Cyber Resilience Act: Warum viele mittelständische Produkte ab 2026 nicht mehr marktfähig sind
Der CRA und die stille Revolution der Produktsicherheit
Ab 2026 entscheidet der Cyber Resilience Act, ob digitale Produkte noch marktfähig sind. Nicht Technik, sondern fehlende Nachweise, Prozesse und Verantwortlichkeiten werden zum Risiko – vor allem für den Mittelstand. Cybersicherheit wird zur zwingenden Managementaufgabe.
Index
Das Problem liegt tiefer als die Technik
Viele mittelständische Unternehmen blicken mit berechtigtem Stolz auf ihre Produkte. Sie funktionieren zuverlässig, sind über Jahre gewachsen, oft bis ins Detail optimiert. Kunden kennen sie, vertrauen ihnen, empfehlen sie weiter. Technisch gibt es wenig Anlass zur Sorge. Und doch stehen genau diese Produkte vor einem Problem, das sich nicht durch ein weiteres Update, einen Patch oder ein neues Feature lösen lässt.
Ab 2026 wird sich für viele dieser Produkte die Frage stellen, ob sie überhaupt noch als marktfähig gelten. Nicht, weil sie schlechter geworden wären. Sondern weil sich der Maßstab verändert hat, nach dem Marktfähigkeit beurteilt wird. Der Auslöser dafür heißt Cyber Resilience Act.
Das Unangenehme an dieser Regulierung ist nicht ihre Härte, sondern ihre Stille. Kein medialer Aufschrei, keine öffentliche Empörungswelle, kein politischer Schlagabtausch wie bei der DSGVO oder der NIS-2-Richtlinie. Der Cyber Resilience Act CRA kommt sachlich, technokratisch, fast unscheinbar daher – und greift doch tiefer in Geschäftsmodelle ein als viele andere Digitalgesetze zuvor.
Marktfähigkeit entsteht dabei nicht am Stichtag, sondern in der Vorbereitung. Entwicklungszyklen, Produktfreigaben, CE-Konformität, Lieferantenverträge und Update-Architekturen lassen sich nicht kurzfristig anpassen. Ein Produkt, das 2026 verkauft werden soll, befindet sich heute entweder in Entwicklung, in Planung oder bereits im Markt. Genau diese Produkte geraten unter den Blick des Cyber Resilience Act.
In der Praxis bedeutet das: Produkte, deren Sicherheitsarchitektur nie sauber dokumentiert wurde, lassen sich künftig kaum noch weiterentwickeln, ohne regulatorische Fragen aufzuwerfen. Produkte, für die es keine klare Update- und Patchstrategie gibt, verlieren schrittweise ihre regulatorische Akzeptanz – unabhängig davon, wie gut sie technisch funktionieren. Und Produkte ohne definierte End-of-Life-Logik werden zum Risiko, nicht nur technisch, sondern auch rechtlich und wirtschaftlich.
Der Cyber Resilience Act stellt damit eine einfache, aber folgenreiche Frage: Ist ein digitales Produkt nicht nur funktional, sondern nachweisbar sicher – über seinen gesamten Lebenszyklus hinweg?
Wenn Marktfähigkeit neu definiert wird
Bislang galt in vielen Unternehmen eine klare Trennung: Das Produkt wird gebaut, verkauft und ausgeliefert. Für Sicherheit im Betrieb ist dann die IT zuständig, für Probleme der Kunde, für Angriffe im Zweifel „die Hacker“. Der Cyber Resilience Act beendet diese Arbeitsteilung.
Künftig entscheidet nicht mehr allein, ob ein Produkt seine Funktion erfüllt, sondern ob seine digitale Komponente regulatorisch beherrscht wird. Sicherheit wird zur Produkteigenschaft. Nicht optional, nicht verhandelbar, nicht delegierbar. Wer ein Produkt mit digitalen Elementen auf den europäischen Markt bringt, übernimmt Verantwortung dafür, dass dieses Produkt grundlegenden Sicherheitsanforderungen genügt – und zwar nicht nur am ersten Tag, sondern dauerhaft.
Damit verschiebt sich der Fokus von der Betriebsumgebung auf das Produkt selbst. Der Marktzugang wird an Sicherheit geknüpft. Nicht abstrakt, sondern ganz konkret über CE-Kennzeichnung, Konformitätsbewertung und Marktüberwachung. Ein Produkt, das diese Anforderungen nicht erfüllt, wird nicht unsicher im Sinne eines IT-Risikos – es wird schlicht nicht mehr zulässig.
Der folgenreichste Irrtum im Mittelstand
In vielen Gesprächen mit mittelständischen Geschäftsführungen fällt früh ein Satz, der symptomatisch ist: „Das betrifft uns nicht, wir sind kein Softwareunternehmen.“ Dieser Satz war vielleicht vor zehn Jahren noch nachvollziehbar. Heute ist er gefährlich.
