Stimmen zum Cyber Resilience Act.
Der Cyber Resilience Act wurde von Anfang an kontrovers diskutiert — zwischen klarer Befürwortung durch europäische Cybersicherheitsbehörden und dezidierter Kritik aus der Open-Source-Community und Industrieverbänden. Wir ordnen die wichtigsten Positionen ein, mit Quellen aus den Stellungnahmen, die in der Konsultation und nach Verabschiedung publiziert wurden.
Befürwortende Stimmen
Aus Sicht der Europäischen Kommission und der ENISA schliesst der CRA eine seit langem bestehende Lücke. Vor seinem Inkrafttreten gab es keine horizontale EU-Gesetzgebung, die einheitliche Cybersicherheits-Mindestanforderungen für Produkte mit digitalen Elementen festlegte — die Last lag bei den Anwendern, nicht bei den Herstellern. Erwägungsgrund 1 der Verordnung (EU) 2024/2847 begründet das Eingreifen ausdrücklich mit der „erheblichen Anzahl von Hardware- und Softwareprodukten, die unzureichende Cybersicherheitsanforderungen erfüllen" und der zunehmenden Häufigkeit von Lieferkettenangriffen.
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den CRA in mehreren Stellungnahmen unterstützt und mit der Technischen Richtlinie BSI TR-03183 einen praktischen Umsetzungsleitfaden für SBOM und Schwachstellenmanagement bereitgestellt. Der Verband der TÜV (VdTÜV) hat den CRA als „überfälligen Schritt für ein einheitliches europäisches Sicherheitsniveau" begrüsst.
Die zentrale Idee — Hersteller systemisch in die Pflicht zu nehmen, statt nur die Endanwender mit den Folgen leben zu lassen — wird von Cybersecurity-Forschungseinrichtungen und Verbraucherschutzorganisationen breit unterstützt.
Kritische Stimmen
Die Open-Source-Community hat während der Verhandlungen massiv gewarnt: Wer trägt die Compliance-Last bei freier Software ohne kommerzielle Hinterlegung? Die Eclipse Foundation, die Linux Foundation Europe und die Apache Software Foundation haben in gemeinsamen Stellungnahmen vor einer faktischen Behinderung des Open-Source-Ökosystems gewarnt. Die EU hat darauf mit Erwägungsgrund 18 und Artikel 24 reagiert: Open-Source-Software-Verwalter (Stiftungen, Vereine und vergleichbare Organisationen) unterliegen einem eigenständigen, leichteren Pflichtregime. Detailfragen zur Abgrenzung „kommerziell" versus „nicht-kommerziell" und zur konkreten Reichweite der Pflichten bleiben in der Praxis bestehen.
Auf Industrie-Seite haben Bitkom (Positionspapier 2022, Update 2026) und ZVEI (Stellungnahme 2023) die Richtung des CRA grundsätzlich begrüsst, aber operative Bedenken formuliert: zu kurze Übergangsfristen für tiefgreifende technische Anpassungen, unzureichende Differenzierung zwischen einfachen IoT-Geräten und komplexer industrieller Software, und fehlende Klarheit bei der Abgrenzung zur NIS-2-Richtlinie und zum AI Act.
Die Kosten- und Aufwandsdiskussion ist nicht ausgestanden. Eine Analyse des Centrums für Europäische Politik (cep) warnt vor Compliance-Kosten in mittlerer sechsstelliger Höhe über die ersten 18 Monate, mit besonderem Druck auf KMU mit komplexen Lieferketten. Die Studie des Instituts der deutschen Wirtschaft (IW Köln) zu den Auswirkungen von KI-Verordnung, NIS-2 und CRA auf KMU bestätigt diese Grössenordnung und ergänzt sie um eine Forderung nach gezielter Förderung für KMU. Die EU-Kommission rechnet in ihrer Folgenabschätzung mit deutlich niedrigeren Werten — die Wahrheit liegt vermutlich dazwischen und hängt stark vom Reifegrad des bestehenden Security-Managements ab.
Unsere Einschätzung
Der CRA ist ein ambitioniertes Regulierungsprojekt, das die Cybersicherheit in Europa langfristig verbessern wird. Für KMU bedeutet er kurzfristig Aufwand, mittelfristig aber auch eine Chance: Wer jetzt in strukturierte Sicherheitsprozesse investiert, sichert sich einen Wettbewerbsvorteil — sowohl gegenüber Mitbewerbern, die spät reagieren, als auch in Lieferketten, in denen SBOM und Schwachstellenmanagement zunehmend zur vertraglichen Voraussetzung werden.
Die gute Nachricht: KMU müssen das nicht alleine stemmen. Förderprogramme von der EU bis auf Landesebene helfen bei der Finanzierung — bis zu 30.000 € Zuschuss pro Unternehmen sind über den Digitalbonus Bayern Plus oder das Programm SECURE der EU realistisch erreichbar, in den neuen Bundesländern sogar bis zu 70 % der Investition über Programme wie Digital Innovation Sachsen-Anhalt.
Methodik: Dieser Beitrag stützt sich auf den offiziellen Verordnungstext (ABl. L 20.11.2024), publizierte Stellungnahmen der Europäischen Kommission, ENISA, BSI, Bitkom, ZVEI, der Open-Source-Foundations und die Analysen von cep und IW Köln. Aussagen zu Förderhöhen wurden gegen die jeweiligen Programmrichtlinien (Stand 02.05.2026) abgeglichen.
Quellen:
- Verordnung (EU) 2024/2847 (CRA), ABl. L 20.11.2024
- ENISA — Stellungnahmen zur einheitlichen Meldeplattform
- BSI — Cyber Resilience Act, TR-03183 Teil 2
- Bitkom — Positionspapier zum CRA (2022, Update 2026)
- ZVEI — Cyber Resilience Act Stellungnahme (2023)
- cep — Analyse zum CRA
- IW Köln — Engels/Lang/Scheufen, „Auswirkungen auf KMU" (2024)
- Eclipse Foundation, Linux Foundation Europe, Apache Software Foundation — gemeinsame Stellungnahmen
- Mittelstand Digital — Kurzstudie BMWK (KI-VO/NIS-2/CRA)