Cyber Resilience Act: Fluch oder Segen für den Mittelstand?

Der Cyber Resilience Act (CRA) gehört zu den am kontroversesten diskutierten EU-Regulierungen der letzten Jahre. Er soll die Cybersicherheit von digitalen Produkten grundlegend verbessern und Sicherheitslücken dort schließen, wo sie bisher oft vernachlässigt wurden: im Design, in der Entwicklung und im Betrieb von Software und vernetzter Hardware.

Was dabei häufig missverstanden wird:
Der CRA ist bereits in Kraft. Seit dem 10. Dezember 2024 ist er geltendes EU-Recht. Gleichzeitig sind die meisten Pflichten für Unternehmen noch nicht anwendbar. Genau diese zeitliche Trennung sorgt aktuell für Unsicherheit – und prägt die Debatte, ob der CRA eher Fluch oder Segen ist.

Denn obwohl die vollständige Anwendung erst ab dem 11. Dezember 2027 greift (mit ersten Pflichten ab September 2026), müssen Unternehmen heute strategische Entscheidungen treffen: Produktroadmaps, Architekturentscheidungen und Investitionen in Entwicklungsprozesse werden bereits jetzt vom CRA beeinflusst.

Das Ziel des CRA ist klar formuliert:
Alle Produkte mit digitalen Elementen, die in der EU in Verkehr gebracht werden, sollen ein einheitliches Mindestniveau an Cybersicherheit erfüllen – über ihren gesamten Lebenszyklus hinweg.

Konkret bedeutet das unter anderem:

• Security by Design & by Default als Pflicht

• Systematisches Schwachstellenmanagement

• Verpflichtende Sicherheitsupdates

• Meldepflichten bei aktiv ausgenutzten Schwachstellen

• Technische Dokumentation, Risikobewertungen und Konformitätserklärungen

• CE-Kennzeichnung auch für Softwareprodukte

Aus Sicht der EU-Kommission soll damit das Vertrauen in digitale Produkte gestärkt, der Binnenmarkt harmonisiert und die stetig wachsenden Schäden durch Cyberangriffe reduziert werden.

Im deutschen Mittelstand ist die Haltung zum CRA ambivalent.
Die Zielrichtung – mehr Sicherheit, mehr Verlässlichkeit, weniger fahrlässige Produkte – wird weitgehend unterstützt. Viele mittelständische Softwareunternehmen sehen Cybersicherheit längst als Wettbewerbsfaktor.

Gleichzeitig dominiert die Sorge vor:

• hohem bürokratischem Aufwand

• unklaren Auslegungen und Abgrenzungen

• steigenden Kosten bei begrenzten Ressourcen

• zusätzlichem Druck durch parallel laufende EU-Regulierungen (z. B. NIS2, AI Act)

Gerade kleinere Unternehmen fragen sich, wie sie die neuen Anforderungen organisatorisch stemmen sollen. Anders als Großkonzerne verfügen sie meist nicht über eigene Compliance-Abteilungen oder Security-Teams. Für sie bedeutet der CRA häufig: zusätzliche Rollen, neue Prozesse und mehr Dokumentation – bei ohnehin knappen personellen Kapazitäten.

Ein zentraler Kritikpunkt ist die fehlende Verhältnismäßigkeit:
Der CRA unterscheidet nur begrenzt zwischen hochkritischen Systemen und vergleichsweise risikoarmen Anwendungen. Dadurch entsteht der Eindruck, dass auch einfache Softwareprodukte denselben formalen Anforderungen unterliegen wie sicherheitskritische Komponenten.

Für Softwareentwickler – insbesondere in kleinen Teams oder als unabhängige Anbieter – bedeutet der CRA einen spürbaren Rollenwandel. Sicherheit wird nicht länger als „Best Practice“ oder Qualitätsmerkmal behandelt, sondern als rechtliche Verpflichtung.

Das hat zwei Seiten:

Positiv

• Sicherheit bekommt den Stellenwert, den sie faktisch längst haben müsste

• Technische Schulden in der Security lassen sich künftig schwerer ignorieren

• Sauber entwickelte, sichere Software gewinnt an Reputation

Problematisch

• Entwickler müssen sich mit rechtlichen Begriffen, Konformität und Dokumentation befassen

• Fehlende Klarheit, welche Pflichten konkret greifen

• Angst vor Haftungsrisiken bei Sicherheitslücken

Besonders kritisch wird diskutiert, dass der CRA auch reine Softwareprodukte erfasst – unabhängig davon, ob sie tatsächlich mit dem Internet verbunden sind oder ein relevantes Gefährdungspotenzial haben. Für Entwickler bedeutet das: Der regulatorische Kontext wird Teil des Entwicklungsalltags.