Der Cyber Resilience Act interessiert sich nicht für Selbstbeschreibungen. Er fragt nicht, ob ein Unternehmen sich als Maschinenbauer, Dienstleister oder Softwarehaus versteht. Er fragt, ob ein Produkt digitale Funktionen hat. Und das ist heute bei erstaunlich vielen Produkten der Fall: Steuerungssoftware, Update-Funktionen, Fernwartung, Apps, Cloud-Anbindung oder digitale Zusatzmodule.
Wer solche Produkte unter eigenem Namen verkauft, ist regulatorisch Hersteller eines Produkts mit digitalen Elementen. Punkt. Die rechtliche Verantwortung entsteht nicht durch den Code, sondern durch das Inverkehrbringen. Genau hier liegt die eigentliche Sprengkraft für den Mittelstand.
Was der Cyber Resilience Act tatsächlich verlangt
Der Cyber Resilience Act verlangt keine perfekte Sicherheit. Er verlangt etwas anderes, für viele Unternehmen deutlich Unbequemeres: Struktur, Verantwortlichkeit und Nachweisbarkeit. Es reicht nicht mehr, dass Sicherheit „irgendwie mitgedacht“ wird. Sie muss gestaltet, dokumentiert und gesteuert werden.
Produkte müssen so konzipiert sein, dass Sicherheitsrisiken nicht erst im Nachhinein adressiert werden. Unsichere Standardeinstellungen, offene Schnittstellen oder provisorische Schutzmechanismen gelten nicht mehr als pragmatische Lösungen, sondern als Konstruktionsfehler. Sicherheit gehört ins Design, nicht in den Support.
Hinzu kommt die Pflicht zum aktiven Umgang mit Schwachstellen. Nicht reaktiv, nicht anlassbezogen, sondern systematisch. Wer erst handelt, wenn Kunden sich melden oder Sicherheitsforscher Druck machen, handelt zu spät. Der CRA erwartet Prozesse, keine Zufälle.
Besonders unterschätzt wird dabei das Produktende. Viele mittelständische Produkte verschwinden nicht, sie laufen aus. Sie werden nicht mehr verkauft, aber weiter genutzt. Genau hier setzt der CRA an. Sicherheit endet nicht mit dem letzten Verkauf. Wer keine klare End-of-Life-Strategie hat, schafft ein regulatorisches Risiko – ganz praktisch, nicht theoretisch.
Warum gerade der Mittelstand unter Druck gerät
Große Unternehmen verfügen über Abteilungen, Gremien und formalisierte Prozesse. Der Mittelstand hat etwas anderes: Erfahrung, Pragmatismus und gewachsene Strukturen. Diese Stärken sind real – werden unter dem CRA aber schnell zur Schwäche.
Viele Produkte sind historisch gewachsen. Sicherheitsentscheidungen wurden getroffen, aber nie dokumentiert. Zuständigkeiten existieren, aber eher implizit als klar geregelt. Externe Entwickler oder Zulieferer haben Teile übernommen, ohne dass die Gesamtverantwortung jemals sauber definiert wurde.
Der CRA fragt nicht nach der Geschichte eines Produkts. Er bewertet den aktuellen Zustand. Und genau hier entsteht der Druck: Produkte, deren Sicherheit organisatorisch nicht beherrscht wird, verlieren ihre regulatorische Akzeptanz. Nicht abrupt, aber schleichend – und oft genau dann, wenn sie weiterentwickelt oder modernisiert werden sollen.
Warum Lieferanten auch keine Rettung sind
Ein weiterer verbreiteter Irrtum lautet: „Unser Dienstleister kümmert sich darum.“ Auch das funktioniert unter dem CRA nicht mehr. Das europäische Produktrecht folgt einer klaren Logik: Verantwortlich ist, wer ein Produkt unter eigenem Namen in Verkehr bringt. Nicht der Programmierer, nicht der Cloud-Anbieter, nicht der Zulieferer.
Natürlich können Aufgaben ausgelagert werden. Verantwortung nicht. Wer nicht weiß, welche Software im eigenen Produkt steckt, verliert Kontrolle. Wer keine Einflussmöglichkeit auf Sicherheitsupdates hat, verliert Marktfähigkeit. Der CRA zwingt Unternehmen, diese Abhängigkeiten offenzulegen – und aktiv zu steuern.
Der eigentliche Druck kommt von oben
Der Cyber Resilience Act ist kein IT-Gesetz. Er ist ein Governance-Gesetz. Er verlagert Verantwortung dorthin, wo sie lange vermieden wurde: in die Unternehmensleitung.
