Cyber Resilience Act und die Distribution – Neues Competence Team im FBDi

Unterstützung für Distributoren

Berlin, 20. August 2025 – Die EU-Verordnung Cyber Resilience Act / CRA (EU) 2024/2847 soll die Cybersicherheit von digitalen Produkten und Dienstleistungen in der EU gewährleisten. Sie legt verbindliche, strenge Anforderungen für Hersteller, Importeure und Händler fest. Möchten Unternehmen ein elektronisches Produkt in der EU auf den Markt bringen, müssen sie für dessen Widerstandsfähigkeit gegen Cyberattacken sorgen - über den gesamten Lebenszyklus hinweg. Kritische Produkte, die für die Cybersicherheit von besonderer Bedeutung sind, müssen vor ihrem Verkauf auf dem EU-Markt auch von einer zugelassenen Stelle einer Bewertung durch Dritte unterzogen werden.

In Kraft getreten ist das Gesetz am 10. Dezember 2024, die wichtigsten mit dem Gesetz eingeführten Verpflichtungen gelten ab dem 11. Dezember 2027. Bis dahin gibt es  verschiedene Übergangsfristen, die eine sorgfältige Vorbereitung erfordern:  

11. Juni 2026: Kapitel IV (Benennung von Konformitätsbewertungsstellen) tritt in Kraft
12. September 2026: Artikel 14 (Meldepflicht der Hersteller) verpflichtet die Hersteller, die nationalen Behörden und die ENISA über aktiv ausgenutzte Sicherheitslücken in ihren Produkten zu informieren
13. Dezember 2027: Ab diesem Datum gelten alle Anforderungen der CRA, d.h. kein „Produkt mit digitalen Elementen“ darf ohne CE-Kennzeichnung in der EU verkauft werden

Der FBDi empfiehlt, sich auf alle Fälle frühzeitig mit den anstehenden Verpflichtungen auseinanderzusetzen, nicht zuletzt wegen kurzer Fristen, Haftungsrisiken und empfindlicher Geldbußen bei Missachtung. Dazu bietet der Verband ab September Hilfestellung für Distributoren in Form eines neu eingerichteten Competence Teams CRA, wo sie sich gezielt austauschen können und wertvolle Tipps für die Umsetzung erhalten.

Andreas Falke, Geschäftsführer: „Wir brauchen eine starke Struktur als Basis der Cybersicherheit, dazu ist eine Europäische Verordnung unerlässlich. Der Cyber Resilience Act bringt für die Marktteilnehmer neue große Herausforderungen mit sich. Unser neu gegründetes Competence Team CRA wird sich zunächst auf Betroffenheitsanalysen für elektronische Komponenten und Module konzentrieren. Mit diesen Analysen können die Mitglieder, basierend auf ihrer jeweiligen Akteursrolle, Verpflichtungen erkennen und aktiv wahrnehmen. Darauf basierend werden auch Prozesse zu Informations- und Dokumentationspflichten intensiv beleuchtet, um unsere Mitglieder in der Umsetzung dieser komplexen Verordnung bestmöglich zu unterstützen.“

Zu den Eckdaten des CRA gehören:

• CE-Kennzeichnung als Nachweis der Konformität
• Klarer Anwendungsbereich
• Detaillierte Sicherheitsanforderungen – inklusive Updates und Meldepflichten bei Schwachstellen und Sicherheitsvorfällen
• Verantwortung für Hersteller, Importeure & Händler – mit 10 Jahren Dokumentationspflicht für technische Unterlagen, Sicherheitsinformationen und EU-Konformitätserklärungen
• Risikoklassifizierung – höhere Anforderungen für Produkte mit mittlerem oder erheblichem Risiko
• Strenge Bußgelder – bis zu 15 Mio. € oder 2,5% des weltweiten Jahresumsatzes für Hersteller, bis zu 10 Mio. € oder 2% für Importeure