Durchführungsgesetz zur EU-Cyberresilienz-Verordnung: TeleTrusT-Stellungnahme zum BMI-Referentenentwurf

Der TeleTrusT hält eine „deutliche Nachschärfung“ des vorliegenden Entwurfs für erforderlich

[datensicherheit.de, 01.04.2026] Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) hat am 1. April 2026 eine kritische Stellungnahme zum Referentenentwurf aus dem Bundesministerium des Innern (BMI) für ein Durchführungsgesetz zur EU-Cyberresilienz-Verordnung abgegeben: DerTeleTrusT hält eine „deutliche Nachschärfung“ des vorliegenden Entwurfs für erforderlich.

TelTrusT mahnt verlässliche personelle, technische und organisatorische BSI-Ausstattung an

Der BMI-Referentenentwurf greife die durch den „Cyber Resilience Act“ (CRA) erforderlichen nationalen Regelungen zwar im Grundsatz auf –

• dieser bleibe in seiner derzeitigen Fassung jedoch in zentralen Punkten hinter den praktischen und rechtlichen Anforderungen zurück.

Die vorgesehene Aufgabenbündelung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) sei nur dann tragfähig, wenn dessen personelle, technische und organisatorische Ausstattung verlässlich und dauerhaft abgesichert werde. „Daran fehlt es bislang!“

TelTrusT-Plädoyer für substanziell ausgebautes und praxisnahes Unterstützungskonzept für Unternehmen

Besonders kritisch seien die zu weit gefasste Ausnahmeregelung für die Notifizierung von Konformitätsbewertungsstellen ohne Akkreditierung, die unzureichend konkretisierten Unterstützungsleistungen für Wirtschaftsakteure sowie die unklare Ausgestaltung des Reallabors für Cyberresilienz.

• In allen drei Bereichen bestehe die Gefahr, „dass der Entwurf formale Strukturen schafft, ohne deren praktische Wirksamkeit belastbar sicherzustellen“.

Der TeleTrusT hält daher eine „deutliche Nachschärfung des Entwurfs“ für erforderlich. Notwendig seien insbesondere eine verlässliche Finanzierung und Ausstattung des BSI und der Deutschen Akkreditierungsstelle (DAkkS), enge und klare Voraussetzungen für Ausnahmen von der akkreditierungsbasierten Notifizierung, ein substanziell ausgebautes und praxisnahes Unterstützungskonzept für Unternehmen sowie transparente und nachvollziehbare Regelungen zum Reallabor.

Weitere Informationen zum Thema:

TeleTrusT Bundesverband IT-Sicherheit e.V.
Ziele und Nutzen Bundesverband IT-Sicherheit e.V. (TeleTrusT)

TeleTrusT Bundesverband IT-Sicherheit e.V.
Arbeitsgruppe „IT-Sicherheitsrecht“ – RA Karsten U. Bartels, LL.M., HK2 Rechtsanwälte

TeleTrusT Bundesverband IT-Sicherheit e.V., 01.04.2026
Stellungnahme zum BMI-Referentenentwurf des Durchführungsgesetzes zur Cyberresilienz-Verordnung

Bundesministerium des Innern, 18.03.2026
Verordnung: Gesetzesentwurf zur Durchführung der Verordnung (EU) 2024/2847 (Cyberresilienz-Verordnung) / Gesetz zur Durchführung der Cyberresilienz-Verordnung

Bundesministerium des Innern, 18.03.2026
Entwurf eines Gesetzes zur Durchführung der Verordnung (EU) 2024/2847 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (Cyberresilienz-Verordnung)

datensicherheit.de, 21.03.2026
Cyber Resilience Act: BSI hat Vorsitz der AdCo CRA / Die Rolle der Vorsitzenden wurde Anna Schwendicke, BSI-Referatsleiterin „Marktaufsicht“, im Rahmen der Sitzung der AdCo CRA am 19. März 2026 in Athen übertragen

datensicherheit.de, 06.04.2025
CRA erzwingt Produktanpassungen: Höchste Zeit für Hersteller zu handeln / Geräte mit ausnutzbaren Cyber-Schwachstellen dürfen nach CRA-Inkrafttreten in der EU bald nicht mehr verkauft werden

datensicherheit.de, 22.11.2024
Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle / ONEKEY warnt vor höchster Gefahr für Hersteller vernetzter Geräte, Maschinen und Anlagen, deren Produkte Open-Source-Software enthalten

datensicherheit.de, 20.11.2024
CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand / „Cyber Resilience Act“ (CRA) offiziell im Amtsblatt der Europäischen Union veröffentlicht