Der Cyber Resilience Act: Wo stehen wir?
Marktüberwachung, harmonisierte Normen und was das für FOSS bedeutet
Was bedeutet der CRA Mitte 2026 konkret für Open-Source-Entwickler, Maintainer und Stiftungen, wo die Meldepflicht unmittelbar bevorsteht und die ersten harmonisierten Normen entstehen? Eine Bestandsaufnahme aus Sicht der Marktüberwachung und der Normungsarbeit, mit Fokus auf Open Source Software Stewards und Upstream.
Mit der Verordnung (EU) 2024/2847 (Cyber Resilience Act, CRA) gibt es erstmals verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen im EU-Recht. Veröffentlicht am 20. November 2024, in Kraft seit 10. Dezember 2024, schließt der CRA eine zentrale Lücke im europäischen Cybersicherheitsrahmen: die Produktsicherheit. Er verpflichtet Hersteller, Importeure und Händler zu Security by Design und strukturiertem Schwachstellenmanagement über den gesamten Produktlebenszyklus. Ab dem 11. September 2026 gilt die Meldepflicht für aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle, ab dem 11. Dezember 2027 ist der CRA vollständig anwendbar.
Mitte 2026 lohnt sich eine Bestandsaufnahme aus Sicht der Marktüberwachung und aus Sicht derjenigen, die an den harmonisierten Normen mitschreiben, über die Hersteller den Konformitätsnachweis führen können.
Der Vortrag gibt zunächst einen kompakten Überblick: Anwendungsbereich des Gesetzes, Risikoklassifizierung, wichtige und kritische Produkte, Herstellerpflichten und Timeline. Die Europäische Kommission hat seit Ende 2025 schrittweise Umsetzungshilfen veröffentlicht: ein FAQ-Dokument (Dezember 2025), einen ersten Guidance-Entwurf (März 2026) sowie erste delegierte Rechtsakte und Durchführungsverordnungen.
Ein Schwerpunkt liegt auf FOSS. Anders als zu Beginn des Gesetzgebungsverfahrens befürchtet, fällt nicht-kommerzielle Open-Source-Entwicklung nicht in den Anwendungsbereich. Maßgeblich ist die „kommerzielle Tätigkeit" (Erwägungsgrund 18 ff., Art. 3). Wo diese Grenze in der Praxis verläuft (Spenden, bezahlte Maintainer, Dual Licensing, Foundation-Anstellungen), ist weniger eindeutig, als der Verordnungstext nahelegt.
Mit dem „Open Source Software Steward" (Art. 24) schafft der CRA zudem erstmals eine eigene Akteurskategorie im Unionsrecht für Stiftungen und vergleichbare Organisationen, inklusive eines reduzierten Pflichtenkatalogs gegenüber Herstellern. Wir diskutieren, wer realistisch unter diese Definition fällt, und wie Vulnerability Handling und SBOM-Anforderungen, die kommerzielle Integratoren erfüllen müssen, faktisch auf Upstream-Projekte zurückwirken.
Bei der Normung nahmen CEN, CENELEC und ETSI im April 2025 das Mandat M/606 an: 41 harmonisierte Normen bis zum dritten Quartal 2026, horizontal wie vertikal. Harmonisierte Normen sind freiwillig, vermitteln aber die Vermutung der Konformität mit den Essential Cybersecurity Requirements und sind damit das praktisch zentrale Instrument für Hersteller. Am Beispiel von horizontalen Standards für Vulnerability Handling und vertikalen Standards zeigen wir, wie der Prozess abläuft und warum gerade vertikale Standards FOSS unmittelbar betreffen, beispielsweise im Bereich Boot Manager, der überwiegend von Open-Source-Implementierungen geprägt ist.
Zum Abschluss: Welche Rolle spielt das BSI als notifizierende Behörde und Marktüberwachungsbehörde und wie sieht Marktüberwachung in einem softwaredominierten Produktbereich konkret aus?