Der Cyber Resilience Act (CRA) ist eines von vielen Gesetzen, mit denen das vereinte Europa seine Bürger:innen und den Binnenmarkt schützen und Volkswirtschaften zu stärken gedenkt. Diese Seite wird den CRA in den Zusammenhang anderer rechtlicher Bindungsintrumente stellen. Außerdem wird auf die Quellen verwiesen, so dass im Selbststudium oder zum Nachlesen das originale Material zur Verfügung steht.
Im Zentrum des Wissenspakets steht der CRA. Anhängige oder sich überschneidende Gesetze werden kurz vorgestellt und in Zusammenhang gebracht.
Zugang zu allen EU-Gesetzen und -Richtlinien: https://eur-lex.europa.eu/homepage.html?locale=de
Der CRA im Wortlaut: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R2847
Kommentar (dt.): Dirk Heckmann, Anne Paschke: Cyber Resilience Act. Kommentar. München (Beck) 2025 (zitiert als Heckmann/Paschke/Bearbeiter CRA Art. 1 Rn. 1)
Es gibt zwei Arten von Rechtsvorschriften in der EU: Ein „Act“, also eine Verordnung, wirkt direkt wie ein Gesetz. In jedem EU-Staat gilt derselbe Text. Das ist beispielsweise für den CRA der Fall, aber auch für die Künstliche-Intelligenz-Verordnung (AI Act) so. Auf der anderen Seite gibt es Richtlinien wie NIS 2, die von den 27 Staaten in ihr jeweiliges Rechtsgefüge überführt werden müssen.
Der Schutzschirm
Alle vorgestellten Vorhaben dienen dazu, das Cybersicherheitsniveau, oder ganz allgemein: das Informationssicherheitsniveau zu erhöhen. Hintergrund ist die sich permanent verändernde Sicherheitslage. Tag für Tag werden neue Bedrohungen bekannt. Kaum sind zwei Monate des Jahres 2026 ins Land gezogen, wurden bereits 48 Fälle von erfolgreichen Ransomware-Attacken bekannt (Quelle: ransomware.live). Der BSI-Lagebericht aus dem Berichtszeitraum von 2025 bringt es auf den Punkt: Es gibt Handlungsbedarf hinsichtlich der Resilienz von Organisationen. Und 2024 betrafen über 80 Prozent der Ransware-Angriffe KMU. Nach den USA und UK ist Deutschland bevorzugt im Visier von Cyberattacken. Hinzu treten Faktoren, die sich aus der zunehmenden Digitalisierung ergeben. Immer mehr Prozesse werden digitalisiert, und immer mehr Maschinen werden miteinander vernetzt. Das erschwert die Pflege, Wartung, das Updaten und Upgraden. Betroffen ist beinahe jede Domäne, Branche und Wirtschaftsstufe. Überall werden Techniken und Technologien eingesetzt, um Unternehmensziele automatisiert zu verwirklichen, oder um Daten zu generieren und zu verarbeiten, die bislang analog gespeichert wurden.
Die juristischen Schutzvorrichten wirken in zwei Dimensionen: entweder horizontal (CRA, DSGVO) oder vertikal (DORA). Nachstehende Tabelle listet die Schutzvorhaben nach Horizontalität und Vertikalität auf und stellt die Beziehungen bzw. Verwandtschaften her:
| Rechtsakt | Art | Wirkung | Schwerpunkt/Pflichten | Beziehungen |
| NIS 2 | Richtlinie | Vertikal/Sektoren | Resilienz der Organisation, Governance, Incident Managemen, Risikomanagement | zu DORA (Governance, Fokus Organisation. Risiko-management) |
| CRA | Verordnung | Horizontal/Produkte | Secure Design, Schwachstellen, Updates, SBOM, Lieferkettenschutz | Schnittmenge zu RED bzw. Ablösung, fokussiert nur Produkte, wird aber mit NIS2 oder DORA ganzheitlich |
| RED (inkl. DA2022/30) | Richtlinie und delegierter Akt | Vertikal/Produkte Funkanlagen | Schutz Netze, Infrastruktur, Datenschutz, Fraudprotection, | Übergangsregel bzw. Ergänzung zum CRA |
| DORA | Verordnung | Vertikal/Finanzsektor | Schutz Organisation im Finance, Governance, Risikomanagement | Parallel zu NIS2 |