TeleTrusT kritisiert Entwurf zum CRA-Durchführungsgesetz



April 10, 2026



Politik

Kontext: Was der Cyber Resilience Act in der EU tatsächlich verändert Mit dem Cyber Resilience Act (CRA) entsteht erstmals ein EU-weit einheitlicher Rahmen, der verpflichtende Cybersicherheitsanforderungen für Hardware und Software („Produkte mit digitalen Elementen“) über den gesamten Lebenszyklus hinweg etabliert. Ziel ist, ein Mindestniveau an Produktsicherheit zu erzwingen und die bislang häufig mangelhafte Update- und Schwachstellenpraxis vieler digitaler Produkte zu adressieren.

Kernpunkte aus Sicht von Herstellern und Lieferkettenpartnern:

Security by Design & Lifecycle Pflichten: Der CRA verlangt von Herstellern, Cybersicherheit bereits in Planung, Design, Entwicklung und Wartung konsequent umzusetzen und Schwachstellen über den Produktlebenszyklus zu behandeln.2
CE‑Logik + Marktaufsicht: Produkte sollen über die CE‑Systematik als konform erkennbar werden; die Durchsetzung erfolgt durch nationale Markt- überwachungsbehörden.2
Konformitätsbewertung wird für einige Produktklassen „hart“: Die Kommission beschreibt, dass für die meisten Produkte eine HerstellerSelbstbewertung möglich ist, aber bestimmte „wichtige“ und „kritische“ Kategorien (z. B. Router/Firewalls bzw. Secure Elements/Smart‑Meter‑Gateways) teils zwingend eine notifizierte Stelle erfordern.3
Früh wirksame Meldepflichten: Besonders relevant für 2026 ist die Meldepflicht: Ab 11. September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle melden.4

Die Meldepflicht ist dabei nicht nur „irgendwann“ zu erfüllen, sondern zeitkritisch organisiert:

Vorwarnung binnen 24 Stunden (ab Kenntnis),
vollständige Meldung binnen 72 Stunden,
Abschlussbericht: spätestens 14 Tage nach Verfügbarkeit einer Abhilfemaßnahme (bei aktiv ausgenutzten Schwachstellen) bzw. binnen eines Monats (bei schwerwiegenden Vorfällen). 5

Technisch und organisatorisch wird das EU‑weit über eine Single Reporting Platform (SRP) gebündelt, die von ENISA6 aufgebaut wird. 7

Auch für kleine und mittlere Unternehmen (KMU/MSMEs) sind Unterstützungsmecha- nismen vorgesehen – einschließlich Training, Awareness, Information/Kommunikation, Testmöglichkeiten, Unterstützung bei Drittprüfungen und regulatorischer Sandboxes auf Ebene der Mitgliedstaaten.8

Warum ein deutsches Durchführungsgesetz nötig ist

Obwohl der CRA als EU‑Verordnung grundsätzlich unmittelbar gilt, hängt seine praktische Wirksamkeit von nationalen Vollzugsstrukturen ab.
Die Europäische Kommission beschreibt die Rolle der Mitgliedstaaten als ex‑post Enforcement‑Modell: Hersteller bringen Produkte in eigener Verantwortung auf den Markt; die Mitgliedstaaten überprüfen strategisch, nehmen Inspektionen vor und können Korrektur‑ oder Einschränkungsmaßnahmen entlang der Lieferkette anordnen.
Zudem verantworten die Mitgliedstaaten die „Management“-Ebene der Konformitätsbewertungsstellen (Benennung/-Überwachung) und müssen hierfür Notifying Authorities designieren.9
Genau in diesem Spannungsfeld setzt die Stellungnahme des Bundesverband IT-Sicherheit e.V.10 (TeleTrusT) an: Der Verband betont, dass nationale Maßnahmen insbesondere die Vollzugsarchitektur absichern müssen (Marktüberwachung, Notifizierung, KMU‑Unterstützung, Sanktions-/Bußgeldrahmen). Gleichzeitig warnt TeleTrusT vor einem „zu formalen“ Vollzug ohne belastbare praktische Durchsetzung. 11
Zeitdruck entsteht zusätzlich durch die gestaffelten Anwendungsdaten
Erste CRA‑Elemente greifen im Jahr 2026; TeleTrusT fordert entsprechend, dass nationale Vorschriften rechtzeitig – spätestens zum Junistichtag 2026 – stehen, um Rechtsunsicherheit und faktische Vollzugsprobleme zu vermeiden.12

