Cyber Resilience Act: Was Betreiber jetzt beachten müssen

Eine gewisse Regulierungsmüdigkeit ist bei vielen Unternehmen spürbar – und verständlich. Nun wird mit dem Cyber Resilience Act (CRA) eine weitere EU-Verordnung sukzessive wirksam. Der CRA ist jedoch mehr als eine weitere Compliance-Pflicht: Die EU-weite Verordnung schafft Klarheit über Produktsicherheit, Lieferketten und Supportzeiträume – und ist damit ein Instrument für mehr Investitions- und Planungssicherheit im Betriebsalltag.

So langsam wird es ernst: Zwar ist der Cyber Resilience Act bereits am 10. Dezember 2024 in Kraft getreten, die Umsetzung verläuft jedoch in Etappen. Ab September 2026 gelten erste Meldepflichten für Schwachstellen und schwerwiegende Sicherheitsvorfälle, ab Dezember 2027 sind die wesentlichen Cybersicherheits- und Compliance-Anforderungen rechtsverbindlich. Sind NIS-2 und das KRITIS-Dachgesetz vor allem betriebszentrierte Regulierungen, die sich auf Prozesse, Verantwortlichkeiten und Meldewege bei den Betreibern konzentrieren, ist der CRA produkt- und damit herstellerzentriert. Er definiert verbindliche Anforderungen an die Cybersicherheit von Produkten mit digitalen Elementen – entlang des gesamten Lebenszyklus. Hersteller, Importeure und Händler sind nun in der Verantwortung. Betreiber sind zwar nicht direkt verpflichtet – aber sie tragen die Konsequenzen, wenn Akteure entlang der Lieferkette ihre Pflichten nicht erfüllen.

Zwischen physischer und digitaler Sicherheit
Zu den Produkten mit digitalen Elementen, die der CRA reguliert, gehören auch Zutrittskontrollsysteme. Denn sie sind längst keine Insellösungen mehr: Sie agieren als wichtiges Bindeglied zwischen physischer und digitaler Sicherheit – eingebunden in vernetzte IT- und Gebäudemanagementsysteme. Der CRA reguliert dabei beide Seiten: Hardware-Komponenten wie elektronische Türschlösser, Zutrittsleser, Terminals und Controller ebenso wie Software-Plattformen zur zentralen Steuerung. Für Errichter, Fachplaner und Systemhäuser bedeutet das eine neue Dimension der Beratungsverantwortung. Wer für seine Kunden ein Zutrittssystem plant oder installiert, sollte dessen CRA-Konformität im Blick haben.

Was bei der Anbieterauswahl zählt
Der CRA definiert ein breites Anforderungsprofil: „Security by Design“ (Sicherheit als fester Bestandteil des Entwicklungsprozesses) und „Security by Default“ (sichere Grundeinstellungen ohne Konfigurationsaufwand), außerdem verbindliche Update- und Supportpflichten über den gesamten Produktlebenszyklus, einen risikobasierten Ansatz, Melde- und Transparenzpflichten sowie Konformitätsnachweise wie die CE-Kennzeichnung. Für Betreiber werden diese Prinzipien zur konkreten Prüfliste bei der Anbieterwahl.

Dass viele Unternehmen auf die neuen Anforderungen noch nicht vorbereitet sind, zeigt eine Studie von ONEKEY, einem Unternehmen für Cybersicherheit, vom September 2025: Nur etwa ein Drittel der befragten Unternehmen ist mit den Anforderungen des CRA vertraut, nur wenige haben umfassende Maßnahmen eingeleitet. Die Zeit bis Dezember 2027 ist kürzer, als sie erscheint.

Dabei ist die Anbieterwahl vor allem eine strategische Entscheidung: Es geht nicht allein um Funktionsumfang und Preis, sondern darum, die Lieferkette langfristig sicherzustellen. IT-, Sicherheits- und Beschaffungsverantwortliche sollten diese Entscheidung gemeinsam treffen – und dabei folgende Punkte prüfen:

• CE-Kennzeichnung: Ab Dezember 2027 dürfen nur noch CRA-konforme Produkte auf dem EU-Markt bereitgestellt werden. Anbieter sollten transparent kommunizieren, welche ihrer Produkte für die CE-Kennzeichnung vorbereitet werden. 
• Produktlebenszyklus und Support: Der CRA verlangt einen Supportzeitraum, der der voraussichtlichen Nutzungsdauer entspricht – in der Regel mindestens fünf Jahre. Verbindliche Aussagen zu Update-, Support- und Produktlebenszyklen sind kein Bonus, sondern eine Mindestanforderung.
• Transparente Lieferkette: Anbieter, die ihre Lösungen vollständig aus einer Hand anbieten, reduzieren Zuständigkeitslücken – und entlasten die ohnehin ausgelasteten Sicherheits- und IT-Teams im Tagesgeschäft.
   

