CRA-Durchführungsgesetz: BSI als Aufsicht für Produktcybersicherheit
Der EU Cyber Resilience Act schreibt die Pflichten vor. Wer sie in Deutschland vollzieht, stand bis zum 12.03.2026 offen. An diesem Tag hat das Bundesministerium des Innern den Referentenentwurf zum CRA-Durchführungsgesetz veröffentlicht.
Artikel 1 des Entwurfs macht das Bundesamt für Sicherheit in der Informationstechnik (BSI) zur zentralen Marktüberwachungsbehörde für Produkte mit digitalen Elementen und zur Notifizierungsstelle für Konformitätsbewertungsstellen. Das BSI verhängt also die Bußgelder und notifiziert, welche Konformitätsbewertungsstellen dein Produkt prüfen dürfen (die Akkreditierung selbst läuft über die DAkkS). TeleTrusT kritisiert in seiner Stellungnahme vom 01.04.2026 genau diese Doppelrolle aus Beratung und Marktüberwachung sowie die Notifizierung ohne zwingende DAkkS-Akkreditierung; die Open Source Business Alliance fordert explizite Open-Source-Ausnahmen. Bisher hat keine der Stellungnahmen das BMI vom BSI-Mandat abrücken lassen.
Geplantes Inkrafttreten: 11.06.2026, abgestimmt auf den Anwendungsbeginn von Kapitel IV CRA. Nach Art. 64 CRA reicht der Bußgeldrahmen des BSI bis zu 15 Mio. EUR oder 2,5 % des weltweiten Konzernjahresumsatzes, je nachdem was höher ist, für Verstöße gegen Anhang I oder die Art. 13 und 14. Kleinstunternehmen und kleine Unternehmen bleiben nach Art. 64 Abs. 10 CRA von Bußgeldern für versäumte 24-Stunden-Meldungen nach Art. 14 Abs. 2 lit. a und Abs. 4 lit. a ausgenommen. Die materiellen Pflichten selbst gelten unverändert, die Meldepflicht nach Art. 14 CRA greift kraft EU-Rechts ab dem 11.09.2026.
Der Entwurf steht noch in der Verbandsanhörung; die Werte bewegen sich nicht, der Zeitplan tut es. Bei den Mandaten zu vernetzter Hardware, die ich begleite, taucht ein Muster regelmäßig auf: Gründer:innen behandeln den CRA wie ein "NIS2 für Produkte" und warten auf das deutsche Gesetz. Die materiellen Pflichten kommen aber aus der Verordnung selbst; das BSI ist nur die Behörde, die deinen Vorfallsbericht liest.
Rechtsquellen
- §CRA-Durchführungsgesetz (Referentenentwurf 12.03.2026) — Deutsches Durchführungsgesetz zur EU-Cyberresilienz-Verordnung; Artikel 1 bestimmt das BSI zur zentralen Marktüberwachungsbehörde und Notifizierungsstelle für Produkte mit digitalen Elementen
- §Art. 64 CRA — Bußgeldrahmen der EU-Cyberresilienz-Verordnung (Verordnung (EU) 2024/2847)
- §Art. 14 Abs. 2 lit. a CRA — 24-Stunden-Frühwarnung an das koordinierende CSIRT und ENISA über die Single Reporting Platform
- §Art. 14 Abs. 4 lit. a CRA — 24-Stunden-Meldung schwerwiegender Sicherheitsvorfälle
- •BMI, Referentenentwurf eines Gesetzes zur Durchführung der CRA (12.03.2026) — Artikel 1 bestimmt das BSI zur zentralen Marktüberwachungsbehörde und Notifizierungsstelle für Produkte mit digitalen Elementen; angepeiltes Inkrafttreten 11.06.2026 abgestimmt auf Kapitel IV CRA
- •TeleTrusT-Stellungnahme zum BMI-RefE Cyberresilienz-VO (01.04.2026) — Kritik an der Doppelrolle des BSI (Beratungs- und Marktüberwachungsfunktion), unzureichender Ressourcenausstattung, vagen Reallabor-Regeln und der Notifizierung von Konformitätsbewertungsstellen ohne Akkreditierung
- •OSBA, Cyber Resilience Act und Open Source: Umsetzung entscheidet über sichere digitale Infrastrukturen (April 2026) — Open Source Business Alliance fordert explizite Open-Source-Ausnahmen im deutschen Durchführungsgesetz, die über die EU-rechtliche Steward-Ausnahme hinausgehen
Siehe auch
Vernetztes Produkt im CRA-Scope?
Ich helfe Gründer:innen, ihr Produkt gegen Anhang I zu mappen und das neue BSI-Verfahren einzuordnen. Buche ein kostenloses 15-Minuten-Gespräch.
Gespräch buchen