Cyber Resilience Act: Was KMU jetzt tun müssen

Erste Meldepflichten ab September 2026: 5 Schritte, mit denen Anbieter digitaler Produkte jetzt CRA-ready werden

Der Cyber Resilience Act (CRA) ist seit Dezember 2024 in Kraft. Doch für viele kleine und mittlere Unternehmen bleibt er ein Buch mit sieben Siegeln. Das ändert sich gerade: Ab September 2026 greifen die ersten Meldepflichten, und das deutsche Durchführungsgesetz, das die Umsetzung regeln soll, steckt in der Kritik. Verbände wie TeleTrusT bemängeln, dass die vorgesehene Unterstützung für KMU weit hinter dem Bedarf zurückbleibt. Nach Einschätzung von FTAPI, führender Anbieter für sicheren Datenaustausch und Automatisierung, sollten KMU nicht auf staatliche Hilfe warten, sondern jetzt selbst handeln und CRA-Readiness aufbauen.

Das regulatorische Fenster schließt sich

Der CRA verpflichtet alle Hersteller, Importeure und Händler von Produkten mit digitalen Elementen wie Software, Hardware und IoT-Geräte zu umfassenden Cybersicherheitsmaßnahmen. Anders als bei Regularien wie NIS-2 gibt es hier keine größenabhängigen Ausnahmen. Ob Konzern oder Kleinstunternehmen: Wer digitale Produkte in der EU vertreibt, muss die Anforderungen erfüllen. Die Umsetzung ist dabei nicht nur Aufgabe der IT-Abteilung, sondern Chefsache – mit persönlicher Haftung der Geschäftsführung im Ernstfall. Gleichzeitig zeigt der aktuelle Referentenentwurf zum CRA-Durchführungsgesetz: Der Staat hat für die Unterstützung 1,28 Millionen Euro jährlich eingeplant. Zum Vergleich: Das NIS2-Gesetz sah allein für Schulungen in der Bundesverwaltung das Vierfache vor.

Checkliste: In fünf Schritten zur CRA-Readiness

Die Unterstützungslücke zeigt deutlich: KMU müssen die Umsetzung selbst in die Hand nehmen.

Fünf Schritte, die jetzt zählen:

• Schritt 1: Betroffenheit klären
  Jedes Produkt, das sich direkt oder nur IoT-Geräte, sondern auch reine Softwareprodukte indirekt mit einem Gerät oder Netzwerk verbinden kann, fällt unter den CRA, unabhängig davon, ob es tatsächlich verbunden wird. Das betrifft nicht, SaaS-Lösungen und Open-Source-Komponenten.

• Schritt 2: Meldeprozesse aufbauen
  Die erste harte Pflicht greift bereits in wenigen Monaten: Ab dem 11. September 2026 müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle gemeldet werden. Der Zeitplan ist eng:

  • Erstmeldung innerhalb von 24 Stunden

  • Folgemeldung innerhalb von 72 Stunden

  • Abschlussbericht spätestens 14 Tage nach Verfügbarkeit einer Abhilfemaßnahme

  Wer noch keine internen Prozesse für Schwachstellenmanagement und Incident Response hat, muss diese jetzt etablieren – nicht als IT-Projekt, sondern als Betriebsthema.

• Schritt 3: Security by Design verankern
  Der CRA verlangt, dass Sicherheit von Beginn an Teil der Produktentwicklung ist. Die größten Lücken entstehen dort, wo Architekturentscheidungen (Authentifizierung, Datenflusskontrolle, Mandantenfähigkeit) ohne explizite Security-Perspektive getroffen wurden. KMU, die jetzt starten, müssen keine Perfektion anstreben, aber einen nachweisbaren, dokumentierten Prozess.

• Schritt 4: Lieferkette und Open-Source-Abhängigkeiten inventarisieren
  Viele Produkte bestehen heute aus einer Kombination aus Eigenentwicklung, Open-Source-Bibliotheken, Cloud-Diensten und Drittkomponenten. Der CRA adressiert genau diese Risiken: Hersteller tragen die Verantwortung auch für eingebettete Komponenten Dritter. Eine Software Bill of Materials (SBOM) – eine strukturierte Übersicht aller verwendeten Softwarebestandteile – ist dabei das zentrale Werkzeug, um Transparenz herzustellen und im Ernstfall handlungsfähig zu bleiben.

• Schritt 5: Fördermöglichkeiten nutzen
  Die EU stellt mit dem Programm SECURE insgesamt 16,5 Millionen Euro als direkte finanzielle Unterstützung für KMU bereit, die Produkte mit digitalen Elementen herstellen, entwickeln oder vertreiben. Förderfähig sind u. a. Risikoanalysen, Penetrationstests und Sicherheitsbewertungen. Antragsberechtigt sind Unternehmen mit weniger als 250 Mitarbeitern und bis zu 50 Mio. Euro Jahresumsatz. Der erste Call ist bereits geschlossen, eine zweite Runde ist bereits angekündigt.

Regulierung als Wettbewerbsvorteil

Die Anforderungen eröffnen auch eine strategische Chance. Wer CRA-konform ist, wird zum bevorzugten Partner in Lieferketten, in denen Auftraggeber künftig auf nachweisbare Sicherheitsstandards bestehen müssen. Umgekehrt droht der Verlust von Aufträgen für alle, die nicht liefern können.

„Die neuen Regularien zwingen Unternehmen, Cybersicherheit strategisch zu denken,” sagt Ari Albertini, CEO von FTAPI. „Das ist der Moment, in dem sich entscheidet, wer in den nächsten Jahren noch als verlässlicher Technologiepartner wahrgenommen wird. KMU, die jetzt handeln, kaufen sich einen Vorsprung, den andere nicht mehr aufholen können.“

Der CRA markiert das Ende der Ära, in der Cybersicherheit ein Thema für Spezialisten war. Unternehmen, die Sicherheit als operative und strategische Selbstverständlichkeit begreifen, schützen nicht ihre Produkte und sichern ihre Marktfähigkeit in einem regulierten Europa.

Über FTAPI  

FTAPI ist eine Plattform für sicheren Datenaustausch und die Automatisierung sensibler Datenprozesse. Seit der Gründung 2010 unterstützt das Münchner Software-Unternehmen über 2.000 Organisationen und mehr als eine Million Nutzer dabei, Daten sicher zu übertragen, zu verarbeiten und zu speichern. 

Mit flexibel kombinierbaren Lösungen sorgt FTAPI für eine ganzheitliche Absicherung von Datenaustauschprozessen – von der sicheren E-Mail-Kommunikation bis hin zur Automatisierung komplexer Datenflüsse. Die Plattform erfüllt anerkannte Sicherheitsstandards wie ISO 27001 und BSI C5 Typ II und wird ausschließlich auf Servern in Deutschland betrieben. 

Kontakt für Presseanfragen

Melanie Meier
melanie.meier@ftapi.com
Tel. 089-215273981