Verwendete Dienste und Cookies

Unsere Website nutzt Cookies, um Ihre Nutzungserfahrung zu verbessern. Einige Cookies sind essentiell für das Funktionieren und Managen der Seite, während andere für anonyme Statistiken oder personalisierte Inhalte verwendet werden. Bitte beachten Sie, dass bei eingeschränkter Cookie-Nutzung bestimmte Webseitenfunktionen beeinträchtigt sein können.

Weitere Informationen: Impressum, Datenschutz

Notwendige Cookies helfen dabei, eine Webseite nutzbar zu machen, indem sie Grundfunktionen wie Seitennavigation und Zugriff auf sichere Bereiche der Webseite ermöglichen oder z.B. Ihre Cookie-Einstellungen speichern. Die Webseite kann ohne diese Cookies nicht richtig funktionieren. Diese Kategorie kann nicht deaktiviert werden.
  • Name:
    ukie_a_cookie_consent_manager
  • Domain:
    blomstein.com
  • Zweck:
    Speichert die Cookie-Einstellungen der Website-Besucher.
  • Name:
    blomstein_session
  • Domain:
    blomstein.com
  • Zweck:
    Der Session-Cookie ist für das grundlegende Funktionieren der Website unerlässlich. Er ermöglicht es den Nutzern, durch die Website zu navigieren und ihre grundlegenden Funktionen zu nutzen.
  • Name:
    XSRF-TOKEN
  • Domain:
    blomstein.com
  • Zweck:
    Dieser Cookie dient der Sicherheit und hilft, Cross-Site Request Forgery (CSRF)-Angriffe zu verhindern. Er ist technisch notwendig.
Diese Cookies sammeln Informationen darüber, wie Sie eine Website nutzen, z. B. welche Seiten Sie besucht und auf welche Links Sie geklickt haben.
  • Name:
    _ga
  • Domain:
    blomstein.com
  • Zweck:
    Das Google Analytics Cookie _ga wird verwendet, um Benutzer zu unterscheiden, indem es eine eindeutige Identifikationsnummer für jeden Besucher vergibt. Diese Nummer wird bei jedem Seitenaufruf an Google Analytics gesendet, um Nutzer-, Sitzungs- und Kampagnendaten zu sammeln und die Nutzung der Website statistisch auszuwerten. Das Cookie hilft Website-Betreibern zu verstehen, wie Besucher mit der Website interagieren, indem es Informationen anonym sammelt und Berichte generiert.
  • Name:
    _ga_*
  • Domain:
    blomstein.com
  • Zweck:
    Das Cookie _ga_[container_id], spezifisch für Google Analytics 4 (GA4), dient der Unterscheidung von Website-Besuchern durch Zuweisung einer einzigartigen ID für jede Sitzung und jeden Nutzer. Es ermöglicht die Sammlung und Analyse von Daten über das Nutzerverhalten auf der Website in anonymisierter Form. Dies umfasst das Tracking von Seitenaufrufen, Interaktionen und dem Weg, den Nutzer auf der Website zurücklegen, um Website-Betreibern tiefere Einblicke in die Nutzung ihrer Seite zu geben und die Benutzererfahrung zu verbessern.
  • Name:
    _gid
  • Domain:
    blomstein.com
  • Zweck:
    Das Cookie _gid ist ein von Google Analytics gesetztes Cookie, das dazu dient, Benutzer zu unterscheiden. Es weist jedem Besucher der Website eine einzigartige Identifikationsnummer zu, die bei jedem Seitenaufruf an Google Analytics gesendet wird. Dies ermöglicht es, das Nutzerverhalten auf der Website über einen Zeitraum von 24 Stunden zu verfolgen und zu analysieren.
  • Name:
    _gat_gtag_UA_77241503_1
  • Domain:
    blomstein.com
  • Zweck:
    Das Cookie _gat_gtag_UA_77241503_1 ist Teil von Google Analytics und Google Tag Manager und wird verwendet, um die Anfragerate zu drosseln, d.h., es begrenzt die Datensammlung auf Websites mit hohem Verkehrsaufkommen. Dieses Cookie ist mit einer spezifischen Google Analytics-Property-ID (in diesem Fall UA-77241503-1) verknüpft, was bedeutet, dass es für die Leistungsüberwachung und -steuerung der Datenerfassung für diese spezielle Website-Property eingesetzt wird.
DE EN

Cybersicherheit wird Pflicht

Gesetzentwurf zur Durchführung des Cyber Resilience Act in Deutschland

11.06.2026
PDF download

Mit der Ende 2024 beschlossenen Verordnung (EU) 2024/2847, auch Cyber Resilience Act (CRA), legt die Europäische Union weitere verbindliche Standards für die Cybersicherheit fest. Während es bei der Umsetzung der NIS-2-Richtlinie vor allem die Cybersicherheit von Unternehmen und kritischen Infrastrukturen adressiert, steht beim CRA die Produktsicherheit im Fokus.

