BSI wird  notifizierende und marktüberwachende Behörde für den Cyber Resilience Act

Was ist passiert – und was bedeutet das?

Das BSI übernimmt die Marktüberwachung für den Cyber Resilience Act (CRA) in Deutschland und fungiert zugleich als notifizierende Behörde für Konformitätsstellen. Damit kann das Amt die Einhaltung der CRA-Vorgaben prüfen, Stichproben durchführen, bei Sicherheitsmängeln Produkte vom Markt nehmen bzw. Rückrufe veranlassen und Verstöße sanktionieren.

Zeitliche Einordnung: Der CRA ist seit Ende 2024 in Kraft; die meisten Pflichten gelten nach einer Übergangszeit ab Ende 2027. Unternehmen sollten daher jetzt Prozesse, Dokumentation und Verantwortlichkeiten für „Security by Design“ und ein dauerhaftes Vulnerability- und Update-Management aufsetzen.

Unsere Einschätzung

• Einheitliche Zuständigkeit ist ein Plus: Mit dem BSI gibt es eine bundesweit zentrale Aufsicht – anders als im Datenschutz, wo die Landesbehörden zuständig sind. Das reduziert Interpretationsspielräume und beschleunigt Verfahren.
• Inhaltlich folgerichtig: Das BSI ist bereits für Themen der NIS2-Richtlinie zentraler Ansprechpartner und Behörde. Die CRA-Aufsicht fügt sich stimmig in diese Rolle ein.
• Personelle Engpässe bleiben real: Wie bei NIS2 wird die Rekrutierung von IT-SicherheitsexpertInnen der Engpass – das BSI konkurriert hier mit der Privatwirtschaft um rare Fachkräfte.

Fazit: Die Zuteilung ist sinnvoll und schafft Klarheit. Die Umsetzung der Aufsicht wird jedoch anspruchsvoll – organisatorisch wie personell.

Kurz erklärt: CRA, Betroffene und To-dos (in Kürze)

Was ist der CRA? Der Cyber Resilience Act (Verordnung (EU) 2024/2847) legt EU-weit Mindestanforderungen an die Cybersicherheit für Produkte mit digitalen Elementen (Hardware und Software) fest – inklusive Anforderungen an Entwicklung, Bereitstellung, Wartung und Sicherheitsupdates. Konforme Produkte tragen künftig die CE-Kennzeichnung auch im Hinblick auf Cybersicherheit.

Wer ist betroffen?

• Hersteller, Importeure, Händler von Produkten mit digitalen Elementen (vom IoT-Gerät bis zur Software). Für risikoreichere Klassen gelten striktere Konformitätsverfahren.

Worauf sollten Unternehmen jetzt achten?

• Fristen planen: Übergangszeit bis Ende 2027 – Produktportfolios und Roadmaps frühzeitig ausrichten.
• Security by Design verankern: Anforderungen in Planung/Entwicklung integrieren; Update- und Schwachstellenprozesse institutionalisieren.
• Konformität & CE sicherstellen: Passendes Konformitätsverfahren wählen, Technische Dokumentation und Verantwortlichkeiten (z. B. PSIRT) aufbauen.
• Sanktionsrisiken minimieren: Interne Compliance-Kontrollen etablieren, Melde- und Reaktionspflichten definieren.

Unsere Leistungen als ISiCO

Als ISiCO begleiten wir Unternehmen umfassend auf ihrem Weg zur CRA-Konformität.

Im ersten Schritt führen wir eine Produktanalyse und Relevanzprüfung durch, bei der wir klären, ob und in welchem Umfang Ihre Produkte unter den CRA fallen – selbstverständlich unter Berücksichtigung möglicher Ausschlussregelungen wie der MDR.

Anschließend unterstützen wir Sie bei der Konformitätsbewertung und Erstellung der technischen Dokumentation und begleiten Sie Schritt für Schritt durch die komplexen Umsetzungsanforderungen.

Darüber hinaus helfen wir bei der Integration der gesetzlichen Vorgaben in Ihre bestehenden Entwicklungsprozesse, bei der Gestaltung Ihrer Sicherheitsarchitektur sowie bei der Etablierung robuster Qualitätssicherungs- und Update-Strategien.

Nicht zuletzt beraten wir Sie zur Vertragsgestaltung und Haftungsvermeidung, insbesondere im Hinblick auf die Compliance innerhalb der Lieferkette und die vertragliche Absicherung von Verantwortlichkeiten. So sorgen wir dafür, dass Ihr Unternehmen rechtlich abgesichert und technisch optimal aufgestellt ist.