Kurz erklärt: Der Cyber Resilience Act (CRA) ist seit dem 10. Dezember 2024 in Kraft. Ab dem 11. September 2026 greifen die ersten Meldepflichten, ab dem 11. Dezember 2027 ist die Verordnung vollständig anwendbar. Für reine SaaS-Plattformen wie Videokonferenz-Dienste gilt der CRA in der Regel nicht, sie fallen unter NIS2 (in Deutschland: das NIS2-Umsetzungsgesetz). Hersteller von Hardware oder lokal installierter Software mit digitalen Elementen müssen dagegen Security-by-Design, Schwachstellenmanagement, Dokumentation und, je nach Risikoklasse, eine Konformitätsbewertung durch eine Benannte Stelle nachweisen. Bußgelder können bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes betragen.
Der Cyber Resilience Act (CRA) ist die erste EU-Verordnung, die einheitliche Cybersicherheits-Anforderungen für Produkte mit digitalen Elementen festlegt. In Deutschland übernimmt das Bundesamt für Sicherheit in der Informationstechnik (BSI) seit Oktober 2025 eine zentrale Rolle bei der Marktüberwachung. Auf EU-Ebene führt das BSI seit März 2026 zudem den Vorsitz der CRA Administrative Cooperation Group (AdCo CRA) inne, dem Koordinationsgremium der nationalen Marktüberwachungsbehörden. Für Videokonferenz-Anbieter, ihre Geschäftskunden und IT-Verantwortliche stellen sich damit zwei Fragen: Greift der CRA für mein Produkt oder meinen Dienst überhaupt? Und wie verhält er sich zu DSGVO und NIS2?
Dieser Artikel ordnet beide Fragen ein, mit besonderem Blick auf den deutschen Markt.
Inhaltsverzeichnis
Videokonferenz-Plattformen sind zentral für die Art, wie viele Organisationen heute arbeiten. Sie werden im Bildungsbereich, im Gesundheitswesen, bei juristischen Verfahren und in der Unternehmenszusammenarbeit eingesetzt und verarbeiten dabei eine erhebliche Menge sensibler Daten: Audio- und Video-Streams, personenbezogene und besonders schutzwürdige Informationen sowie Metadaten zu Teilnehmenden und ihren Interaktionen.
Das macht sie zu attraktiven Zielen für Angreifer. Die konkreten Herausforderungen: Echtzeit-Medien vor dem Abhören schützen, unautorisierten Zugriff auf Sessions verhindern, Aufzeichnungen und Transkripte sichern, und sicherstellen, dass die Datenverarbeitung mit den geltenden Vorschriften übereinstimmt. In Deutschland gehören dazu insbesondere DSGVO, das BSI-Gesetz, das NIS2-Umsetzungsgesetz und, je nach Produkttyp, der Cyber Resilience Act.
Der CRA ist eine EU-Verordnung, die digitale Produkte über ihren gesamten Lebenszyklus hinweg sicher halten soll. Er gilt für Hardware- und Software-Produkte mit Netzwerkanbindung, sowohl im Unternehmens- als auch im Verbraucherbereich.
Die Verordnung verschiebt die Verantwortung in Richtung der Hersteller und Software-Anbieter. Statt darauf zu vertrauen, dass Anwender oder Organisationen die gekauften Systeme selbst absichern, verlangt der CRA, dass Produkte von Anfang an sicher entwickelt und kontinuierlich gepflegt werden.
Vier Kernprinzipien tragen die Verordnung:
Security by Design and by Default. Sicherheitskontrollen müssen ab der frühesten Designphase integriert sein und standardmäßig aktiviert werden, nicht nachträglich angeflanscht oder optional.
Kontinuierliches Schwachstellenmanagement. Hersteller müssen Schwachstellen aktiv überwachen, identifizieren und beheben, über den gesamten Produktlebenszyklus, nicht nur zum Marktstart.
Transparenz im Umgang mit Sicherheitsrisiken. Anwender und Stakeholder sollen klar nachvollziehen können, wie Risiken erkannt, kommuniziert und bearbeitet werden.