Ab 11. Juni 2026 treten erste Pflichten aus dem CRA in Kraft. Vor diesem Hintergrund hat die Bundesregierung im Mai 2026 einen Entwurf für ein Durchführungsgesetz zum CRA beschlossen. Ziel des Vorhabens ist es, die organisatorischen und behördlichen Voraussetzungen für die Anwendung des CRA in Deutschland zu schaffen. Der Entwurf bietet auch eine Gelegenheit, die Pflichten in den Blick zu nehmen, die sich für betroffene Unternehmen unmittelbar aus dem CRA ergeben.

Pflichten aus dem CRA

Durch den CRA werden erstmals Anforderungen an die Cybersicherheit für Produkte mit digitalen Elementen festlegt. Adressiert werden dabei insbesondere digital vernetzte Soft- und Hardware wie Smart Devices, Betriebssysteme und Cloud-Lösungen.

Ziel ist es, Cybersicherheit als grundlegende Produkteigenschaft zu etablieren und damit den Zugang zum EU-Binnenmarkt an verbindliche Sicherheitsstandards zu knüpfen, die in allen Mitgliedstaaten gelten:

  • Zu diesem Zweck müssen Hersteller von Produkten mit digitalen Elementen ab dem 11. September 2026 aktiv ausgenutzte Schwachstellen sowie schwerwiegende Sicherheitsvorfälle melden. Diese Meldepflichten erfordern den Aufbau interner Prozesse zur strukturierten Erkennung, Bewertung und Meldung von Schwachstellen und Sicherheitsvorfällen.

  • Ab dem 11. Dezember 2027 tritt der CRA vollständig in Kraft. Ab diesem Zeitpunkt müssen Cybersicherheitsmaßnahmen in allen Schritten von der Entwicklung über die Produktion bis zum Support während der gesamten Produktlebensdauer umgesetzt und nachgewiesen werden. Bestehende Compliance-Systeme, etwa mit Blick auf die Einhaltung der NIS-2-Richtlinie, müssen um die Pflichten aus dem CRA erweitert werden. Hersteller müssen die Cybersicherheitsrisiken ihrer Produkte bewerten und berücksichtigen. Vernetzte Produkte sind von Beginn an sicher zu konzipieren, etwa durch Verschlüsselung von Daten und eine möglichst geringe Angriffsfläche. Durch sichere Voreinstellungen, etwa das Verbot schwacher Standardpasswörter und automatische Updates, wird das Sicherheitsniveau zusätzlich erhöht. Auch die systematische Behandlung von Schwachstellen ist bereits in der Entwicklungsphase vorzusehen. Während des gesamten Supportzeitraum müssen für den Endanwender Sicherheitsupdates zur Verfügung gestellt und die Behandlung von Schwachstellen angeboten werden. Dieser Supportzeitraum muss vom Hersteller kommuniziert werden und beträgt in der Regel fünf Jahre.

  • Ein zentraler Hebel des CRA ist die Erweiterung der so genannten CE-Kennzeichnung um den Aspekt der Cybersicherheit. Mit der CE-Kennzeichnung erklärt ein Hersteller oder sein Bevollmächtigter, dass das betroffene Produkt den Standards des EU-Binnenmarkts entspricht. Diese Erklärung wird auch als „Konformitätserklärung“ bezeichnet und wird sich mit dem CRA auch auf Aspekte der Cybersicherheit beziehen.  

Durchsetzung des CRA in Deutschland

Bereits ab dem 11. Juni 2026 sind die Mitgliedsstaaten verpflichtet, Strukturen zur Implementierung und Durchsetzung des CRA zu schaffen:

  • Mit dem Entwurf eines CRA-Durchführungsgesetzes wird das Bundesamt für Sicherheit in der Informationstechnik (BSI) zur zentralen Aufsichts- und Koordinierungsstelle bei der Anwendung des CRA in Deutschland. Es überwacht die Einhaltung der im CRA festgelegten Standards und prüft die Konformität von Produkten mit den neuen Cybersicherheits-Standards.

  • Der Entwurf sieht Beratungs- und Beschwerdemöglichkeiten für betroffene kleine und mittlere Unternehmen vor.

  • Darüber hinaus werden auch Bußgeld- und Sanktionsvorschriften an die Regelungen des CRA angepasst, sodass ein Verstoß gegen die Pflichten aus dem CRA empfindliche Folgen haben kann.

BLOMSTEIN wird Sie über die weiteren Entwicklungen auf dem Laufenden halten. Bei Beratungsbedarf und anderen Fragen zum Thema Cybersicherheit Ihnen Dr. Christopher Wolters, Konstantin Kuhle, Dr. Nils-Hendrik Grohmann, Hanna Sophie Vetter sowie Dr. Moritz Schuchert und das gesamte Team jederzeit gerne zur Verfügung.

BLOMSTEIN | Wir beraten unsere internationalen Mandanten in den Gebieten Kartell-, Vergabe-, Außenwirtschafts- und Beihilferecht sowie ESG in Deutschland, Europa und – über unser globales Netzwerk – weltweit.