Cyber Resilience Act: BSI wird zum digitalen TÜV für vernetzte Produkte

Die Bundesregierung hat die Weichen für eine umfassende Regulierung der Cybersicherheit von vernetzten Produkten in Deutschland gestellt. Mit dem Entwurf eines Gesetzes zur Durchführung der Cyberresilienz-Verordnung (Cyber Resilience Act) der EU soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) zur zentralen Instanz für die Sicherheit im digitalen Binnenmarkt werden.

Das BSI übernimmt dabei laut dem am Mittwoch vom Bundeskabinett auf den Weg gebrachten Regierungsentwurf eine Doppelrolle als Marktüberwachungs- und Notifizierungsbehörde. So soll das Bonner Amt weitreichende Befugnisse erhalten, um sicherzustellen, dass Produkte mit digitalen Elementen – vom smarten Kühlschrank bis zur industriellen Steuerung – die EU-weiten Mindestanforderungen an die Cybersicherheit erfüllen.

Die Initiative folgt dem Prinzip einer Eins-zu-eins-Umsetzung der europäischen Vorgaben. Die Regierung verzichtet bewusst auf zusätzliche nationale Anforderungen, um den bürokratischen Aufwand für die Wirtschaft gering zu halten. Hersteller werden durch den Cyber Resilience Act (CRA) verpflichtet, schon bei der Konzeption Sicherheitsaspekte zu berücksichtigen (Security by Design), Risikobewertungen vorzunehmen und über den Lebenszyklus eines Produkts Sicherheitsupdates bereitzustellen.

Besonders relevant ist die neue Meldepflicht für aktiv ausgenutzte Schwachstellen. Sie greift schon ab dem 11. September 2026. Die vollständigen Anforderungen sollen erst ab Dezember 2027 verbindlich werden.

Personalaufbau und neue Kontrollinstanzen beim BSI

Um diese Mammutaufgabe zu bewältigen, ist ein hoher personeller Aufwand vorgesehen. Das BSI soll für die neuen Aufgaben bereits in diesem Jahr 95 zusätzliche Stellen erhalten. Bis 2029 soll dieser Bedarf auf insgesamt 141 Stellen anwachsen.

Neben der Überwachung der Konformität von Produkten wird das BSI eine Beschwerdestelle für Verbraucher einrichten. Zudem erhält die Behörde die Kompetenz, Prüfstellen bei Engpässen auch selbst zu bewerten und zu überwachen, sofern ein öffentliches Interesse an deren Notifizierung besteht.

Ein zentraler Baustein des Gesetzes sind gezielte Unterstützungsangebote. Das BSI wird beauftragt, Sensibilisierungen und Schulungen anzubieten, die sich ausdrücklich auch an kleine und mittlere Unternehmen (KMU) sowie an Verwalter von Open-Source-Software richten.

Ein Reallabor für Cyberresilienz soll Herstellern eine kontrollierte Umgebung bieten, um die Anforderungen der Verordnung praktisch zu erproben. Für die Einrichtung dieses Zentrums und die Notifizierung von Prüfstellen veranschlagt der Bund einmalig Kosten in Höhe von rund 10 Millionen Euro.

Politische Debatte um Fristen und Kapazitäten

Der Entwurf geht nun an Bundestag und Bundesrat. Die Länderkammer muss dem Gesetz nicht zustimmen. Abgeordnete begrüßen das Vorhaben grundsätzlich, stellen aber kritische Fragen. Digitalpolitiker aus der Regierungskoalition wie Henri Schmidt (CDU) loben die Unterstützung für KMU und bringen eine Ausweitung dieser Angebote auf weitere Akteure ins Spiel.

Die Grünen mahnen indes zur Eile, da die EU-Vorschriften zur Notifizierung bereits im Juni 2026 wirksam werden. Die digitalpolitische Sprecherin Jeanne Dillschneider warnte im Gespräch mit dem SZ-Dossier davor, die langen Übergangsfristen könnten Firmen dazu verleiten, nötige Vorbereitungen aufzuschieben. Sie zieht Parallelen zur Umsetzung der NIS2-Richtlinie, bei der viele Einrichtungen Meldefristen versäumten. Erforderlich sei eine frühzeitige Vorbereitung der Prüfstrukturen, um Engpässe bei der Produktzertifizierung zu vermeiden.

(wpl)