FTAPI gibt CRA-Tipps für KMU: Cyber Resilience Act oft ein Buch mit 7 Siegeln

Erste Meldepflichten greifen ab September 2026 – FTAPI benennt fünf Schritte, damit Anbieter digitaler Produkte noch rechtzeitig „CRA-ready“ werden

[datensicherheit.de, 30.04.2026] Der „Cyber Resilience Act“ (CRA) ist nun mittlerweile seit Dezember 2024 in Kraft. „Doch für viele kleine und mittlere Unternehmen bleibt er ein Buch mit ,sieben Siegeln’“, kommentiert Ari Albertini, CEO bei FTAPI. Aber dies ändere sich gerade: „Ab September 2026 greifen die ersten Meldepflichten, und das deutsche Durchführungsgesetz, das die Umsetzung regeln soll, steckt in der Kritik.“ Verbände wie etwa der TeleTrusT bemängelten, dass die vorgesehene Unterstützung für KMU weit hinter dem Bedarf zurückbleibe. Nach Einschätzung von FTAPI sollten KMU nicht auf staatliche Hilfe warten, sondern jetzt selbst handeln und ihre „CRA-Readiness“ aufbauen.

Foto: FTAPI

Ari Albertini unterstreicht: Wer CRA-konform ist, wird zum bevorzugten Partner in Lieferketten, in denen Auftraggeber künftig auf nachweisbare Sicherheitsstandards bestehen müssen

CRA-Umsetzung als „Chefsache“

Der CRA verpflichtet alle Hersteller, Importeure und Händler von Produkten mit digitalen Elementen wie Software, Hardware und IoT-Geräte zu umfassenden Cybersicherheitsmaßnahmen.

• „Anders als bei Regularien wie NIS-2 gibt es hier keine größenabhängigen Ausnahmen. Ob Konzern oder Kleinstunternehmen: Wer digitale Produkte in der EU vertreibt, muss die Anforderungen erfüllen!“

Die Umsetzung sei dabei nicht nur Aufgabe der IT-Abteilung, sondern „Chefsache“ – mit persönlicher Haftung der Geschäftsführung im Ernstfall. Gleichzeitig zeige der aktuelle Referentenentwurf zum „CRA-Durchführungsgesetz“: Der Staat habe für die Unterstützung 1,28 Millionen Euro jährlich eingeplant. Zum Vergleich: „Das ,NIS-2-Gesetz’ sah allein für Schulungen in der Bundesverwaltung das Vierfache vor.“

FTAPI-Checkliste: In 5 Schritten zur „CRA-Readiness“

Die Unterstützungslücke zeige deutlich: KMU müssten die CRA-Umsetzung selbst in die Hand nehmen. Fünf Schritte, die jetzt zählten:

• Schritt 1: Betroffenheit klären!
  Jedes Produkt, welches sich direkt oder indirekt mit einem Gerät oder Netzwerk verbinden kann (also nicht nur IoT-Geräte, sondern auch reine Softwareprodukte) fällt unter den CRA, unabhängig davon, ob es tatsächlich verbunden wird. Dies betrifft nicht SaaS-Lösungen und Open-Source-Komponenten.

• Schritt 2: Meldeprozesse aufbauen!
  Die erste harte Pflicht greift bereits in wenigen Monaten: Ab dem 11. September 2026 müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle gemeldet werden. Der Zeitplan ist eng:
  – Erstmeldung innerhalb von 24 Stunden
  – Folgemeldung innerhalb von 72 Stunden
  – Abschlussbericht spätestens 14 Tage nach Verfügbarkeit einer Abhilfemaßnahme
  Wer noch keine internen Prozesse für Schwachstellen-Management und „Incident Response“ hat, muss diese jetzt etablieren – nicht als IT-Projekt, sondern als Betriebsthema.

• Schritt 3: „Security by Design“ verankern!
  Der CRA verlangt, dass Sicherheit von Beginn an Teil der Produktentwicklung ist. Die größten Lücken entstehen dort, wo Architekturentscheidungen (Authentifizierung, Datenflusskontrolle, Mandantenfähigkeit) ohne explizite Security-Perspektive getroffen wurden. KMU, die jetzt starten, müssen keine Perfektion anstreben, aber einen nachweisbaren, dokumentierten Prozess.

