- EU-Cybersicherheitsgesetz CRA gilt ab Dezember 2027 — mit Ausnahmen für Militär-IT
- Deutschland hat noch kein nationales Schutzkonzept für ausgenommene Rüstungsprodukte
- 9 Fragen an die Bundesregierung zu Klassifizierung, Sicherheitsupdates und SBOM-Pflicht
Hintergrund iDieser Beitrag bezieht sich auf BT-Drs. 21/6672 und gibt den Inhalt der Drucksache zusammenfassend wieder. Die inhaltliche Verantwortung liegt beim jeweiligen Verfasser der Drucksache. Der Beitrag spiegelt nicht notwendigerweise die Meinung des Seitenbetreibers wider.
Der Cyber Resilience Act (EU-Verordnung 2024/2847) ist am 10. Dezember 2024 in Kraft getreten und wird ab dem 11. Dezember 2027 vollständig anwendbar. Er schließt eine langjährige Regelungslücke im europäischen Binnenmarkt, indem er Hersteller, Importeure und Händler digitaler Produkte erstmals verbindlich zu Cybersicherheit über den gesamten Produktlebenszyklus verpflichtet. Produkte ausschließlich für nationale Sicherheit, Verteidigung und Verschlusssachenverarbeitung sind nach Artikel 2 Absatz 7 CRA ausgenommen; Erwägungsgrund 26 der Verordnung hält fest, dass Mitgliedstaaten für diese Produkte eigenständig ein gleichwertiges oder höheres Schutzniveau sicherstellen sollen.
Im Detail
Weitreichende Ausnahmetatbestände bergen ein erhebliches systemisches Risiko, Produkte bewusst als sicherheitsrelevant zu klassifizieren, um der regulatorischen Pflicht zur Transparenz, zu Schwachstellenmeldungen und zu Sicherheitsupdates zu entgehen.
— Vorbemerkung BT-Drs. 21/6672, Fraktion Bündnis 90/Die Grünen
Militärische IT-Produkte, Geheimdienstsoftware und Systeme zur Verarbeitung von Verschlusssachen sind vom EU-Cyber Resilience Act ausgenommen — doch ein nationales Schutzkonzept, das diese Lücke schließt, fehlt in Deutschland bislang. Die Fraktion Bündnis 90/Die Grünen hat am 25. Juni 2026 mit der Kleinen Anfrage BT-Drs. 21/6672 neun konkrete Fragen an die Bundesregierung gestellt, um Klarheit über den Stand der nationalen Umsetzungspflichten zu erlangen.
Was gilt aktuell?
Der Cyber Resilience Act (CRA, EU-Verordnung 2024/2847) ist am 10. Dezember 2024 in Kraft getreten und wird ab dem 11. Dezember 2027 vollständig anwendbar. Er verpflichtet Hersteller eines breiten Produktspektrums — von Smartphones über Firewalls bis zu Buchhaltungssoftware — erstmals verbindlich zu Cybersicherheit über den gesamten Produktlebenszyklus. Artikel 2 Absatz 7 CRA nimmt jedoch Produkte aus, die ausschließlich für nationale Sicherheit oder Verteidigung entwickelt wurden, sowie Produkte für die Verarbeitung von Verschlusssachen. Erwägungsgrund 26 der Verordnung hält ausdrücklich fest, dass die Mitgliedstaaten für diese ausgenommenen Produkte eigenständig ein gleichwertiges oder höheres Schutzniveau sicherstellen sollen.
Cyber Resilience Act: Offene Umsetzungsfragen in Deutschland
Laut Drucksache hat die Bundesregierung bislang weder eine Klassifizierung betroffener Produktgruppen vorgenommen noch die vorgesehenen Konformitätsbewertungsverfahren öffentlich kommuniziert. Die Grünen-Fraktion moniert, dass auch keine Position dazu bekannt ist, wie Hersteller dieser Produkte zur Einhaltung CRA-äquivalenter Anforderungen verpflichtet werden sollen. Eine eigenständige nationale Regelung sei zwingend erforderlich, da weder der CRA selbst noch ein nationales Durchführungsgesetz diese Lücke schließen könne.
Konkret fragen die Abgeordneten um Jeanne Dillschneider und Dr. Konstantin von Notz, ob die Bundesregierung die ausgenommenen Produkte nach den drei CRA-Kategorien klassifiziert hat — wichtige Produkte Klasse I, wichtige Produkte Klasse II sowie kritische Produkte mit digitalen Elementen. Außerdem wollen sie wissen, ob Hersteller zur Bereitstellung von Sicherheitsupdates über mindestens fünf Jahre verpflichtet werden, wie es Artikel 13 Absatz 8 CRA für den Regelbereich vorschreibt.
Schwachstellenmanagement und Software-Transparenz
Weitere Fragen beziehen sich auf das Schwachstellenmanagement: Die Anfrage erkundigt sich, ob die Bundesregierung Hersteller zur Erstellung einer Software Bill of Materials (SBOM) verpflichtet — einer vollständigen Liste aller im Produkt verwendeten Softwarekomponenten. Dieses Instrument gilt als Grundvoraussetzung für transparentes Sicherheitsmanagement und ist im CRA-Anhang I Teil II verankert. Darüber hinaus wird gefragt, ob eine Strategie zur koordinierten Offenlegung von Schwachstellen vorgesehen ist, einschließlich einer Meldeadresse.
