Cybersecurity

Ihre Hardware ist jetzt regulierte Software

Der EU Cyber Resilience Act macht jedes vernetzte Produkt zu einem regulierten Gut, mit einer 24-Stunden-Meldefrist ab 2026 und Bußgeldern von bis zu 2,5 Prozent des Umsatzes.

Von Leon Soliman · 2026-06-28 · 3 Min. Lesezeit

Die wichtigsten Punkte

Der Cyber Resilience Act behandelt jedes Produkt mit digitalen Elementen als reguliertes Gut, sodass ein Hersteller vernetzter Maschinen oder Geräte nach EU-Recht nun ein Softwareanbieter ist.
Ab dem 11. September 2026 setzt eine aktiv ausgenutzte Schwachstelle eine feste Uhr in Gang: eine Frühwarnung innerhalb von 24 Stunden, eine ausführlichere Meldung innerhalb von 72 Stunden und ein Abschlussbericht innerhalb von 14 Tagen.
Ab dem 11. Dezember 2027 brauchen Produkte eine CE-Kennzeichnung, gestützt auf Security by Design und Updates über den gesamten Unterstützungszeitraum, mit Bußgeldern von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Umsatzes.
Die Pflicht endet nicht mit dem Verkauf, sie läuft über die unterstützte Lebensdauer jeder Einheit und bindet auch Hersteller außerhalb der EU, die in den europäischen Markt verkaufen.

Das Wort Hersteller meint jetzt Sie

Der EU Cyber Resilience Act trat im Dezember 2024 in Kraft, und seine Definition eines Herstellers ist weiter gefasst, als die meisten Vorstände annehmen. Er erfasst jedes Produkt mit digitalen Elementen, das auf dem europäischen Markt bereitgestellt wird: eine vernetzte Maschine, eine industrielle Steuerung, ein Medizinprodukt, ein Verbrauchergerät oder ein eigenständiges Stück Software. Wenn Ihr Produkt mit einem Netzwerk kommuniziert, fällt es in den Anwendungsbereich, und ebenso die Importeure und Händler, die es in Verkehr bringen.

Für ein Family Office oder einen Mittelstand-Eigentümer ist die Neueinstufung der unbequeme Teil. Ein Unternehmen, das über drei Generationen Präzisionsmaschinen gebaut und sich nie als Softwareunternehmen bezeichnet hat, ist in den Augen des EU-Rechts nun ein regulierter Softwareanbieter. Die Regel reicht zudem über die Union hinaus. Ein Hersteller mit Sitz irgendwo auf der Welt, der in den europäischen Markt verkauft, trägt dieselben Pflichten wie einer mit Sitz in Frankfurt.

Eine 24-Stunden-Uhr, die Sie nicht steuern

Die erste harte Frist ist nah. Ab dem 11. September 2026 setzt eine aktiv ausgenutzte Schwachstelle oder ein schwerwiegender Sicherheitsvorfall eine feste Meldekaskade über eine einzige europäische Plattform in Gang. Eine Frühwarnung ist innerhalb von 24 Stunden fällig, eine ausführlichere Benachrichtigung innerhalb von 72 Stunden und ein Abschlussbericht innerhalb von 14 Tagen nach Bereitstellung einer Behebung oder Umgehungslösung. Die Uhr wartet nicht auf Ihre rechtliche Prüfung oder Ihren Kommunikationsplan.

Dieses Timing ist der operative Schock. Das 24-Stunden-Fenster öffnet sich im schlimmsten Moment eines Vorfalls, wenn die Informationen unvollständig sind und der Instinkt darin besteht, nichts zu sagen, bis die Fakten klar sind. Der Act nimmt diese Option weg. Eine Organisation, die eine Schwachstelle nicht innerhalb eines Tages erkennen, einordnen und melden kann, wird die Frist verfehlen, nicht aus mangelndem guten Willen, sondern weil sie nie die Mechanik aufgebaut hat, um so schnell zu handeln.