Was nicht-konforme Altgeräte bedeuten
Betreiber sollten sich bewusst sein, dass Bestandsprodukte nach Dezember 2027 nicht mehr im Produktportfolio eines Herstellers sein können und frühzeitig Strategien entwickeln, um die gegebenenfalls notwendige Transformation reibungslos zu gestalten. Bei älteren Geräten lässt sich nicht immer nachvollziehen, ob sie nach den Grundsätzen Security by Design und Security by Default entwickelt wurden, ob moderne Verschlüsselungsverfahren zum Einsatz kommen oder ob definierte Update-Prozesse existieren. Läuft der Supportzeitraum aus, werden Sicherheitslücken nicht mehr zuverlässig geschlossen. Die Folgen: Der Weiterbetrieb verstößt möglicherweise gegen interne oder externe Sicherheitsrichtlinien, Audits werden problematisch, Ersatzgeräte lassen sich nicht mehr beschaffen. All das gefährdet die Business Continuity.

Ganzheitliche Systeme als strategischer Vorteil
Wer Cybersicherheit nur punktuell – anhand einzelner Geräte oder Bereiche – bewertet, riskiert Brüche bei Konfiguration und Nachweisführung. Ein ganzheitlicher Ansatz mit einer zentral gesteuerten Plattform vereinheitlicht Sicherheitsvorgaben über alle Komponenten hinweg, koordiniert Update- und Patch-Prozesse nachvollziehbar und protokolliert sicherheitsrelevante Ereignisse systemweit. Die Systemplattform IF-6040 von Interflex bündelt Steuerung, Konfiguration und Überwachung aller angebundenen Online-Zutrittskomponenten – ob Online-Wireless oder Online-Wired. Für Audit- und Compliance-Zwecke liefert sie eine vollständige Übersicht aller angebundenen Komponenten einschließlich der jeweiligen Firmware-Stände. Veraltete Firmware kann ein Risikofaktor im Sinne des risikobasierten CRA-Ansatzes sein – eine systemweite Übersicht ist deshalb keine Kür, sondern unverzichtbar.

Besondere Aufmerksamkeit verdienen Offline-Komponenten: Sie kommen dort zum Einsatz, wo eine permanente Online-Anbindung nicht möglich oder wirtschaftlich sinnvoll ist – etwa in Technik- oder abgelegenen Lagerräumen. Sie fallen gleichwohl in den Anwendungsbereich des CRA. Künftig wird es auch hier möglich werden, eine effiziente, systemseitige Überwachung und Firmware-Updatefähigkeit herzustellen. 

Besser jetzt starten
Der Cyber Resilience Act ist also kein bürokratischer Zusatzaufwand für Betreiber, der mit Nachweispflichten verbunden ist. Im Gegenteil: Er schafft Klarheit – über Produktsicherheit, Verantwortlichkeiten entlang der Lieferkette und Planungssicherheit. Wer ihn ernst nimmt, wählt beizeiten verlässliche Partner und investiert in Systeme, die auch in den kommenden Jahren noch Stand der Technik sind und Ausbaupotenzial besitzen. Betreiber sollten folgende Schritte angehen:

• Bestandssysteme prüfen: Welche Lösungen sind im Einsatz – und welche Sicherheitsanforderungen bestehen? Die Antworten sind die Grundlage für die CRA-Strategie und die Auswahl passender Anbieter.
• Lieferkette absichern: Anbieter, die ein ganzheitliches Ökosystem aus einer Hand bereitstellen, reduzieren Risiken – für Betreiber, Errichter und Planer gleichermaßen.

Wie eingangs erwähnt – eine gewisse Regulierungsmüdigkeit ist verständlich. Aber wer das Thema aufschiebt, verschiebt die Lösung des Problems – die Konsequenzen bleiben. Wer heute die richtigen Fragen an seinen Anbieter stellt, gerät morgen nicht unter Zeitdruck.

Autor: Sergii Levitov, Lead Engineer, Interflex Datensysteme GmbH, begleitet die CRA-Umsetzung seit 2024 und engagiert sich in Normungs- und Verbandsausschüssen.