Cyber­sicherheit in der Lieferkette: Komponenten und Ersatzteile unter dem Cyber Resilience Act – Was Wirtschafts­akteure bis zum 11.12.2027 beachten sollten

Durch den Cyber Resilience Act (Verordnung (EU) 2024/2847 vom 23.10.2024, „CRA“) werden ab dem 11.12.2027 europaweit verbindliche Cybersicherheitsanforderungen für auf dem europäischen Markt bereitgestellte Produkte mit digitalen Elementen („PdE“) als Reaktion auf zunehmende Cyberangriffe auf vernetzte Hard‑ und Softwareprodukte sowie das daraus resultierende steigende wirtschaftliche Schadenspotenzial eingeführt.

Dem CRA unterfallen dabei grundsätzlich sämtliche Wirtschaftsakteure der Lieferkette, die PdE – sowohl in Form von PdE als Endprodukte als auch eigenständig als Komponenten übergeordneter Produkte – als Hersteller, Einführer oder Händler auf dem Unionsmarkt in Verkehr bringen. In zeitlicher Hinsicht unterfallen PdE den Produktanforderungen des CRA gemäß Art. 69 Abs. 2 CRA dabei grundsätzlich nur, wenn sie nach dem Geltungszeitpunkt des CRA am 11.12.2027 („Stichtag“) Verkehr gebracht wurden.

Soweit ein als PdE zu qualifizierendes Endprodukt oder eine getrennt in Verkehr gebrachte Komponente die formellen oder materiellen Produktanforderungen des CRA nicht erfüllt, hat dies als Konsequenz grundsätzlich die fehlende Verkehrsfähigkeit des PdE und damit das Verbot zur Folge, entsprechende nicht konforme PdE nach dem Stichtag auf dem Unionsmarkt bereitzustellen. Darüber hinaus drohen den Wirtschaftsakteuren (abhängig von dem konkreten Verstoß gegen die Produktanforderungen) Maßnahmen der Marktüberwachungsbehörden, insbesondere Produktrückrufe und Bußgelder.

In Endprodukten enthaltene Komponenten – unabhängig davon, ob sie eigenständig oder nicht eigenständig in Verkehr gebracht werden – sind bei der Bewertung des Cybersicherheitsrisikos und der CRA‑Konformität der sie enthaltenden Endprodukte zu berücksichtigen. Defizite der Komponenten infizieren damit das übergeordnete Endprodukt und können zu dessen Nichtkonformität und fehlender Verkehrsfähigkeit führen. Dies gilt insbesondere, wenn Cybersicherheitsrisiken der Komponenten auf das Endprodukt durchschlagen, infolgedessen die Cybersicherheitsanforderungen aus Anhang I Teil I CRA nicht eingehalten werden oder das Schwachstellenmanagement gemäß Anhang I Teil II CRA nicht umgesetzt werden kann.

Unterbleiben etwa sicherheitsrelevante Updates einer Komponente bzw. stellt deren Hersteller keinen Support zur Behebung von Schwachstellen mehr bereit, erhöht sich mit der Zeit das Risiko, dass sich Sicherheitsdefizite der integrierten Komponente unmittelbar auf das Cybersicherheitsniveau des übergeordneten Endprodukts auswirken und dessen Konformität mit anwendbarem Produktrecht gefährden. Dies gilt insbesondere für Produkte mit Embedded‑Software außerhalb eines aktiven Lifecycles, bei denen nach Supportende keine Sicherheitswartung mehr vorgesehen ist und neu auftretende Schwachstellen folglich nicht mehr behoben werden.

Etwas anderes gilt nur, wenn eine – getrennt in Verkehr gebrachte – Komponente unter die Ausnahme für Ersatzteile gemäß Art. 2 Abs. 6 CRA fällt. Nach dieser Ausnahmeregelung vom sachlichen Anwendungsbereich gilt der CRA nicht für Ersatzteile, die auf dem Markt bereitgestellt werden, um identische Komponenten in PdE zu ersetzen, und die nach denselben Spezifikationen hergestellt werden wie die zu ersetzenden Komponenten. Einschränkend stellt Erwägungsgrund 29 CRA jedoch klar, dass die Ausnahme nur für Ersatzteile gelten soll, die der Reparatur von Altprodukten dienen, die vor dem Stichtag auf dem Markt bereitgestellt wurden, oder für Ersatzteile, die bereits ein Konformitätsbewertungsverfahren nach dem CRA durchlaufen haben.

Dem Stichtag kommt damit nicht nur erhebliche Relevanz für die Zulässigkeit des weiteren Inverkehrbringens als PdE zu qualifizierender Endprodukte zu, sondern er besitzt gleichermaßen erhebliche Bedeutung für in diese Endprodukte integrierte Komponenten und Ersatzteile entlang der Lieferkette. Insbesondere die Verwendung nicht mehr wartbarer Komponenten birgt erhebliche Risiken für Hersteller, da Cybersicherheitsdefizite – insbesondere das Auftreten nicht behebbarer Schwachstellen – übergeordnete Endprodukte unmittelbar infizieren und deren Verkehrsfähigkeit gefährden können.

Lassen sich die Anforderungen des CRA in entsprechenden PdE in diesem Fall auch nicht durch Kompensationsmaßnahmen sicherstellen, bleibt dem Wirtschaftsakteur regelmäßig nur der kostenträchtige Austausch der Komponente oder eine ebenso kostspielige Neuentwicklung des PdE.

Das Stichtagsregime hat damit erhebliche operative und wirtschaftliche Auswirkungen auf die Lieferkette. Frühzeitiges Handeln ist daher geboten: Hersteller sollten vertraglich sicherstellen, dass Komponenten und Ersatzteile über die vorgesehene Lebensdauer ihrer PdE sicherheitsgewartet werden, und klare Regelungen zu Sicherheitsupdates, Schwachstellenmanagement und Support‑Zeiträumen treffen. Parallel empfiehlt sich die Entwicklung von Vorsorge‑ und Austauschplänen, um Abhängigkeiten von nicht mehr wartbaren Komponenten – insbesondere im Hinblick auf vor dem Stichtag beschaffte Lagerbestände – zu reduzieren und diese noch wirtschaftlich zu verwerten.

Wirtschaftsakteuren wird daher empfohlen, frühzeitig ihre Lieferketten zu überprüfen, die Verfügbarkeit und Wartbarkeit von Komponenten und Ersatzteilen vertraglich sicherzustellen sowie vorhandene Lagerbestände nicht wartbarer Komponenten vor dem Stichtag noch wirtschaftlich zu verwerten. Cybersicherheit wird damit zu einem wichtigen Qualitätskriterium in der Lieferkette. Wer die Weichen früh stellt, ist im Vorteil.

Die aufgeworfenen rechtlichen Fragestellungen werden ebenfalls in dem Aufsatz „Ersatzteile und Komponenten im Fokus des Cyber Resilience Act“ behandelt, der in der ZfPC 2/2026, Seiten 79-85 erschienen ist.