Was der BMI‑Referentenentwurf konkret vorsieht

Der Referentenentwurf (Bearbeitungsstand 12.03.2026) ordnet die CRA‑Durchführung in Deutschland im Kern über Änderungen des BSIG und setzt dabei auf eine zentrale Behördenrolle des Bundesamt für Sicherheit in der Informationstechnik13 (BSI). 14

Zentralisierung beim BSI: Marktüberwachung, Notifizierung, CSIRT‑Funktion

Im Entwurf werden dem BSI ausdrücklich Aufgaben als

zuständige Marktüberwachungsbehörde und
zuständige notifizierende Behörde

zugewiesen. 15

Zusätzlich wird klargestellt, dass das BSI im CRA‑Kontext auch CSIRT‑Aufgaben übernimmt, also insbesondere Meldungen über aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle entgegennimmt und bewertet. 16

Im Vollzugsteil (§ 65 BSIG‑E) sieht der Entwurf zudem eine Beschwerdestelle vor und regelt, dass Widerspruch und Klage keine aufschiebende Wirkung haben (sofortige Vollziehbarkeit aufsichtsrechtlicher Entscheidungen). 17
Akkreditierung/Notifizierung:

Grundsatz DAkkS, Ausnahme „öffentliches Interesse“

Für Konformitätsbewertungsstellen wird ein zweistufiges System modelliert:

Grundsatz: Bewertung/Überwachung der Stellen erfolgt über die nationale Akkreditierungsstelle (in Deutschland praktisch die Deutsche Akkreditierungsstelle18 – DAkkS). 19
Ausnahme: Das BSI kann in bestimmten Fällen die Bewertung selbst durchführen, wenn die Notifizierung „im öffentlichen Interesse“ liegt. 20

Die Entwurfsbegründung konkretisiert „öffentliches Interesse“ insbesondere als Reaktion auf einen drohenden Engpaß: Wenn über das Akkreditierungssystem nicht rechtzeitig genügend notifizierte Stellen verfügbar sind, könne dies den Marktzugang „wichtiger“ oder „kritischer“ Produktkategorien behindern – mit potenziellen Sicherheitsfolgen. 21
Ressourcen und Kosten: große Aufgaben – aber Haushaltsvorbehalt

Der Entwurf beziffert die Größenordnung der neuen Aufgaben ungewöhnlich konkret:

Personalmehrbedarf beim BSI: dauerhaft 141 Stellen bis 2029. 22
Einmalige Sachkosten: 10 Mio. Euro, insbesondere für ein „Reallabor“.23
Laufende jährliche Sachkosten: u. a. 8,1 Mio. Euro für externe Dienstleister im Rahmen der Marktüberwachung. 24
Für die Unterstützung betroffener Wirtschaftsakteure (Schulung/Sensibilisierung) weist die Verwaltungskosten Kalkulation einen laufenden Erfüllungsaufwand von rund 1,281 Mio. Euro/Jahr aus.25

Gleichzeitig enthält der Entwurf den entscheidenden Vorbehalt: Der Mehrbedarf an Sach‑/Personalmitteln „ist Gegenstand künftiger Haushaltsaufstellungsverfahren“ – also noch nicht verbindlich abgesichert. 24

Inkrafttreten folgt CRA‑Taktung

Zur zeitlichen Staffelung paßt sich der Entwurf ausdrücklich an den CRA‑Fahrplan an:

Notifizierungsvorschriften ab 11. Juni 2026,
Meldepflichten ab 11. September 2026,
„übrige“ Regelungen ab 11. Dezember 2027. 26

