Der Cyber Resilience Act (CRA) ist seit Dezember 2024 in Kraft. Doch für viele kleine und mittlere Unternehmen bleibt er ein Buch mit sieben Siegeln. Das ändert sich gerade: Ab September 2026 greifen die ersten Meldepflichten, und das deutsche Durchführungsgesetz, das die Umsetzung regeln soll, steckt in der Kritik. Verbände wie TeleTrusT bemängeln, dass die vorgesehene Unterstützung für KMU weit hinter dem Bedarf zurückbleibt. Nach Einschätzung von FTAPI sollten KMU nicht auf staatliche Hilfe warten, sondern jetzt selbst handeln und CRA-Readiness aufbauen.
Umsetzung des CRA ist Chefsache
Der CRA verpflichtet alle Hersteller, Importeure und Händler von Produkten mit digitalen Elementen wie Software, Hardware und IoT-Geräte zu umfassenden Cybersicherheitsmaßnahmen. Anders als bei Regularien wie NIS-2 gibt es hier keine größenabhängigen Ausnahmen. Ob Konzern oder Kleinstunternehmen: Wer digitale Produkte in der EU vertreibt, muss die Anforderungen erfüllen. Die Umsetzung ist dabei nicht nur Aufgabe der IT-Abteilung, sondern Chefsache – mit persönlicher Haftung der Geschäftsführung im Ernstfall. Gleichzeitig zeigt der aktuelle Referentenentwurf zum CRA-Durchführungsgesetz: Der Staat hat für die Unterstützung 1,28 Millionen Euro jährlich eingeplant. Zum Vergleich: Das NIS2-Gesetz sah allein für Schulungen in der Bundesverwaltung das Vierfache vor.
Die fünf wichtigsten Schritte zur CRA-Konformität
Die Unterstützungslücke zeigt deutlich: KMU müssen die Umsetzung selbst in die Hand nehmen. Fünf Schritte, die jetzt zählen:
1. Betroffenheit klären
Jedes Produkt, das sich direkt oder nur IoT-Geräte, sondern auch reine Softwareprodukte indirekt mit einem Gerät oder Netzwerk verbinden kann, fällt unter den CRA, unabhängig davon, ob es tatsächlich verbunden wird. Das betrifft nicht, SaaS-Lösungen und Open-Source-Komponenten.
2. Meldeprozesse aufbauen
Die erste harte Pflicht greift bereits in wenigen Monaten: Ab dem 11. September 2026 müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle gemeldet werden. Der Zeitplan ist eng:
- Erstmeldung innerhalb von 24 Stunden
- Folgemeldung innerhalb von 72 Stunden
- Abschlussbericht spätestens 14 Tage nach Verfügbarkeit einer Abhilfemaßnahme
Wer noch keine internen Prozesse für Schwachstellenmanagement und Incident Response hat, muss diese jetzt etablieren – nicht als IT-Projekt, sondern als Betriebsthema.
3. Security by Design verankern
Der CRA verlangt, dass Sicherheit von Beginn an Teil der Produktentwicklung ist. Die größten Lücken entstehen dort, wo Architekturentscheidungen (Authentifizierung, Datenflusskontrolle, Mandantenfähigkeit) ohne explizite Security-Perspektive getroffen wurden. KMU, die jetzt starten, müssen keine Perfektion anstreben, aber einen nachweisbaren, dokumentierten Prozess.
4. Lieferkette und Open-Source-Abhängigkeiten inventarisieren
Viele Produkte bestehen heute aus einer Kombination aus Eigenentwicklung, Open-Source-Bibliotheken, Cloud-Diensten und Drittkomponenten. Der CRA adressiert genau diese Risiken: Hersteller tragen die Verantwortung auch für eingebettete Komponenten Dritter. Eine Software Bill of Materials (SBOM) – eine strukturierte Übersicht aller verwendeten Softwarebestandteile – ist dabei das zentrale Werkzeug, um Transparenz herzustellen und im Ernstfall handlungsfähig zu bleiben.
5. Fördermöglichkeiten nutzen
Die EU stellt mit dem Programm SECURE (https://www.secure4sme.eu/about-secure) insgesamt 16,5 Millionen Euro als direkte finanzielle Unterstützung für KMU bereit, die Produkte mit digitalen Elementen herstellen, entwickeln oder vertreiben. Förderfähig sind u. a. Risikoanalysen, Penetrationstests und Sicherheitsbewertungen. Antragsberechtigt sind Unternehmen mit weniger als 250 Mitarbeitern und bis zu 50 Mio. Euro Jahresumsatz. Der erste Call ist bereits geschlossen, eine zweite Runde ist bereits angekündigt.
Regulierung als Wettbewerbsvorteil
Die Anforderungen eröffnen auch eine strategische Chance. Wer CRA-konform ist, wird zum bevorzugten Partner in Lieferketten, in denen Auftraggeber künftig auf nachweisbare Sicherheitsstandards bestehen müssen. Umgekehrt droht der Verlust von Aufträgen für alle, die nicht liefern können.
„Die neuen Regularien zwingen Unternehmen, Cybersicherheit strategisch zu denken,” sagt Ari Albertini, CEO von FTAPI. „Das ist der Moment, in dem sich entscheidet, wer in den nächsten Jahren noch als verlässlicher Technologiepartner wahrgenommen wird. KMU, die jetzt handeln, kaufen sich einen Vorsprung, den andere nicht mehr aufholen können.“
Der CRA markiert das Ende der Ära, in der Cybersicherheit ein Thema für Spezialisten war. Unternehmen, die Sicherheit als operative und strategische Selbstverständlichkeit begreifen, schützen nicht ihre Produkte und sichern ihre Marktfähigkeit in einem regulierten Europa.
Weitere Informationen gibt es unter www.ftapi.com.