Produkte, die regulatorisch nicht beherrscht werden, sind kein technisches Problem, sondern ein Organisationsversagen. Delegation ohne Kontrolle reicht nicht mehr aus. „Wir wussten es nicht“ ist kein Argument, sondern ein Risiko. Der CRA wirkt hier ähnlich wie die DSGVO oder die NIS-2-Richtlinie – nur mit direktem Bezug zum Produkt und damit zum Kern des Geschäftsmodells.
2026 ist näher, als viele denken
Wenn vom Cyber Resilience Act „ab 2026“ gesprochen wird, klingt das für viele nach Zukunft. Tatsächlich ist es Gegenwart. Produkte, die heute geplant, entwickelt oder weitergeführt werden, müssen 2026 CRA-konform sein. Sicherheitsarchitekturen, Update-Strategien und Governance-Strukturen lassen sich nicht auf Knopfdruck einführen. Wer erst reagiert, wenn Marktüberwachung oder Kunden fragen, reagiert zu spät.
Entscheidend ist: Produkte, die ab 2026 neu oder wesentlich verändert auf den Markt kommen, müssen den Anforderungen des CRA entsprechen. Das betrifft nicht nur Neuentwicklungen, sondern auch bestehende Produkte, die weiterentwickelt, aktualisiert oder funktional erweitert werden. Wer heute Produkte plant, die 2026 oder später verkauft werden sollen, entwickelt bereits unter CRA-Bedingungen – ob ihm das bewusst ist oder nicht.
Hinzu kommt, dass einzelne Pflichten bereits vor der vollständigen Anwendung greifen. Dazu zählen insbesondere Anforderungen an das Schwachstellenmanagement und an die interne Organisation der Produktsicherheit. Unternehmen müssen also schon vor 2026 in der Lage sein, Sicherheitslücken systematisch zu erkennen, zu bewerten und zu behandeln. Wer diese Strukturen erst aufbaut, wenn die Marktaufsicht aktiv wird, wird sie nicht rechtzeitig etablieren können.
Der Cyber Resilience Actals strategischer Wendepunkt
Der CRA ist unbequem, keine Frage. Aber er ist auch eine Chance. Er trennt Produkte, die verantwortet werden können, von solchen, die nur verwaltet werden. Für den Mittelstand mit seinen kurzen Entscheidungswegen liegt darin sogar ein Vorteil.
Wer jetzt Klarheit schafft – über Produkte, Verantwortung und Sicherheitsstrategie –, sichert nicht nur Compliance, sondern Zukunftsfähigkeit. Wer wartet, riskiert, dass funktionierende Produkte regulatorisch obsolet werden. Irgendwann vielleicht auch das eigene Unternehmen.
Fazit: Marktfähigkeit ist Chefsache
Der Cyber Resilience Act entscheidet nicht über Sicherheit im Rechenzentrum. Er entscheidet darüber, welche Produkte künftig überhaupt noch verkauft werden dürfen. Cybersicherheit ist keine Zusatzfunktion mehr, kein optionales Feature und kein Thema für spätere Releases. Sie wird zur Marktzugangsvoraussetzung für Produkte mit digitalen Elementen – und damit zu einem zentralen Wettbewerbsfaktor im europäischen Binnenmarkt.
Für den Mittelstand ist das eine tiefgreifende Veränderung. Viele Produkte sind technisch ausgereift, wirtschaftlich erfolgreich und seit Jahren etabliert. Doch genau diese Produkte geraten durch den Cyber Resilience Act unter Druck, wenn ihre digitale Sicherheit organisatorisch nicht beherrscht wird. Marktfähigkeit definiert sich künftig nicht mehr allein über Funktionalität, Preis oder Qualität, sondern über die Fähigkeit, Cybersicherheit über den gesamten Produktlebenszyklus hinweg nachzuweisen.
Der Cyber Resilience Act zwingt Unternehmen damit zu einer strategischen Entscheidung: Welche Produkte wollen wir langfristig verantworten – technisch, organisatorisch und regulatorisch? Und welche Produkte lassen sich unter den neuen Rahmenbedingungen nicht mehr sinnvoll weiterentwickeln? Diese Fragen sind keine IT-Fragen. Sie betreffen das Produktportfolio, die Innovationsstrategie und letztlich die Zukunftsfähigkeit des Geschäftsmodells.
Wer den Cyber Resilience Act frühzeitig ernst nimmt, gewinnt Handlungsspielraum. Wer jetzt in klare Zuständigkeiten, strukturierte Sicherheitsprozesse und belastbare Produkt-Governance investiert, erhöht nicht nur die regulatorische Robustheit, sondern auch das Vertrauen von Kunden, Partnern und Märkten. Wer hingegen abwartet, riskiert, dass funktionierende Produkte schleichend ihre Marktfähigkeit verlieren – nicht wegen technischer Mängel, sondern wegen fehlender organisatorischer Reife.
Marktzugang war schon immer eine Managementfrage.
Mit dem Cyber Resilience Act wird das unübersehbar.
Die Kommentarfunktion ist geschlossen.