Die EU-Kommission hat FAQ zum Cyber Resilience Act (CRA) veröffentlicht und damit erstmals zentrale Fragen zur praktischen Anwendung des neuen Rechtsrahmens aufgegriffen.
Mit dem CRA soll ein einheitliches Cybersicherheitsregime für „Produkte mit digitalen Elementen“ geschaffen werden, also insbesondere für vernetzte Hardware, Software und bestimmte zugehörige Fernverarbeitungslösungen. Die Vorgaben des CRA gelten werden schrittweise bis Ende 2027 in Kraft gesetzt. In der Praxis bestehen bislang jedoch an vielen Stellen erhebliche Unsicherheiten bei der Auslegung und Umsetzung.
Hier setzen die nun veröffentlichten FAQ an. Sie beantworten häufig gestellte Fragen zum CRA und geben Unternehmen eine erste belastbare Orientierung für die praktische Umsetzung. Die EU-Kommission bezeichnet das Dokument selbst als „living document“, das fortlaufend ergänzt werden soll.
Besonders hilfreich sind die FAQ dort, wo sie Klarheit zu bislang offenen Auslegungsfragen schaffen. Das betrifft insbesonderezu Fragen den des Anwendungsbereichs des CRA und den des Begriffs der „Produkte mit digitalen Elementen“, die zu den Anforderungen an die Cybersecurity-Risikobewertung, daszum Prinzip „secure by default“, den zum Umgang mit Schwachstellen in integrierten Drittkomponenten sowie die zur Dauer des Support-Zeitraums. Praxisrelevant sind zudem die Ausführungen zu Sicherheitsupdates sowie zum Umgang mit Open-Source- und Drittkomponenten.
Auch für die zeitliche Einordnung liefern die FAQ wichtige Hinweise. Die Pflichten des CRA gelten grundsätzlich ab dem 11. Dezember 2027. Für Meldepflichten bei aktiv ausgenutzten Schwachstellen und schwerwiegenden Sicherheitsvorfällen greifen die Regelungen allerdings bereits ab dem 11. September 2026.
Unternehmen sollten die Veröffentlichung der FAQ zum Anlass nehmen, ihre Betroffenheit und ihren Umsetzungsstand frühzeitig zu prüfen. Dazu gehört insbesondere die Frage, ob die eigenen Produkte in den Anwendungsbereich fallen, wie Schwachstellenmanagement, Update-Prozesse und technische Dokumentation organisiert sind und ob Drittkomponenten einschließlich Open Source belastbar geprüft und dokumentiert werden. Die nun veröffentlichten FAQ liefern hierfür eine wichtige erste Arbeitsgrundlage.
Gerne unterstützen wir Sie bei Fragen zum CRA sowie bei der Prüfung und Umsetzung der neuen Anforderungen.
31. März 2026