Verantwortlichkeit über den gesamten Lebenszyklus. Die Verantwortung für Sicherheit endet nicht mit dem Deployment. Sie umfasst Updates, Support-Zeiträume und das eventuelle Auslaufen des Produkts. Konkret heißt das: Sicherheits-Aspekte in der gesamten Entwicklung berücksichtigen, identifizierte Schwächen zeitnah patchen, und klar angeben, wie lange ein Produkt Sicherheits-Updates erhält.
Der CRA ist eine Produkt-Verordnung. Er zielt auf „Produkte mit digitalen Elementen", also Hardware und Software, die als eigenständige Produkte auf dem EU-Markt in Verkehr gebracht werden. Er regelt nicht den Betrieb von Diensten.
Reine SaaS-Plattformen sind im Regelfall vom CRA-Geltungsbereich ausgenommen. Ein Videokonferenz-Dienst, der vollständig über den Browser oder eine API ausgeliefert wird, ohne lokale Installation, fällt nach dem Wortlaut der Verordnung nicht unter den CRA. Die EU-Kommission begründet das damit, dass reine SaaS-Anbieter bereits unter die NIS2-Richtlinie fallen, und damit in Deutschland unter das NIS2-Umsetzungsgesetz (NIS2UmsuCG), das seit dem 6. Dezember 2025 gilt.
Wichtig dabei: Liefert ein Anbieter zusätzlich zur browserbasierten Variante einen herunterladbaren Desktop- oder Mobile-Client aus, fällt dieser Client als eigenständiges Produkt mit digitalen Elementen unter den CRA, unabhängig davon, dass der Backend-Dienst SaaS ist. Für Anbieter mit hybriden Liefermodellen (Browser plus native Apps) lohnt sich also eine differenzierte Betrachtung pro Komponente.
Es gibt zudem eine eng gefasste Cloud-Ausnahme: Ein Cloud-Dienst fällt dann unter den CRA, wenn er für die Funktionsfähigkeit eines Hardware- oder Embedded-Produkts essenziell ist und unter der Verantwortung des Herstellers entwickelt wurde.
Für Produkte im Anwendungsbereich gilt die Verordnung breit:
Der CRA setzt auch Erwartungen an die Lieferkettensicherheit. Hersteller sollen nachvollziehen können, welche Komponenten ihre Software nutzt, Drittanbieter-Bibliotheken auf Sicherheitsrisiken und Wartungsstand prüfen und sicherstellen, dass Lieferanten anerkannte Sicherheitsmethoden befolgen.
Eine wichtige Einschränkung: Nicht-kommerzielle Free- und Open-Source-Software ist vom CRA ausgenommen. Frei zugängliche, modifizierbare und weiterverteilbare Projekte außerhalb eines kommerziellen Angebots fallen nicht unter die Verordnung. Werden Open-Source-Komponenten allerdings in einem kommerziellen Produkt verwendet, bleibt der Hersteller dieses Produkts für deren Sicherheit verantwortlich.
Für Hersteller von Produkten im Geltungsbereich bedeutet Compliance, interne Prozesse an einen klar definierten Katalog von Sicherheitsanforderungen anzupassen.
Sichere Entwicklungspraktiken. Hersteller sollen sichere Entwicklungsmethodiken implementieren: Threat Modelling während des Designs, Secure-Coding-Standards, Code-Reviews und Test-Verfahren sowie in CI/CD-Pipelines integrierte Sicherheit. Ziel ist, Schwachstellen vor dem Markteintritt zu reduzieren.