Auch die Integration von Open-Source-Komponenten steht im Fokus: Die Fraktion fragt, ob Hersteller zur Sicherstellung der Integrität freier und quelloffener Softwarebestandteile verpflichtet werden und festgestellte Schwachstellen darin behandeln und beheben müssen. Abschließend fragt die Anfrage nach der Zahl anonymer und nicht-anonymer Schwachstellenmeldungen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) seit dem Jahr 2020, aufgeschlüsselt nach Jahren.
Systemisches Risiko durch Ausnahmen
Aus Sicht der Fragesteller bergen weitreichende Ausnahmetatbestände ein erhebliches systemisches Risiko: Hersteller könnten Produkte bewusst als sicherheitsrelevant klassifizieren, um regulatorischen Pflichten zur Transparenz, zu Schwachstellenmeldungen und zu Sicherheitsupdates zu entgehen. Im sicherheits- und verteidigungsrelevanten Bereich seien Cyberangriffe besonders folgenreich — was die Dringlichkeit einer nationalen Regelung erhöhe. Zum Vergleich: Die Diskussion um fehlende Sicherheitsstandards bei staatlichen IT-Systemen ist auch im Kontext der Absicherung kritischer Infrastrukturen wiederkehrendes Thema im Bundestag.
Die Bundesregierung hat nun bis zum 16. Juli 2026 Zeit, die neun Fragen der Grünen zu beantworten. Die Antwort wird zeigen, ob und wie Deutschland seiner Verpflichtung aus dem CRA nachkommt, für ausgenommene Militär- und Geheimdienstprodukte gleichwertige Cybersicherheitsstandards zu gewährleisten. Ähnliche Fragen nach staatlicher Transparenz und Verantwortung stellen sich auch beim Personal- und Kostenmanagement staatlicher Behörden.
Weiterlesen:
- Atommüll-Zwischenlager: Genehmigungen laufen ab 2034 aus
- Kinder- und Jugendschutz in der digitalen Welt stärken
Betroffen sind Hersteller von Rüstungsgütern und militärischer IT sowie Unternehmen, die Produkte zur Verarbeitung von Verschlusssachen entwickeln. Mittelbar sind staatliche Behörden, Streitkräfte und alle Bürgerinnen und Bürger betroffen, deren Sicherheit von funktionierender Verteidigungs- und Geheimdienstinfrastruktur abhängt.
Die Kleine Anfrage (BT-Drs. 21/6672) ist am 25. Juni 2026 im Bundestag eingegangen. Die Bundesregierung hat eine gesetzliche Antwortfrist von 21 Tagen, die am 16. Juli 2026 abläuft. Nach Eingang der Antwort wird diese als eigene Drucksache veröffentlicht.
- Cyber Resilience Act (CRA)
- EU-Verordnung 2024/2847, die Hersteller digitaler Produkte ab Dezember 2027 verpflichtet, Cybersicherheit von der Entwicklung bis zum Ende des Produktlebenszyklus zu gewährleisten.
- SBOM (Software Bill of Materials)
- Vollständige Liste aller in einem Softwareprodukt verwendeten Komponenten und Bibliotheken — ermöglicht das schnelle Auffinden und Schließen von Sicherheitslücken.
- Cybersecurity by Design
- Prinzip, nach dem Sicherheitsanforderungen bereits bei der Produktentwicklung berücksichtigt werden müssen und nicht nachträglich aufgerüstet werden.
Was ist der Cyber Resilience Act (CRA)?
Der CRA (EU-Verordnung 2024/2847) verpflichtet Hersteller digitaler Produkte ab Dezember 2027, Cybersicherheit über den gesamten Produktlebenszyklus zu gewährleisten — von Smartphones bis Firewalls.
Warum sind Militärprodukte vom CRA ausgenommen?
Artikel 2 Absatz 7 CRA nimmt Produkte aus, die ausschließlich für nationale Sicherheit, Verteidigung oder die Verarbeitung von Verschlusssachen entwickelt wurden. Die EU erwartet, dass Mitgliedstaaten für diese Produkte eigenständig gleichwertige Schutzstandards schaffen.
Was ist eine Software Bill of Materials (SBOM)?
Eine SBOM ist eine vollständige Liste aller Softwarekomponenten eines Produkts — vergleichbar einer Zutatenliste. Sie ermöglicht es, Schwachstellen in einzelnen Bestandteilen schnell zu identifizieren und zu beheben.
Dieser Beitrag bezieht sich auf BT-Drs. 21/6672 und gibt den Inhalt der Drucksache zusammenfassend wieder. Die inhaltliche Verantwortung liegt beim jeweiligen Verfasser der Drucksache. Der Beitrag spiegelt nicht notwendigerweise die Meinung des Seitenbetreibers wider.
Weitere Beiträge
