Sicherheitsaktualisierungen unter der Cyberresilienz-Verordnung (CRA)

Die Cyberresilienz-Verordnung (CRA) ist bereits seit Dezember 2024 in Kraft. Die meisten Pflichten — darunter die grundlegenden Cybersicherheitsanforderungen an digitale Produkte — werden ab dem 11. Dezember 2027 vollumfänglich verbindlich. Ausnahme: Die Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle gelten bereits ab dem 11. September 2026.

Kopplungsverbot bei Sicherheitsaktualisierungen

Zentrales Thema der Verordnung ist die laufende Schwachstellenbehandlung über die gesamte Produktlebensdauer: Erkannte Sicherheitslücken müssen unverzüglich durch Sicherheitsaktualisierungen beseitigt werden. Dabei gilt ein striktes Kopplungsverbot — Nutzer dürfen nicht gezwungen werden, Funktionsupdates zu installieren, nur um Sicherheitspatches zu erhalten. Sicherheits- und Funktionsaktualisierungen sind grundsätzlich getrennt bereitzustellen.

Komplexe Anforderungen an Hersteller

Die Praxis zeigt, dass diese Anforderungen komplex sind: Unterstützt ein Hersteller mehrere Softwareversionen parallel, muss er für jede betroffene Version eine eigenständige Sicherheitsaktualisierung bereitstellen — unabhängig davon, ob der Nutzer zwischenzeitlich erschienene Funktionsupdates installiert hat. Ausnahmen bestehen nur unter engen Voraussetzungen, etwa wenn zwischen den Versionen keine wesentlichen funktionalen Änderungen vorliegen und der Wechsel auf die aktuelle Version zumutbar ist.

Frühzeitige Entwicklung der Update-Strategie

Für Hersteller bedeutet dies: Die Update-Strategie muss frühzeitig an den Anforderungen der CRA ausgerichtet werden — mit klar definierten Wartungszweigen, sauberer Dokumentation und einem Prozess für die sichere Verteilung von Aktualisierungen.

Gerne unterstützen wir Sie bei der Entwicklung und rechtssicheren Gestaltung Ihrer Update-Strategie nach der CRA.

Ihre Ansprechpartner in unserem Büro Dresden sind:

Rechtsanwalt und Fachanwalt für IT-Recht Stefan Ansgar Strewe

Rechtsanwältin und Fachanwältin für IT-Recht sowie für internationales Wirtschaftsrecht Anne Schramm

Rechtsanwältin Anne Graurock

Autor: Anne Schramm, LL.M. (VUW)

Autor: Anne Schramm

Angestellte Rechtsanwältin

Fachanwältin für IT-Recht
Fachanwältin für Internationales Wirtschaftsrecht

Veröffentlicht am 08.05.2026
unter #Allgemein, #Compliance, #IT-Recht

Ähnliche Themen:

Weiter zur Startseite Weiter zur News-Übersicht

Thema suchen:

Nach Kategorie filtern:

Allgemein Arbeitsrecht Bankrecht Compliance Datenschutz Energierecht Existenzgründung Familienrecht Geistiges Eigentum (insbes. Urheberrecht) Gesellschaftsrecht Haftungsrecht Internationales Recht IT-Recht Markenrecht Onlinerecht Patentrecht Podcast Steuerrecht Trend Capital Verbraucherschutz Versicherungsrecht Vertriebsrecht Wettbewerbsrecht Wirtschaftsstrafrecht