Schwachstellen-Handling. Eine zentrale Anforderung ist die Fähigkeit, Schwachstellen zu erkennen, zu managen und offenzulegen. Das umfasst einen koordinierten Vulnerability-Disclosure-Prozess, das Monitoring neu entdeckter Bedrohungen, eine Reaktion innerhalb definierter Fristen und klare Kommunikation mit Anwendern und Stakeholdern. Ab dem 11. September 2026 gilt eine dreistufige Meldekette: 24 Stunden Frühwarnung, 72 Stunden Vollmeldung mit ergänzenden Informationen, und ein Abschlussbericht innerhalb von 14 Tagen nach Verfügbarkeit eines Sicherheitsupdates (bei Schwachstellen) bzw. innerhalb eines Monats nach der initialen Meldung (bei Sicherheitsvorfällen). Die Meldungen laufen über die CRA Single Reporting Platform an das zuständige CSIRT, ENISA erhält die Information parallel.
Dokumentation. Die Verordnung legt großen Wert auf Transparenz durch Dokumentation. Hersteller müssen technische Unterlagen führen, die Sicherheits-Funktionen beschreiben, Anweisungen für die sichere Konfiguration und Nutzung mitliefern und Risikobewertungen sowie Schutzmaßnahmen dokumentieren. Das stützt sowohl die interne Verantwortlichkeit als auch externe Verifikation.
Risikomanagement. Risikomanagement nach dem CRA ist kontinuierlich. Konkret: potenzielle Bedrohungen und Angriffsvektoren identifizieren, Eintrittswahrscheinlichkeit und Auswirkung bewerten, Schutzmaßnahmen umsetzen und Bewertungen über die Zeit fortschreiben.
Nicht jedes Produkt benötigt eine externe Zertifizierung. Der CRA folgt einem risikobasierten Ansatz:
In Deutschland ist das BSI nach dem geplanten CRA-Durchführungsgesetz die zentrale Marktüberwachungsbehörde und notifizierende Behörde. Akkreditierte Prüforganisationen wie TÜV SÜD oder TÜV Rheinland werden voraussichtlich Konformitätsbewertungen für die höheren Risikoklassen anbieten.
Wichtig zu wissen: Bis Mitte 2026 ist EU-weit noch keine einzige Benannte Stelle für den CRA formal notifiziert. Die Notifizierungsmechanik wird erst am 11. Juni 2026 aktiv. Hinzu kommt, dass die für die Klasse-I-Selbstbewertung erforderlichen harmonisierten europäischen Normen noch nicht veröffentlicht sind: Der Normungsauftrag M/606 läuft seit Februar 2025, die ersten Norm-Entwürfe (Type A und Type B) werden im August 2026 erwartet. Wer ein Klasse-I- oder Klasse-II-Produkt anbietet, sollte deshalb mit knapper Verfügbarkeit von Prüfkapazitäten zwischen Mitte 2026 und Dezember 2027 rechnen und früh anfragen.
Compliance ist direkt an den Marktzugang gekoppelt. Produkte, die ab dem 11. Dezember 2027 die CRA-Anforderungen nicht erfüllen, können vom Vertrieb in der EU ausgeschlossen werden, geraten ins Visier der Behörden und tragen Reputationsrisiken.
Die finanziellen Sanktionen sind erheblich. Verstöße gegen die wesentlichen Cybersicherheits-Anforderungen oder die zentralen Hersteller-Pflichten können mit Bußgeldern von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes geahndet werden, je nachdem, was höher ist. Verstöße gegen sonstige Pflichten ziehen Bußgelder von bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes nach sich.
Der CRA erweitert die bestehende CE-Kennzeichnung um Cybersicherheits-Anforderungen für Produkte mit digitalen Elementen. Die CE-Kennzeichnung zeigt Kunden und Einkaufs-Teams, dass ein Produkt die Sicherheits-Anforderungen erfüllt, sie unterstützt fundierte Beschaffungs-Entscheidungen und macht Produkte auf einer gemeinsamen Grundlage vergleichbar.
Für Unternehmen in Deutschland greifen ab 2026 mehrere Cybersicherheits-Vorschriften parallel ineinander. Das Verständnis ihres Zusammenspiels ist entscheidend.
