Deutschlands Umsetzungsgesetz zum Cyber Resilience Act
Das Bundeskabinett bestätigte am 29.04.2026 den Referentenentwurf vom 12. März 2026 zum deutschen Umsetzungsgesetz betreffend dem europäischen Cyber Resilience Act (CRA, Verordnung (EU) 2024/2847). Die Umsetzung nimmt damit konkrete Gestalt an: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll künftig als zentrale Marktüberwachungsbehörde für vernetzte Produkte fungieren.
Der CRA, der am 10. Dezember 2024 in Kraft getreten ist, verpflichtet Hersteller erstmals horizontal, also für alle Produkte mit digitalen Elementen, zur Einhaltung von Mindeststandards der Cybersicherheit und erweitert die CE-Kennzeichnung um eine Cybersicherheitsdimension. Da EU-Verordnungen zwar unmittelbar gelten, aber nationale Durchführungsgesetze für institutionelle und verfahrensrechtliche Fragen erfordern, legt der BMI-Referentenentwurf nun die Rechtsgrundlagen im BSI-Gesetz (BSIG) fest.
Im Mittelpunkt stehen vier Regelungskomplexe: Erstens wird das BSI gemäß § 65 BSIG-E als nationale Marktüberwachungsbehörde benannt, die Produktkonformität prüft und Maßnahmen ergreifen kann. Zweitens übernimmt das BSI die Notifizierung von Konformitätsbewertungsstellen (§ 66 BSIG-E). Dies sind akkreditierte Stellen, die bei besonders kritischen Produktkategorien Konformitätsprüfungen durchführen. Drittens sieht § 67 BSIG-E Unterstützungsmaßnahmen für Hersteller vor, darunter die mit 7,5 Mio Euro budgetierte Erreichtung eines Reallabors für Cyberresilienz, in dem Produkte vor Marktzulassung in kontrollierter Umgebung erprobt werden können. Viertens regeln §§ 69–70 BSIG-E das Bußgeldverfahren, wobei das BSI als zuständige Verwaltungsbehörde agiert.
Zeitlich ist der Entwurf dringlich: Erste CRA-Pflichten, insbesondere die Notifizierungsregeln, greifen ab dem 11. Juni 2026, die Meldepflicht für aktiv ausgenutzte Schwachstellen ab dem 11. September 2026. Branchen- und Sicherheitsverbände wie TeleTrusT und OSBA begrüßen die Aufgabenbündelung beim BSI grundsätzlich, mahnen aber ausdrücklich eine verlässliche personelle und finanzielle Ausstattung an. Der Entwurf sieht bis 2029 für das BSI immerhin 141 neue Planstellen und jährliche Betriebskosten von rund 20,5 Millionen Euro vor. Kritisiert wird jedoch, dass Widersprüche gegen Entscheidungen der Marktüberwachungsbehörde nach § 65 Abs. 4 BSIG-E keine aufschiebende Wirkung haben und somit Wirtschaftsakteuere somit grundsätzlich stärker unter Druck gesetzt werden anstatt im Einzelfall zu reagieren.
Quellen:
- Stärkung der Cybersicherheit mit Cyberresilienz in Europa | Bundesregierung
- Bundesministerium des Innern: Referentenentwurf eines Gesetzes zur Durchführung der Verordnung (EU) 2024/2847 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (Cyberresilienz-Verordnung), Bearbeitungsstand 12.03.2026. URL: https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/Downloads/referentenentwuerfe/CI3/vo-entwurf-cyberresilienz.pdf?__blob=publicationFile&v=1
- Heise online: Cyber Resilience Act: BSI wird zum digitalen TÜV für vernetzte Produkte, 2026. URL: https://www.heise.de/news/Cyber-Resilience-Act-BSI-wird-zum-digitalen-TUeV-fuer-vernetzte-Produkte-11278890.html
- TeleTrusT Bundesverband IT-Sicherheit e.V.: Stellungnahme zum BMI-Referentenentwurf des Durchführungsgesetzes zur Cyberresilienz-Verordnung, 01.04.2026. URL: https://www.teletrust.de/fileadmin/user_upload/TeleTrusT-Stellungnahme_BMI-RefE_Cyberresilienz-VO.pdf
- Open Source Business Alliance – Bundesverband für digitale Souveränität e.V.: Referentenentwurf für ein Durchführungsgesetz zur Cyberresilienz-Verordnung Stellungnahme der Open Source Business Alliance, 02.04.2026. URL: https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/Downloads/stellungnahmen/CI3/cyberresilienz-vo/osba.pdf?__blob=publicationFile&v=2