Mit der Berichtigung vom 2. Juli 2025 wurde der Cyber Resilience Act (Verordnung (EU) 2024/2847) an zwei zentralen Stellen präzisiert. Die Änderungen bringen mehr Rechtssicherheit für Hersteller und stellen klar: Kleine Unternehmen und Open-Source-Verantwortliche werden gezielt entlastet, ohne das Schutzniveau zu senken.
Schwachstellenmanagement nur während des Unterstützungszeitraums
In Artikel 13 Absatz 8 wurde durch die Berichtigung ein redaktioneller, aber entscheidender Fehler korrigiert. Ursprünglich war von „[…] während der erwarteten Produktlebensdauer und des Unterstützungszeitraums […]“ die Rede. Korrekt heißt es nun:
„[…] während des Unterstützungszeitraums […]“
Damit ist eindeutig klargestellt: Die Pflicht zur Behandlung von Schwachstellen besteht nur während des vom Hersteller definierten Unterstützungszeitraums, nicht darüber hinaus.
Diese Klarstellung ist insbesondere für langlebige Produkte von Bedeutung, etwa in Industrie, Maschinenbau oder Medizintechnik. Hersteller können die Dauer des Unterstützungszeitraums selbst definieren – unter Berücksichtigung von Zweckbestimmung, Nutzererwartung und vergleichbaren Produkten. Sie sind nicht verpflichtet, Sicherheitsupdates über die realistische Lebensdauer hinaus bereitzustellen.
Keine Sanktionen für bestimmte Meldepflichten kleiner Unternehmen
Noch praxisrelevanter ist die Änderung in Artikel 64 Absatz 10. Der Einleitungssatz wurde wie folgt geändert:
Von: „Abweichend von den Absätzen 3 bis 9 […]“
Zu: „Abweichend von den Absätzen 2 bis 9 […]“
Warum ist das wichtig? In Absatz 2 des Cyber Resilience Act sind die schärfsten Sanktionen geregelt: Geldbußen bis zu 15 Mio. EUR oder 2,5 % des weltweiten Umsatzes bei Verstößen gegen zentrale Herstellerpflichten (z. B. sichere Entwicklung, Schwachstellenmanagement, Risikoanalyse).
Mit der Änderung ist nun klargestellt: Diese Sanktionen gelten nicht für Kleinst- oder Kleinunternehmen, wenn sie ausschließlich gegen folgende Fristen verstoßen:
- Artikel 14 Absatz 2 Buchstabe a: Frist für die Übermittlung einer Frühwarnung zu einer aktiv ausgenutzten Schwachstelle
- Artikel 14 Absatz 4 Buchstabe a: Frist für die Übermittlung einer Frühwarnung zu einem schwerwiegenden Sicherheitsvorfall
Zusätzlich bleibt bestehen: Verwalter quelloffener Software (Open-Source-Maintainer) sind grundsätzlich von allen Sanktionen der Artikel 64 Absätze 2 bis 9 ausgenommen.
Einordnung für die Praxis
Der Cyber Resilience Act stellt hohe Anforderungen an Hersteller von Produkten mit digitalen Elementen – vom IoT-Gerät bis zur Industrieanlage. Die nun vorgenommenen Änderungen bieten wichtige Klarstellungen:
- Pflichten zur Schwachstellenbehandlung gelten nur für die Dauer des zugesagten Supports. Das vermeidet unrealistische Anforderungen.
- Kleinst- und Kleinunternehmen erhalten mehr Zeit und Luft, um Prozesse zur Meldung von Schwachstellen aufzubauen – ohne gleich mit Bußgeldern rechnen zu müssen.
- Die Änderungen verhindern keine Sanktionen bei groben Pflichtverletzungen, stellen aber sicher, dass einfache Versäumnisse bei neuen Meldeprozessen nicht unverhältnismäßig geahndet werden.
Fazit
Die Berichtigung vom 2. Juli 2025 ist mehr als redaktionelle Präzision – sie schafft Rechtssicherheit, insbesondere für mittelständische Hersteller und Start-ups. Die Änderungen machen deutlich, dass die EU-Kommission die Verhältnismäßigkeit bei der Umsetzung des Cyber Resilience Acts ernst nimmt.