TeleTrusT‑Kritik im Detail: Wo der Verband Nachschärfung fordert – und warum

TeleTrusT erkennt zwar an, daß der Entwurf die notwendigen Bausteine grundsätzlich adressiert. Die Kritik zielt aber auf die praktische Tragfähigkeit. 27

Kritikpunkt: Aufgabenbündelung beim BSI ohne verlässlich abgesicherte Ausstattung
TeleTrusT hält die Zentralisierung beim BSI für grundsätzlich sinnvoll, weil sie Kompetenz bündelt und eine zersplitterte Vollzugspraxis verhindert – aber nur, wenn das BSI personell, technisch und organisatorisch tatsächlich in der Lage ist, die CRA‑Aufgaben im notwendigen Umfang zu erfüllen. 11
Der Verband kritisiert, daß der Entwurf zwar Vollzugsaufwände beziffert, die Absicherung aber faktisch offenläßt und den Haushaltsvorbehalt nicht durch verbindliche Zusagen ersetzt. 28
Diese Sorge wird durch die Größenordnung der im Entwurf angenommenen Lasten greifbar: Allein für die CRA‑Melde‑ und Bearbeitungsprozesse kalkuliert der Entwurf beispielsweise mit einem Volumen von durchschnittlich 2.000 Meldungen pro Jahr. 29

Kritikpunkt: Notifizierung ohne Akkreditierung – „öffentliches Interesse“ zu weit
TeleTrusT adressiert § 66 Abs. 3 BSIG‑E als einen der kritischsten Punkte: Die Ausnahme, Konformitätsbewertungsstellen ohne Akkreditierung zu notifizieren, sei „zu weit“ und drohe – wenn bereits ein bloßer Mangel an Stellen als öffentliches Interesse gilt – zu einem Instrument reiner Kapazitäts‑ und Marktzugangssicherung zu werden. 30

Der Entwurf selbst begründet die Ausnahme genau mit einem möglichen Engpaß: Wenn nicht genügend notifizierte Stellen vorhanden sind, könne dies den Marktzugang wichtiger/kritischer Produkte behindern. 21

TeleTrusT hält dagegen: Qualitätsstandards dürften nicht „wegreguliert“ werden, um Kapazitätsprobleme zu kom- pensieren. Stattdessen müsse vor allem die DAkkS rechtzeitig so ausgestattet werden, daß eine ausreichende Zahl akkreditierter Stellen verfügbar ist; andernfalls werde die akkreditierungsbasierte Qualitätssicherung unterlaufen. 31

Gerade weil die Kommission selbst betont, dass für bestimmte Produktklassen die Beteiligung einer notifizierten Stelle faktisch zwingend ist, wäre ein Engpaß nicht nur ein „Verfahrensproblem“, sondern ein realer Marktzugangs‑Flaschenhals. 3

Kritikpunkt: Unterstützungsleistungen für Unternehmen sind zu vage – und zu klein finanziert
TeleTrusT sieht § 67 BSIG‑E als deutlich unterdimensioniert: Die Vorschrift übernehme zwar formal CRA‑Unterstützungsideen, lasse aber offen, in welcher Form, Tiefe und mit welchem praktischen Nutzen Schulungs‑ und Sensibilisierungsangebote tatsächlich erbracht werden sollen. 30

Fakten aus dem Entwurf:

§ 67 sieht im Normtext im Wesentlichen zwei Maßnahmen: Schulung/Sensibilisierung sowie Einrichtung/Betrieb eines Reallabors. 32
Die Verwaltungskalkulation veranschlagt für diese Unterstützungsleistungen (Schulungen/Sensibilisierung) rund 1,281 Mio. Euro/Jahr. 33

