Cyber Resilience Act: Smarte Geräte werden meldepflichtig

Die EU beschreibt den Cyber Resilience Act, kurz CRA, als Regelwerk für Produkte mit digitalen Elementen. Ab dem 11. September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle melden. Die Meldelogik sieht eine Frühwarnung innerhalb von 24 Stunden, eine vollständige Meldung innerhalb von 72 Stunden und einen Abschlussbericht vor. Quelle: EU-Kommission zu CRA-Berichtspflichten.

Die Zusammenfassung des Gesetzes nennt außerdem: Der CRA ist am 10. Dezember 2024 in Kraft getreten. Hauptpflichten gelten ab dem 11. Dezember 2027; Berichtspflichten starten früher. Quelle: EU-Kommission: CRA Summary. Das klingt technisch. In Wahrheit ist es Alltagsinfrastruktur.

Warum das Thema im Alltag ankommt.

Fast jeder versteht inzwischen: Geräte sind nicht mehr nur Geräte. Eine Kamera sendet Daten. Ein Auto bekommt Updates. Ein Fitnessgerät sammelt Körperdaten. Ein Router entscheidet, was in dein Zuhause hinein und hinausgeht. Der Merksatz lautet: Smarte Geräte sind kleine Grenzübergänge.

Sie verbinden Innenraum und Außenraum, Körperdaten und Anbieter, Haushalt und Updatepolitik. Genau deshalb ist der CRA mehr als ein Branchenthema. Er betrifft die Frage, ob Alltagsgeräte langfristig sicher, verständlich und reparierbar bleiben.

Die EU sagt im Kern: Wenn ein digitales Produkt auf dem Markt ist, muss Sicherheit von Anfang an mitgedacht werden. Hersteller sollen Schwachstellen behandeln, Informationen für Nutzer verständlich bereitstellen und Sicherheitsvorfälle melden. Das verschiebt Verantwortung vom Nutzer allein zurück zum Hersteller. Das ist sinnvoll. Wer Geräte verkauft, die dauerhaft mit Netzwerken verbunden sind, verkauft nicht nur Hardware. Er verkauft Angriffsfläche. Der starke Punkt: Cybersicherheit wird nicht mehr als Zusatzfunktion behandelt, sondern als Voraussetzung für Marktzugang.

Die andere Seite.

Gleichzeitig entsteht eine neue Melde- und Aufsichtsarchitektur. Ein Vorfall bleibt nicht nur beim Hersteller. Er läuft über Meldeplattformen, CSIRTs und ENISA-Strukturen. Das kann schnelle Reaktion ermöglichen. Es bedeutet aber auch: Sicherheitsinformationen werden zentraler, koordinierter und regulatorisch verwertet. Der sachliche Einwand lautet: Genau das kann nötig sein, weil Angriffe nicht an Landesgrenzen enden. Aber man sollte verstehen, was passiert. Der Alltag wird sicherer, weil er formalisierter wird.

Im SIGMACODE ist digitale Souveränität nie nur "weniger Bildschirmzeit". Es geht darum, welche Systeme Zugriff auf dein Leben bekommen. Bei Digitaler Souveränität ging es um Aufmerksamkeit und Geräteverhalten. Beim CRA geht es um die technische Unterseite derselben Frage.

Wenn dein Gerät nicht sicher ist, ist deine Ordnung nicht privat. Dann hängt sie an fremder Updatepolitik, fremder Lieferkette und fremder Reaktionsgeschwindigkeit.

Warum "ich habe nichts zu verbergen" nicht reicht.

Dieser Satz ist bei smarten Geräten besonders schwach. Es geht nicht nur um Geheimnisse. Es geht um Zugriff, Manipulation, Botnetze, Identitätsdiebstahl, Erpressung, Bewegungsmuster, Gesundheitsdaten, Ton, Bild und Gewohnheiten. Ein unsicheres Gerät kann dich betreffen, auch wenn du nichts Wichtiges darauf speicherst. Es kann Teil eines Angriffs werden. Es kann andere Systeme gefährden. Es kann Daten liefern, die einzeln banal und zusammen aussagekräftig sind.

Wenn ein Gerät vernetzt ist, sollte die Kaufentscheidung nicht nur nach Preis, Design oder Funktionsliste gehen. Frag künftig:

• Wie lange gibt es Sicherheitsupdates?
• Wer ist für Schwachstellen verantwortlich?
• Welche Daten sammelt das Gerät?
• Funktioniert es auch ohne dauernde Cloud-Anbindung?
• Kann ich es zurücksetzen, reparieren oder sicher entsorgen?

So wird Cybersicherheit konkret. Nicht erst beim großen Angriff, sondern beim kleinen Gerät, das jeden Tag in deinem Raum steht.

Warum Updates zur Vertrauensfrage werden.

Ein vernetztes Gerät altert anders als ein analoges Gerät. Es wird nicht nur mechanisch schlechter, sondern sicherheitlich riskanter, wenn Updates ausbleiben. Darum ist die Update-Dauer künftig fast so wichtig wie die Garantie. Ein Hersteller, der ein Produkt verkauft, aber nach kurzer Zeit keine Sicherheitskorrekturen mehr liefert, überlässt den Nutzer einer wachsenden Angriffsfläche. Das betrifft nicht nur Premiumtechnik. Gerade billige Alltagsgeräte können in großen Mengen zum Risiko werden, wenn sie nie gepflegt werden.

Der CRA macht sichtbar, dass digitale Produktqualität nicht beim Kauf endet. Sie endet erst, wenn Sicherheit über den Lebenszyklus mitgedacht wird. Kurz gesagt: Ein smartes Gerät ohne Update-Perspektive ist kein Schnäppchen, sondern eine spätere Rechnung.

Der Cyber Resilience Act ist kein sexy Thema. Genau deshalb ist er wichtig. Er zeigt, wie die EU digitale Alltagstechnik in Sicherheitslogik übersetzt. Das kann Nutzer schützen. Es macht aber auch sichtbar, dass selbst kleine Geräte Teil größerer Infrastruktur sind.

Wer digital souverän sein will, fragt künftig nicht nur: Was kann dieses Gerät? Er fragt: Wer muss es sichern, wer meldet seine Schwachstellen, und wie lange bleibt es updatefähig? Als Anschluss passt Lawful Access, weil dort die andere Seite digitaler Sicherheit beginnt: Zugriff durch den Staat.