[datensicherheit.de, 21.03.2026] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldet, dass im Rahmen der Umsetzung des „Cyber Resilience Act“ (CRA) dem BSI erneut eine besondere Rolle zuerkannt wird – neben der Ernennung zur marktüberwachenden Behörde übernimmt das BSI auf europäischer Ebene nun den Vorsitz der AdCo CRA (Administrative Cooperation Group Cyber Resilience Act).

Foto: © ENISA

Teilgruppenbild der AdCo CRA in Athen (v.l.n.r): Tommaso Bernabo (DG Connect), Perit Kirkmann-Raave (ENISA), Maika Fohrenbach (DG Connect), Xenia Kyriakidou (Digital Security Authority Zypern – Vice-Chair AdCo CRA), Anna Schwendicke (BSI – Chair AdCo CRA), Luis Miguel Vega Fidalgo (DG Connect), Razvan Gavrila (ENISA)

AdCo CRA – eine formelle Gruppe zur effizienten europäischen Marktüberwachung

Die Rolle der Vorsitzenden übernimmt demnach Anna Schwendicke, BSI-Referatsleiterin „Marktaufsicht“ – der Vorsitz wurde ihr offiziell auf der Sitzung der AdCo CRA am 19. März 2026 in Athen übertragen. Mit dieser Funktion erfolge nun ein bedeutender nächster Schritt im Aufbau des „CRA-Ökosystems“.

• Die AdCo CRA sorge als eine formelle Gruppe für eine effiziente übergreifende Zusammenarbeit und Kommunikation der europäischen Marktüberwachungsbehörden und eine einheitliche Auslegung der Marktüberwachungen im europäischen Binnenmarkt.

Zudem entwickele sie gemeinsame Vorgehensweisen und Methodiken zur Umsetzung der Anforderungen des CRA und koordiniere übergreifende Marktüberwachungsmaßnahmen.

BSI in der Verantwortung für EU-weite einheitliche CRA-Umsetzung

Mit dieser aktiven Rolle übernehme das BSI Verantwortung für die EU-weite einheitliche CRA-Umsetzung. Schwendicke führt hierzu aus: „Die CRA-Marktüberwachung ist ein europäisches Vorhaben, denn nur mit einem robusten und effizienten europäischen ,Ökosystem‘ kann Cybersicherheit erfolgreich im Markt verankert werden. Als BSI wollen wir unsere Cybersicherheits-Expertise und Netzwerke nutzen, um dieses System gemeinschaftlich mit unseren europäischen AdCo-Partnern aufzubauen.“

• Umfangreiche Cybersicherheitskompetenzen, Erfahrungen mit der Cybersicherheit von Produkten und ein starkes Netzwerk an anderen europäischen Behörden machten das BSI zu einer geeigneten Instanz für die Ausübung des Vorsitzes.

Der CRA ist laut BSI die erste europäische Verordnung, welche „ein angemessenes Maß an Cybersicherheit für alle Produkte mit digitalen Elementen, die auf dem EU-Markt erhältlich sind, festlegt“. Ziel sei es, die Cybersicherheit innerhalb der Europäischen Union (EU) zu erhöhen: „Die neuen Vorschriften gelten in allen EU-Mitgliedstaaten und werden bis zum 11. Dezember 2027 schrittweise umgesetzt.“

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Cyber Resilience Act – Cybersicherheit EU-weit gedacht

Bundesamt für Sicherheit in der Informationstechnik, 07.10.2025
Cyber Resilience Act: BSI wird marktüberwachende Behörde

European Commission
Administrative Cooperation Groups (AdCos): European cooperation on market surveillance takes place through informal groups of market surveillance authorities, called Administrative Cooperation Groups (AdCos)

European Commission
Draft Commission guidance on the Cyber Resilience Act

datensicherheit.de, 06.04.2025
CRA erzwingt Produktanpassungen: Höchste Zeit für Hersteller zu handeln / Geräte mit ausnutzbaren Cyber-Schwachstellen dürfen nach CRA-Inkrafttreten in der EU bald nicht mehr verkauft werden

datensicherheit.de, 22.11.2024
Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle / ONEKEY warnt vor höchster Gefahr für Hersteller vernetzter Geräte, Maschinen und Anlagen, deren Produkte Open-Source-Software enthalten

datensicherheit.de, 20.11.2024
CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand / „Cyber Resilience Act“ (CRA) offiziell im Amtsblatt der Europäischen Union veröffentlicht