TeleTrusT argumentiert, dass dieser Rahmen angesichts der organisatorischen, technischen und personellen Umstellungen durch den CRA „ersichtlich zu knapp“ sei – insbesondere für KMU. 27
Zusätzlich weist TeleTrusT darauf hin, dass zwei in Art. 33 Abs. 1 CRA genannte Unterstützungsbausteine im § 67 BSIG‑E nicht explizit auftauchen: ein spezieller Kommunikationskanal für Kleinst-/Kleinunternehmen sowie Unterstützung bei Prüf‑ und Konformitätsbewertungstätigkeiten. 34

Ein zweiter, nicht nur finanzieller, sondern struktureller Einwand: TeleTrusT sieht eine Rollenkonflikt‑Gefahr, wenn dieselbe Behörde (BSI) einerseits unterstützt, andererseits als Marktüberwachungsbehörde sanktioniert. Der Verband schlägt alternativ externe, unabhängige Unterstützungsstellen vor, um Akzeptanz und Wirksamkeit zu erhöhen. 27

Kritikpunkt: „Reallabor“ droht Symbolpolitik zu werden
TeleTrusT begrüßt die Idee eines Reallabors grundsätzlich, weil eine kontrollierte Prüfumgebung gerade KMU helfen kann, Anforderungen früh zu verstehen und Umsetzungsfragen vor Markteintritt zu klären. 35

Die Kritik richtet sich gegen zwei Punkte:

Im Entwurf bleibt die konkrete Ausgestaltung offen; es sei unklar, wann eine Nutzung „im öffentlichen Interesse“ liegt und nach welchen Kriterien Unternehmen Zugang erhalten. 35
Der Entwurf betont ausdrücklich, daß kein Anspruch auf Individualberatung besteht – was die praktische Nutzbarkeit für Unternehmen weiter einschränken kann. 36

TeleTrusT hebt zudem hervor, daß der CRA für Reallabore Anforderungen an einen offenen, fairen und transparenten Zugang vorsieht und fordert hierfür eine KMU‑taugliche Nachschärfung. 34

Einordnung für die Praxis: Was Hersteller und Betreiber jetzt vorbereiten sollten

Auch wenn TeleTrusT sich auf Vollzug und Struktur konzentriert, ergeben sich aus dem Zusammenspiel von CRA‑Pflichten und nationaler Durchführung bereits heute klare Handlungsfelder für Unternehmen in Deutschland37 und der gesamten Europäische Union38.

Erstens: Die Meldeprozesse müssen bis spätestens September 2026 stehen. Das ist keine „Compliance‑Kleinigkeit“, sondern ein 24/72‑Stunden‑ Betriebsthema (Triage, Reproduzierbarkeit, Exploit‑Bewertung, Koordination mit PSIRT/CSIRT, belastbare Kommunikationsketten). Der CRA‑Mechanismus läuft über die SRP und adressiert CSIRTs im Land der Hauptniederlassung. 7
Zweitens: Für bestimmte Produktklassen wird die Verfügbarkeit notifizierter Stellen entscheidend. Die Kommission erwartet für viele Produkte Selbstbewertung, aber bei „wichtigen“ und „kritischen“ Kategorien kann eine notifizierte Stelle zwingend werden.3
> Damit ist TeleTrusTs Warnung vor Engpässen nicht abstrakt: Wer ein Produktportfolio in diesen Kategorien hat, sollte frühzeitig prüfen, ob Drittprüfungspflichten drohen – und ob sich Kapazitäten am Markt rechtzeitig sichern lassen.
Drittens: Unternehmen sollten die deutsche Vollzugsarchitektur als „Single Point of Contact“ einplanen. Der Entwurf bündelt Marktüberwachung, Notifizierung, Beschwerde- und CSIRT‑Funktionen beim BSI. 16
> Das bedeutet praktisch: Dokumentation, Nachweise und Kommunikation werden sich – zumindest national – stark an der Erwartungshaltung und Prozessreife dieser einen Behörde ausrichten (müssen).
Viertens: Wer auf staatliche Unterstützung hofft, sollte realistisch bleiben und parallel eigene Umsetzungsprogramme aufsetzen. Der Entwurf sieht Unterstützungsleistungen zwar vor, begrenzt sie aber normativ auf Schulungen/Sensibilisierung und Reallabor Betrieb und schließt einen Anspruch auf Individualberatung aus. 20 Zugleich zeigt die Entwurfs‑Kalkulation, daß die geplanten Budgets für Unterstützungsmaßnahmen begrenzt sind. 33
Fünftens: Das Thema „CRA‑Umsetzung“ ist nicht nur Technik, sondern Marktmechanik. Die Kommission beschreibt ausdrücklich, daß Mitgliedstaaten Produkte strategisch überprüfen und bei Bedarf Korrektur‑ oder Einschränkungsmaßnahmen entlang der Lieferkette verlangen können. 39
> Damit wird CRA‑Konformität zu einem Faktor für Produktfreigaben, Lieferkettenzusagen, Ausschreibungen und (bei Plattform‑Produkten) Partnerökosysteme.