• Schritt 4: Lieferkette und Open-Source-Abhängigkeiten inventarisieren!
  Viele Produkte bestehen heute aus einer Kombination aus Eigenentwicklung, Open-Source-Bibliotheken, „Cloud“-Diensten und Drittkomponenten. Der CRA adressiert genau diese Risiken: Hersteller tragen die Verantwortung auch für eingebettete Komponenten Dritter. Eine „Software Bill of Materials“ (SBOM) – eine strukturierte Übersicht aller verwendeten Softwarebestandteile – ist dabei das zentrale Werkzeug, um Transparenz herzustellen und im Ernstfall handlungsfähig zu bleiben.

• Schritt 5: Fördermöglichkeiten nutzen!
  Die EU stellt mit dem Programm „SECURE“ insgesamt 16,5 Millionen Euro als direkte finanzielle Unterstützung für KMU bereit, welche Produkte mit digitalen Elementen herstellen, entwickeln oder vertreiben. Förderfähig sind demnach u.a. Risikoanalysen, Penetrationstests und Sicherheitsbewertungen. Antragsberechtigt sind Unternehmen mit weniger als 250 Mitarbeitern und bis zu 50 Millionen Euro Jahresumsatz. Der erste „Call“ ist bereits geschlossen, eine zweite Runde bereits angekündigt.

CRA-Konformität: Regulierung als Wettbewerbsvorteil erkennen

Die Anforderungen eröffneten auch eine strategische Chance: „Wer CRA-konform ist, wird zum bevorzugten Partner in Lieferketten, in denen Auftraggeber künftig auf nachweisbare Sicherheitsstandards bestehen müssen.“ Umgekehrt drohe der Verlust von Aufträgen für alle, die nicht liefern können.

• „Die neuen Regularien zwingen Unternehmen, Cybersicherheit strategisch zu denken”, betont Albertini. Er führt hierzu weiter aus: „Das ist der Moment, in dem sich entscheidet, wer in den nächsten Jahren noch als verlässlicher Technologiepartner wahrgenommen wird. KMU, die jetzt handeln, kaufen sich einen Vorsprung, den andere nicht mehr aufholen können.“

Der CRA markiere das Ende der Ära, „in der Cybersicherheit ein Thema für Spezialisten war“. Unternehmen, welche Sicherheit als operative und strategische Selbstverständlichkeit begreifen, schützen nicht nur ihre Produkte, sondern sicherten ihre Marktfähigkeit in einem regulierten Europa.

Weitere Informationen zum Thema:

TeleTrusT Bundesverband IT-Sicherheit e.V., 01.04.2026
Stellungnahmen 2026 / Stellungnahme zum BMI-Referentenentwurf des Durchführungsgesetzes zur Cyberresilienz-Verordnung

SECURE Cyber Resilience für SMEs
About SECURE: Strengthening the cyber resilience of European MSMEs for a more secure and sustainable digital single market. 

ftapi
Die #1 Plattform für sicheren Datenaustausch. / Die beste Wahl, um sensible Dateien sicher und gesetzeskonform auszutauschen. Made & hosted in Germany.

heise business services
Ari Albertini – CEO, FTAPI

datensicherheit.de, 21.03.2026
Cyber Resilience Act: BSI hat Vorsitz der AdCo CRA / Die Rolle der Vorsitzenden wurde Anna Schwendicke, BSI-Referatsleiterin „Marktaufsicht“, im Rahmen der Sitzung der AdCo CRA am 19. März 2026 in Athen übertragen

datensicherheit.de, 06.04.2025
CRA erzwingt Produktanpassungen: Höchste Zeit für Hersteller zu handeln / Geräte mit ausnutzbaren Cyber-Schwachstellen dürfen nach CRA-Inkrafttreten in der EU bald nicht mehr verkauft werden

datensicherheit.de, 22.11.2024
Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle / ONEKEY warnt vor höchster Gefahr für Hersteller vernetzter Geräte, Maschinen und Anlagen, deren Produkte Open-Source-Software enthalten