Für Softwareunternehmen eröffnet der CRA grundsätzlich die Chance, Sicherheit als differenzierendes Qualitätsmerkmal zu etablieren. Wer frühzeitig robuste Prozesse aufsetzt, kann Vertrauen aufbauen und sich im europäischen Markt positiv positionieren.

Gleichzeitig steigt der wirtschaftliche Druck:

• Investitionen in sichere Entwicklungsprozesse

• Aufbau von Vulnerability-Management und Incident-Response

• Laufende Update-Verpflichtungen über den gesamten Produktlebenszyklus

Viele Unternehmen fürchten, dass sich diese Kosten nicht vollständig an Kunden weitergeben lassen, insbesondere in preissensitiven Märkten. Für Start-ups kann der CRA zudem eine Eintrittsbarriere darstellen, wenn Compliance-Aufwände Innovation und Time-to-Market verlangsamen.

Besonders intensiv wird der CRA in der Open-Source-Community diskutiert. Zwar sieht der Gesetzgeber Ausnahmen für nicht-kommerzielle Open-Source-Software vor, doch lange Zeit waren diese nur unklar formuliert.

Die Sorge:
Freiwillige Maintainer könnten indirekt in Haftung geraten, wenn ihre Software in kommerziellen Produkten eingesetzt wird. Inzwischen wurden Nachbesserungen vorgenommen, etwa durch die Einführung klarerer Rollenmodelle. Dennoch bleibt für viele Projekte unklar, wie die praktische Anwendung aussehen wird.

Für den Mittelstand ist das ein kritischer Punkt, da moderne Softwareentwicklung ohne Open Source kaum denkbar ist. Rechtssicherheit beim Einsatz freier Software wird damit zu einem Schlüsselfaktor für die Akzeptanz des CRA.

Ein Kernproblem der aktuellen Debatte ist der Zeithorizont:

• 10. Dezember 2024: CRA tritt in Kraft

• September 2026: erste Pflichten (z. B. Schwachstellenmeldungen)

• 11. Dezember 2027: vollständige Anwendung

Für viele Unternehmen bedeutet das:
Sie wissen, dass sie handeln müssen – aber noch nicht genau wie. Harmonisierte Normen, Leitlinien und Marktaufsichtspraxis entstehen erst schrittweise. Der Mittelstand befindet sich damit in einer Phase der Planungspflicht ohne Planungssicherheit.

Der Cyber Resilience Act ist beides – je nach Perspektive und Umsetzung.

Segen, weil:

• er Sicherheit verbindlich macht

• Vertrauen in digitale Produkte stärkt

• den europäischen Markt harmonisiert

Fluch, wenn:

• Bürokratie Innovation erstickt

• KMU überfordert werden

• Regulierung nicht risikoorientiert angewendet wird

Entscheidend wird nicht der Gesetzestext allein sein, sondern seine praktische Auslegung. Wenn es gelingt, den CRA pragmatisch, verhältnismäßig und KMU-tauglich umzusetzen, kann er zu einem echten Qualitätsmerkmal für „Software made in Europe“ werden.

Scheitert dieser Balanceakt, droht der CRA zum Symbol einer gut gemeinten, aber überfordernden Regulierung zu werden – mit negativen Folgen gerade für den Mittelstand, den er eigentlich schützen soll.

Hinweis: Dieser Beitrag stellt keine Rechtsberatung dar. Die Einschätzungen basieren auf öffentlich zugänglichen Gesetzestexten, Stellungnahmen von Verbänden sowie fachlicher Analyse zum Stand der CRA-Umsetzung.

• Europäische Kommission (2022): Proposal for a regulation on horizontal cybersecurity requirements for products with digital elements (Cyber Resilience Act).
• Europäische Union (2024): Regulation (EU) 2024/… on horizontal cybersecurity requirements for products with digital elements (Cyber Resilience Act). EUR-Lex.
• Bitkom e. V. (2023): Stellungnahme zum Cyber Resilience Act.
  
• Bundesverband IT-Mittelstand e. V. (BITMi) (2024): Cyber Resilience Act: Überschießende Regulierung gefährdet den IT-Mittelstand.
• Bundesverband der Deutschen Industrie e. V. (BDI) (2023): Industriepolitische Einordnung des Cyber Resilience Act.