Am 11. Juni 2026 berät der Bundestag in erster Lesung über das CRA-Durchführungsgesetz (Drucksache 21/6134). Der Entwurf der Bundesregierung regelt, wer in Deutschland für die Cyberresilienz-Verordnung zuständig ist, und benennt dafür das Bundesamt für Sicherheit in der Informationstechnik (BSI) als zentrale Behörde.
Das CRA-Durchführungsgesetz ist ein nationales Gesetz, das die unmittelbar geltende Verordnung (EU) 2024/2847 (Cyber Resilience Act bzw. Cyberresilienz-Verordnung) in Deutschland vollzugsfähig macht. Es ändert vor allem das BSI-Gesetz und benennt das BSI als Marktüberwachungs- und notifizierende Behörde. Eigene materielle Cybersicherheitspflichten für Hersteller schafft es nicht, diese ergeben sich direkt aus der Verordnung.
Genau dieser Punkt wird oft übersehen: Der Erfüllungsaufwand für Wirtschaft und Bürger durch das Durchführungsgesetz selbst beträgt laut Entwurf null. Die Pflichten zu sicherer Produktentwicklung, Schwachstellenmanagement, CE-Kennzeichnung und Meldung gelten ohnehin, weil die Verordnung unmittelbar anwendbar ist. Das Gesetz beantwortet nur die Frage, an welche deutsche Behörde sich Hersteller, benannte Stellen und Verbraucher künftig wenden.
Welche Rollen übernimmt das BSI?
Mit Artikel 1 weist der Entwurf dem BSI vier Funktionen unter dem CRA zu:
- Marktüberwachungsbehörde: überwacht die Konformität von Produkten mit digitalen Elementen, insbesondere die Einhaltung der grundlegenden Cybersicherheitsanforderungen aus Anhang I der Verordnung.
- Notifizierende Behörde: bewertet und notifiziert die Konformitätsbewertungsstellen. Die Bewertung selbst übernimmt grundsätzlich die nationale Akkreditierungsstelle (DAkkS) nach der Verordnung (EG) Nr. 765/2008.
- CSIRT-Koordinator und Meldestelle: nimmt Meldungen über aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle entgegen, die Hersteller nach Artikel 14 der Verordnung melden müssen. Der Entwurf rechnet mit rund 2.000 Meldungen pro Jahr.
- Unterstützung der Wirtschaftsakteure: Sensibilisierungs- und Schulungsangebote sowie der Betrieb eines Reallabors für Cyberresilienz, in dem Hersteller innovative Produkte vor dem Inverkehrbringen in einer kontrollierten Prüfumgebung testen können.
Eine Einschränkung ist für die Praxis relevant: Fällt ein Produkt zugleich unter den CRA und als Hochrisiko-KI-System unter die den AI Act bzw. die KI-Verordnung (EU) 2024/1689, ist nach Artikel 52 Absatz 14 CRA die für die KI-Aufsicht benannte Marktüberwachungsbehörde zuständig, in Deutschland voraussichtlich die Bundesnetzagentur. In diesen Fällen liegt die Marktüberwachung also nicht beim BSI.
Welche Fristen gelten?
Der Entwurf staffelt das Inkrafttreten in drei Stufen, die der Verordnung folgen:
- 11. Juni 2026: Vorschriften zur Notifizierung treten in Kraft, damit benannte Stellen rechtzeitig akkreditiert werden können.
- 11. September 2026: Das BSI wird als CSIRT zur Meldestelle für Schwachstellen und Sicherheitsvorfälle .
- 11. Dezember 2027: Der Rest des Gesetzes tritt in Kraft, zeitgleich mit der vollen Wirksamkeit der materiellen CRA-Anforderungen.
Für Hersteller ist vor allem die mittlere Frist greifbar: Ab dem 11. September 2026 müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle an das BSI gemeldet werden. Das ist die erste CRA-Pflicht mit unmittelbarer organisatorischer Konsequenz, weil sie funktionierende interne Prozesse zur Erkennung, Bewertung und fristgerechten Meldung voraussetzt.
Was bedeutet das für Hersteller konkret?
Wer beispielsweise eine vernetzte Maschinensteuerung mit Fernwartungszugang in Verkehr bringt, hat mit dem Durchführungsgesetz jetzt klare Adressaten: Das BSI ist Ansprechpartner für die Marktüberwachung, für Schwachstellenmeldungen und für Unterstützungsangebote. Ändert sich an den eigentlichen Anforderungen dadurch etwas? Nein. Die Pflicht, einen sicheren Produktentwicklungsprozess nachzuweisen, Schwachstellen über den Unterstützungszeitraum zu managen und die Konformität zu dokumentieren, besteht unabhängig vom nationalen Gesetz. Das Durchführungsgesetz macht nur sichtbar, gegenüber wem diese Pflichten in Deutschland durchgesetzt und gemeldet werden.
Zwei Punkte lohnen den genaueren Blick:
- Meldeprozess: Wer bis September 2026 keine belastbare interne Kette von der Schwachstellenerkennung bis zur BSI-Meldung etabliert hat, riskiert Fristverletzungen bei einem aktiv ausgenutzten Vorfall.
- Konformitätsbewertung: Der Nationale Normenkontrollrat begrüßt die Bündelung beim BSI, weist aber ausdrücklich darauf hin, dass der Erfolg von ausreichenden Personalkapazitäten bei den Konformitätsbewertungsstellen abhängt. Für wichtige und kritische Produkte nach Anhang III und IV, die eine Drittprüfung benötigen, kann ein Engpass an notifizierten Stellen zum Marktzugangsrisiko werden. Wer auf eine externe Bewertung angewiesen ist, sollte die Verfügbarkeit benannter Stellen früh einplanen.
Nach der ersten Lesung wird der Entwurf an die Ausschüsse überwiesen, federführend an den Innenausschuss. Änderungen im weiteren Verfahren sind möglich, an der grundlegenden Behördenarchitektur dürfte sich aber wenig ändern.
Die Behördenfrage ist mit dem Entwurf weitgehend geklärt, die operative Vorbereitung auf Meldepflicht und Konformitätsbewertung bleibt jedoch Sache der Hersteller. Wenn Sie einordnen möchten, welche CRA-Pflichten Ihre Produkte ab wann betreffen und wie ein belastbarer Meldeprozess zum BSI aussieht, lässt sich das gut in einem unverbindlichen Gespräch klären.Contentpdf
Kommentar hinzufügen