Das BSI als zentrale Behörde. Das Bundesamt für Sicherheit in der Informationstechnik wird durch das CRA-Durchführungsgesetz zur zentralen Marktüberwachungsbehörde für Produkte mit digitalen Elementen. Auf EU-Ebene hat das BSI seit März 2026 zusätzlich den Vorsitz der CRA Administrative Cooperation Group (AdCo CRA) inne, einem Koordinationsgremium der nationalen Marktüberwachungsbehörden, das auf der ersten AdCo-Sitzung am 19. März 2026 in Athen formal konstituiert wurde. Die Rolle der Vorsitzenden hat Anna Schwendicke, Referatsleiterin Marktaufsicht im BSI, übernommen. Für Hersteller heißt das: Das BSI wird der primäre deutsche Ansprechpartner für CRA-Fragen sein.
NIS2-Umsetzungsgesetz (NIS2UmsuCG). Seit dem 6. Dezember 2025 in Kraft, regelt es Cybersicherheits-Pflichten für rund 29.500 Unternehmen in 18 Sektoren. Betroffene Unternehmen müssen sich beim BSI registrieren (über das MUK-Portal), erhebliche Sicherheitsvorfälle melden (24-Stunden-Frühwarnung, 72-Stunden-Bericht, Abschluss innerhalb eines Monats) und Risikomanagement-Maßnahmen in zehn Bereichen umsetzen, darunter Risikoanalyse, Backup-Management, Lieferkettensicherheit und Multifaktor-Authentifizierung. Für Videokonferenz-Anbieter und ihre Kunden ist das die wichtigste Vorschrift, die direkt greift, nicht der CRA.
DSGVO als Querschnittsregelung. Die Datenschutz-Grundverordnung gilt unabhängig vom Produkttyp, sobald personenbezogene Daten verarbeitet werden. CRA und DSGVO ergänzen sich: Der CRA regelt die technische Sicherheit von Produkten, die DSGVO den Schutz personenbezogener Daten. Tritt ein Vorfall ein, der beide Regime berührt, etwa ein Datenabfluss durch eine Produktschwachstelle, greifen beide Meldepflichten parallel. Wichtig dabei: Die 24-Stunden-Frühwarnung nach CRA darf den späteren ausführlichen DSGVO-Bericht nicht inhaltlich präjudizieren.
Praktische Konsequenz für Videokonferenz-Käufer: Wenn dein Unternehmen ein NIS2-reguliertes Unternehmen in Deutschland ist (z. B. im Gesundheitswesen, in der öffentlichen Verwaltung oder als digitaler Dienstleister) und du Videokonferenz-Software einkaufst, muss diese Software in deine NIS2-Pflichten passen. Dazu gehören dokumentierte Sicherheitsmaßnahmen deines Anbieters, ein klar geregelter Vulnerability-Disclosure-Prozess sowie EU-konformes Hosting. Der CRA wird dabei meist nicht direkt greifen, wohl aber als Qualitätsindikator: Eine CRA-CE-Kennzeichnung beim Anbieter erleichtert deine eigene Lieferketten-Due-Diligence nach §30 NIS2UmsuCG.
Die Vorbereitung auf CRA-Compliance erfordert technische und organisatorische Reife. Praktische Schritte umfassen:
Für viele Organisationen beschleunigt externe Expertise diesen Prozess. Codific bietet strukturierte Beratung zu CRA-Implementierungs-Strategien und hilft Organisationen, Anforderungen in umsetzbare Schritte zu übersetzen. Aktuelle Compliance-Ressourcen sind verfügbar unter complycra.eu/cyber-resilience-act-compliance/. Für den deutschen Markt bietet zudem das BSI einen offiziellen Leitfaden zum CRA, und der TÜV SÜD gibt einen verständlichen Überblick.
Digital Samba ist eine europäische Videokonferenz-Plattform. Als reiner SaaS-Dienst gilt der CRA für Digital Samba nicht automatisch, diese Verordnung richtet sich in erster Linie an Hersteller von Produkten mit digitalen Elementen. Eine formelle Konformitätsbewertung und CE-Kennzeichnung wären erst ab dem 11. Dezember 2027 für Produkte im Anwendungsbereich rechtlich verpflichtend; eine solche Bewertung wurde zum jetzigen Zeitpunkt nicht durchgeführt.