CE-Kennzeichnung und ein Bußgeld in Höhe Ihres Umsatzes

Die weiteren Pflichten folgen am 11. Dezember 2027. Ab diesem Datum braucht ein Produkt mit digitalen Elementen eine CE-Kennzeichnung, die bescheinigt, dass es nach dem Prinzip Security by Design gebaut wurde, ohne bekannte ausnutzbare Mängel ausgeliefert wird und über einen definierten Unterstützungszeitraum Sicherheitsupdates erhält. Konformität ist keine einmalige Prüfung vor dem Marktstart, sie ist eine Pflicht, die über die unterstützte Lebensdauer jeder von Ihnen verkauften Einheit läuft.

Die Durchsetzung hat Gewicht. Nationale Marktüberwachungsbehörden überwachen die Regeln, und Deutschland hat bereits einen ersten Gesetzentwurf vorgelegt, um seine zuständige Behörde zu benennen. Bußgelder für das Verfehlen der Kernanforderungen reichen bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für einen profitablen mittelständischen Hersteller ist die Umsatzzahl diejenige, die den Raum fokussieren sollte.

Weiterlesen: Ist Ihre Cyberabwehr bereit für Angriffe in Maschinengeschwindigkeit? · Ihre Verschlüsselung läuft ab

Häufig gestellte Fragen

Gilt der Cyber Resilience Act für uns, wenn wir nur physische Maschinen herstellen?

Ja, sofern diese Maschinen sich mit einem Netzwerk verbinden oder Software ausführen. Der Act erfasst Produkte mit digitalen Elementen, nicht nur reine Software, sodass eine vernetzte Maschine, Steuerung oder ein Gerät ihren Hersteller unmittelbar in den Anwendungsbereich stellt, einschließlich der Pflicht, Schwachstellen zu behandeln und Vorfälle zu melden.

Wir haben unseren Sitz außerhalb der EU. Sind wir trotzdem daran gebunden?

Ja. Die Pflichten folgen dem Markt, nicht dem Hauptsitz. Jeder Hersteller, der ein Produkt mit digitalen Elementen auf dem europäischen Markt bereitstellt, trägt dieselben Pflichten wie ein in der EU ansässiger, und Ihr EU-Importeur oder -Händler kann dort zur Verantwortung gezogen werden, wo Sie es nicht sind.

Der Cyber Resilience Act fragt nicht, ob Sie sich selbst als Softwareunternehmen verstehen. Er entscheidet das für Sie in dem Moment, in dem sich Ihr Produkt mit einem Netzwerk verbindet. Die eigentliche Frage ist, ob Sie jedes vernetzte Produkt benennen können, das Sie verkaufen, nachweisen können, wie es abgesichert ist, und einen laufenden Angriff innerhalb eines Tages melden können, oder ob Sie die Antwort erst während des Vorfalls selbst erfahren werden.

Cyber Resilience Act Product Security CE Marking EU Regulation Mittelstand

Mehr aus dem Servola Journal

Cybersecurity

Ist Ihre Cyberabwehr bereit für Angriffe in Maschinengeschwindigkeit?

2026-06-23 · 2 Min. Lesezeit

Beitrag lesen →

Information Security

Ihre Verschlüsselung läuft ab

2026-06-26 · 2 Min. Lesezeit

Beitrag lesen →

AI Security

Ihre KI-Agenten sind in der Überzahl

2026-06-26 · 2 Min. Lesezeit

Beitrag lesen →

Servola

Servola hilft Eigentümern und Mittelstand-Herstellern dabei, zu kartieren, welche ihrer Produkte unter den Cyber Resilience Act fallen, und die Schwachstellenbehandlung und Meldung aufzubauen, die sie vor der Frist 2026 brauchen werden.

Vertrauliches Gespräch anfragen Über Servola →

Servola ist technologische Beratung für einige wenige Familien und Family Offices. Wenn eine Entscheidung nicht delegierbar ist, sitzen wir auf Ihrer Seite des Tisches.

Servola Systems GmbH · Ludwigshafen, Germany · [email protected]

← Alle Beiträge