wird vertraglich durchgereicht. Gro\u00dfe Hersteller werden CRA-Konformit\u00e4t von ihren Zulieferern verlangen, sodass auch Betriebe, die selbst nicht direkt erfasst sind, faktisch in die Pflicht geraten. Die rund 50.000 indirekt betroffenen \u00f6sterreichischen Zulieferer sp\u00fcren das zuerst.<\/p>\n\n\n\n

F\u00fcnftens:<\/strong> Die ersten spektakul\u00e4ren Bu\u00dfgelder werden fr\u00fchestens 2028 verh\u00e4ngt, da die vollen Produktanforderungen erst ab Dezember 2027 greifen. Bis dahin dominiert die Vorbereitung, und die von complycra.eu gesch\u00e4tzten 8,2 bis 13,6 Milliarden Euro an Strafen bauen sich erst \u00fcber sieben Jahre auf.<\/p>\n\n\n\n

Was Unternehmen jetzt tun sollten<\/h2>\n\n\n\n

Die Vorbereitung sollte nicht bis 2027 warten. Der erste Schritt ist eine Bestandsaufnahme: Welche Produkte fallen unter den CRA, und in welche Klasse (Standard, wichtig, kritisch) sind sie einzuordnen? Parallel sollten Unternehmen pr\u00fcfen, ob sie zus\u00e4tzlich als NIS2-Einrichtung nach NISG 2026 gelten, denn die Registrierungsfrist endet bereits am 31. Dezember 2026.<\/p>\n\n\n\n