Was die Plattform von Digital Samba abbildet, ist ein Entwicklungsansatz, der eng an den Grundprinzipien des CRA ausgerichtet ist:
Privacy-First-Architektur mit europäischem Hosting. Die gesamte Datenverarbeitung erfolgt auf europäischer Infrastruktur (Leaseweb in den Niederlanden, Scaleway in Frankreich) unter europäischer Jurisdiktion. Das stützt strikte Anforderungen an Datenresidenz und reduziert das Risiko widersprüchlicher Rechtsrahmen wie des US CLOUD Act, den auch das EU-US Data Privacy Framework (2023, im September 2025 vom Gericht der EU bestätigt) nicht löst.
Mehrschichtige Verschlüsselung, einschließlich Ende-zu-Ende. Über die Standard-WebRTC-Transportverschlüsselung hinaus implementiert Digital Samba eine Anwendungs-Layer-Ende-zu-Ende-Verschlüsselung mit AES-256-GCM. Medienströme und zugehörige Daten bleiben dadurch auch für Infrastruktur-Anbieter unzugänglich.
Sichere Entwicklung und Continuous Delivery. Die Plattform folgt einem iterativen Release-Zyklus mit häufigen Updates. So kann das Team schnell auf neu entdeckte Schwachstellen reagieren, was den CRA-Erwartungen an laufende Sicherheits-Pflege entspricht.
Transparente Kontrolle und rollenbasierte Zugriffsverwaltung. Organisationen entscheiden selbst, ob Aufzeichnungen, Transkripte oder andere Daten-Outputs aktiviert werden, das stützt das Prinzip der Datenminimierung. Granulare Berechtigungen und Authentifizierungs-Mechanismen stellen sicher, dass nur autorisierte Nutzer auf Sessions und Funktionen zugreifen. Über Dashboard und API liefert die Plattform zudem Sichtbarkeit auf Raum-Konfigurationen, Teilnehmer-Verhalten und Funktionsnutzung, was Dokumentations- und Audit-Anforderungen unterstützt.
Mehr zur Plattform findest du in unseren Funktionen und auf der Seite zu Digital Samba Embedded. Wenn du tiefer in die DSGVO-Aspekte einsteigen willst, lohnt ein Blick in unseren Beitrag zu DSGVO-konformen Videokonferenzen und die DSGVO-Compliance-Checkliste in 10 Schritten.
Der Cyber Resilience Act verändert die Regulierung digitaler Sicherheit in Europa, und die Pflichten, die er einführt, sind real und ab dem 11. Dezember 2027 voll durchsetzbar. Für Hersteller vernetzter Produkte heißt Compliance: Sicherheit von Anfang an mitdenken, kontinuierlich pflegen und sauber dokumentieren.
Für Organisationen, die Kommunikationsplattformen einsetzen, ist die Lage nuancierter. Reine SaaS-Plattformen fallen in der Regel unter NIS2 statt unter den CRA, in Deutschland konkret unter das NIS2-Umsetzungsgesetz, und beide Vorschriften ergänzen die DSGVO, statt sie zu ersetzen. Den ersten Schritt zur Compliance machst du, wenn du klar bestimmst, welcher Rahmen für deine Situation gilt: SaaS-only oder hybrider Vertrieb mit Desktop-Client? Standardprodukt oder Klasse I/II?
Sicherheit muss in das Design eingebaut, durch laufende Prozesse gestützt und klar dokumentiert sein, egal ob die Pflicht aus dem CRA, NIS2 oder beidem kommt. Wer mit Technologie-Partnern arbeitet, die diesen Ansatz bereits leben, reduziert nicht nur das Sicherheitsrisiko, sondern auch die Komplexität, die jeweils einschlägigen Rahmen zu erfüllen. Wenn du dazu sprechen willst, wie Digital Samba sich in deine Cybersicherheits- und Compliance-Architektur einfügt, erreichst du unser Team unter digitalsamba.com/de/contact-sales.
Referenzen