WR-Intern
25.03.2026
Drucken

BSI übernimmt zentrale Aufsicht für Produktsicherheit – Chancen und Herausforderungen für Unternehmen

©Adobe Stock (esman)

Mit dem Cyber Resilience Act (CRA) der EU werden erstmals umfassende Cybersicherheitsanforderungen für digitale Produkte verbindlich. In Deutschland übernimmt das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Marktüberwachung. Parallel arbeitet das Bundesinnenministerium an einem Umsetzungsgesetz, das die EU-Vorgaben rechtlich in nationales Recht überträgt.

Ab Dezember 2027 müssen Hersteller von digitalen Soft- und Hardwareprodukten unter anderem Risikoanalysen durchführen, Mindestmaßnahmen zur Verhütung von Cyberangriffen implementieren und langfristigen Support gewährleisten. Produkte, die diese Anforderungen nicht erfüllen, dürfen nicht das CE-Kennzeichen tragen und nicht in der EU in Verkehr gebracht werden. Bereits ab September 2026 gilt eine Meldepflicht: Schwachstellen müssen innerhalb von 24 Stunden gemeldet werden.

Aufgaben des BSI im Überblick

Das BSI wird die zentrale Verantwortung für die Marktüberwachung übernehmen und die Notifizierung von Konformitätsbewertungsstellen koordinieren. In Ausnahmefällen kann das BSI selbst Bewertungen durchführen, etwa wenn Prüfstellen knapp sind und dadurch der Marktzugang wichtiger Produkte gefährdet wird. Besonders kritisch sind hochrelevante Produkte wie Betriebssysteme, Firewalls oder Router.

Die Kernaufgaben umfassen:

• Prüfung von Produkten bei Verdacht auf Nichteinhaltung der CRA-Vorgaben

• Aufforderung zur Nachbesserung oder Rückruf bei Sicherheitsrisiken

• Verhängung von EU-konformen Sanktionen (bis 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes)

Darüber hinaus richtet das BSI eine Beschwerdestelle für Anwender und Verbraucher ein und unterstützt Hersteller, insbesondere KMU, durch Schulungs- und Sensibilisierungsmaßnahmen. Ein Reallabor für Cyberresilienz ermöglicht das Testen innovativer Produkte in kontrollierter Umgebung vor dem Inverkehrbringen.

Ressourcen und Kapazitätsaufbau

Um die neuen Aufgaben zu stemmen, plant das BMI bis 2029 141 neue Planstellen beim BSI, mit jährlichen Mehrkosten von rund 14,6 Millionen Euro. Hinzu kommen einmalige Investitionen von 10 Millionen Euro für das Reallabor und laufende Sachkosten von etwa 8,1 Millionen Euro.

Die personelle Ausstattung des BSI ist in den letzten zehn Jahren deutlich gewachsen: von 660 Planstellen 2016 auf rund 1870 für 2026. Die CRA-Umsetzung ist eine von mehreren Aufgaben, darunter auch die Umsetzung der NIS-2-Richtlinie.

Chancen und Herausforderungen für Unternehmen

Die Umsetzung des CRA stellt Unternehmen vor erhebliche organisatorische und technische Anforderungen, bietet aber gleichzeitig Vorteile:

• Vertrauenswürdigkeit und Wettbewerbsvorteile durch Einhaltung hoher Sicherheitsstandards

• Frühzeitige Implementierung sichert Marktzugang in der EU

• Zusammenarbeit zwischen Wirtschaft, Prüfstellen und Behörden wird entscheidend

Besonders kleine und mittlere Unternehmen benötigen klare Leitlinien, praxisnahe Unterstützung und ausreichend Kapazitäten bei Prüfstellen, um die Vorgaben effizient umsetzen zu können.

Die Bündelung der Aufsicht beim BSI ist ein richtiger Schritt, zeigt jedoch den hohen Ressourcenbedarf.

Der Wirtschaftsrates der CDU e.V. fordert daher:

„Die Bundesregierung muss Unternehmen, insbesondere KMU, praxisnahe Leitlinien, ausreichende Kapazitäten bei Prüfstellen und unterstützende Infrastruktur bereitstellen, damit die ambitionierten Ziele des Cyber Resilience Act realistisch und effizient umgesetzt werden können. Cybersicherheit darf nicht nur Pflicht sein – sie muss gemeinsam umsetzbar gestaltet werden.“

Drucken