Der Beitrag beschreibt, wie der Cyber Resilience Act (CRA) ab Ende 2027 die Cybersecurity-Anforderungen für vernetzte Produkte in Europa deutlich verschärft – und warum viele Unternehmen dafür noch nicht ausreichend vorbereitet sind. Ab dem 11. Dezember 2027 dürfen nur noch CRA-konforme Produkte mit CE-Kennzeichnung in Verkehr gebracht werden; Cybersecurity wird damit direkt wettbewerbsrelevant. Anders als bei NIS-2 geht es nicht nur um Organisation, sondern um konkrete technische Vorgaben für Produkte, Komponenten und Entwicklungsprozesse – inklusive Haftung des Herstellers für das Gesamtsystem, auch bei Zulieferteilen. Zentral sind „Secure by Design“, formalisierte Softwareentwicklung, umfangreichere Dokumentationspflichten (u. a. SBOM) und ein durchgängiges Schwachstellenmanagement über den gesamten Produktlebenszyklus. Technisch werden u. a. Hardware Root of Trust, Secure Boot, kontrollierte Softwareänderungen sowie validierte Updates verlangt. Besonders herausfordernd ist die geforderte Updatefähigkeit: Schwachstellen müssen mindestens fünf Jahre nach Auslieferung behoben werden, während industrielle Systeme oft 10–20 Jahre laufen und Hersteller teils vom Support ihrer Zulieferer (BIOS/Firmware/Plattformen) abhängig sind. Der Text betont zudem den steigenden Aufwand durch Normen, mögliche externe Prüfstellen (z. B. TÜV) und offene Fragen bei Standards/Herstellererklärungen. Als pragmatische Abkürzung zur Compliance werden „CRA-ready“ Betriebssysteme, Device-Management-Lösungen und Sicherheits-Gateways genannt, die Security-Funktionen und Updateprozesse bereits mitbringen bzw. ältere Systeme absichern können. Fazit: Der CRA ist mehr als Regulierung – er treibt einen grundlegenden Umbau von Produktentwicklung und Betrieb hin zu höherer Cyberresilienz, verstärkt durch die stark steigende Zahl neuer Schwachstellen.