TeleTrusTs Kernbotschaft läßt sich so zusammenfassen: Der Gesetzesentwurf setzt die richtigen „Boxen“ (BSI‑Zuständigkeit, Akkreditierung/Notifizierung, Unterstützungsangebote), aber ohne klare Ressourcen‑ und Qualitätsgarantien droht ein Vollzug, der formal existiert, praktisch aber hinter dem Anspruch des CRA zurückbleibt. 40
[ML]

Fußnoten
[1] [2] [4] [38] https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act
https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act
[3] https://digital-strategy.ec.europa.eu/en/policies/cra-conformity-assessment
https://digital-strategy.ec.europa.eu/en/policies/cra-conformity-assessment
[5] [7] https://digital-strategy.ec.europa.eu/en/policies/cra-reporting
https://digital-strategy.ec.europa.eu/en/policies/cra-reporting
[6] [10] [14] [15] [16] [17] [19] [20] [21] [22] [23] [24] [25] [26] [29] [32] [33] [36] https://bundestagszusammenfasser.de/wp-content/uploads/rewp21/1183_vo-entwurf-cyberresilienz.pdf
https://bundestagszusammenfasser.de/wp-content/uploads/rewp21/1183_vo-entwurf-cyberresilienz.pdf
[8] https://digital-strategy.ec.europa.eu/en/policies/cra-msmes
https://digital-strategy.ec.europa.eu/en/policies/cra-msmes
[9] [39] https://digital-strategy.ec.europa.eu/en/policies/cra-member-states
https://digital-strategy.ec.europa.eu/en/policies/cra-member-states
[11] [12] [13] [18] [27] [28] [30] [31] [34] [35] [37] [40] https://www.teletrust.de/publikationen/stellungnahmen/2026
https://www.teletrust.de/publikationen/stellungnahmen/2026

Alle News im Überblick 2026

Apr. 9, 2026

09.04.2026 Ratiodata stärkt physische Sicherheit mit eCLIQ von ASSA ABLOY 09.04.2026 FREQUENTIS: Starkes Wachstum bei Umsatz, Ergebnis und Jobs 08.04.2026 Verfassungsrechtliche Grenzen der Bargeldverdrängung und ihre systemische Bedeutung 08.04.2026 Breitband aus dem...

Verfassungsrechtliche Grenzen der Bargeldverdrängung und ihre systemische Bedeutung

Apr. 8, 2026

Ein aktuelles Rechtsgutachten von Christian Waldhoff an der Humboldt-Universität zu Berlin analysiert die Rolle von Bargeld im Spannungsfeld zwischen Digitalisierung, Regulierung und Grundrechtsschutz. Die Untersuchung kommt zu dem Ergebnis, dass Einschränkungen der...

Breitband aus dem All: Deutsche Telekom AG startet Starlink-Service für Geschäftskunden

Apr. 8, 2026

Die Deutsche Telekom AG erweitert ihr Portfolio für Geschäftskunden um eine satellitengestützte Internetlösung. Mit dem Angebot „Satellite Internet Access by Starlink“ (SIA) integriert der Konzern die Infrastruktur von SpaceX in sein Service-Ökosystem, um...