![Eine Roboterhand hält ein Bauklötzchen mit dem Buchstaben C, daneben liegen Klötzchen mit R und A – sie bilden die Abkürzung CRA für Cyber Resilience Act.]({"100":"https:\/\/www.smart-city-dialog.de\/system\/files\/styles\/responsive_16_9_100w\/private\/2025-11\/AdobeStock_1255676251.jpeg?h=9272fd76\u0026itok=Jv87AaVQ","200":"https:\/\/www.smart-city-dialog.de\/system\/files\/styles\/responsive_16_9_200w\/private\/2025-11\/AdobeStock_1255676251.jpeg?h=9272fd76\u0026itok=C1KhsQ5I","300":"https:\/\/www.smart-city-dialog.de\/system\/files\/styles\/responsive_16_9_300w\/private\/2025-11\/AdobeStock_1255676251.jpeg?h=9272fd76\u0026itok=sDTXiz4U","400":"https:\/\/www.smart-city-dialog.de\/system\/files\/styles\/responsive_16_9_400w\/private\/2025-11\/AdobeStock_1255676251.jpeg?h=9272fd76\u0026itok=_mWF7clB","500":"https:\/\/www.smart-city-dialog.de\/system\/files\/styles\/responsive_16_9_500w\/private\/2025-11\/AdobeStock_1255676251.jpeg?h=9272fd76\u0026itok=0id4EzUW","600":"https:\/\/www.smart-city-dialog.de\/system\/files\/styles\/responsive_16_9_600w\/private\/2025-11\/AdobeStock_1255676251.jpeg?h=9272fd76\u0026itok=v36sWPKI","700":"https:\/\/www.smart-city-dialog.de\/system\/files\/styles\/responsive_16_9_700w\/private\/2025-11\/AdobeStock_1255676251.jpeg?h=9272fd76\u0026itok=Bk2A6ZZf","800":"https:\/\/www.smart-city-dialog.de\/system\/files\/styles\/responsive_16_9_800w\/private\/2025-11\/AdobeStock_1255676251.jpeg?h=9272fd76\u0026itok=wg3VN_Pl","900":"https:\/\/www.smart-city-dialog.de\/system\/files\/styles\/responsive_16_9_900w\/private\/2025-11\/AdobeStock_1255676251.jpeg?h=9272fd76\u0026itok=wGqd7k6O","1000":"https:\/\/www.smart-city-dialog.de\/system\/files\/styles\/responsive_16_9_1000w\/private\/2025-11\/AdobeStock_1255676251.jpeg?h=9272fd76\u0026itok=91euOKv4","1100":"https:\/\/www.smart-city-dialog.de\/system\/files\/styles\/responsive_16_9_1100w\/private\/2025-11\/AdobeStock_1255676251.jpeg?h=9272fd76\u0026itok=4Wx3CkSC","1200":"https:\/\/www.smart-city-dialog.de\/system\/files\/styles\/responsive_16_9_1200w\/private\/2025-11\/AdobeStock_1255676251.jpeg?h=9272fd76\u0026itok=MmsXXzUE"})
Main content
Mit dem im Dezember 2024 in Kraft getretenen Cyber Resilience Act (CRA) schafft die Europäische Union erstmals einheitliche Sicherheitsstandards für alle Produkte mit digitalen Komponenten. Dies gilt sowohl für Software als auch für Hardware. Ziel ist es, die Cybersicherheit im europäischen Binnenmarkt zu stärken. Die ersten Meldepflichten für schwerwiegende Sicherheitsvorfälle greifen bereits ab dem 11. September 2026, die zentralen Regelungen hingegen erst ab dem 11. Dezember 2027.
Zwar richtet sich der CRA in erster Linie an Hersteller, dennoch ist das Thema auch für Kommunen relevant, sowohl bei der Eigenentwicklung digitaler Lösungen als auch bei der Beschaffung und Nutzung von Produkten.
„Kommunen können auf mehreren Ebenen vom Cyber Resilience Act betroffen sein“, erklärt Robert Grützner, Rechtsanwalt bei der BBH-Gruppe und Experte für IT-Recht: „Wenn sie selbst digitale Produkte entwickeln, die in den Anwendungsbereich fallen, gelten sie unter Umständen als Hersteller – mit allen Pflichten, die das Gesetz vorsieht.“
Bedeutung für kommunale Eigenentwicklungen
Entwickeln Städte und Gemeinden etwa eigene Apps, Verwaltungsportale oder Smart-City-Lösungen, kann der CRA greifen. Dann müssen sie künftig ein Konformitätsverfahren durchführen, das nachweist, dass ihre Produkte die neuen Sicherheitsanforderungen erfüllen.
Eine Ausnahme gilt, wenn die Software ausschließlich für den internen Gebrauch bestimmt ist. Auch Open-Source-Software bleibt grundsätzlich ausgenommen – es sei denn, sie wird langfristig und für kommerzielle Zwecke gepflegt. Die juristische Person, typischerweise eine Stiftung oder eine sonstige Einrichtung, die die Softwarepflege übernimmt, gilt als sogenannter „OSS Steward“ (Verwalter quelloffener Software) und hat reduzierte Pflichten im Vergleich zu einem „Hersteller“. Konkret sind diese für die Entwicklung einer Cybersicherheitsstrategie verantwortlich, arbeiten bei Bedarf mit den Marktüberwachungsbehörden zusammen und müssen Meldepflichten nachkommen.
CRA-konforme Produkte in der Beschaffung
Noch wichtiger dürfte der CRA für Kommunen in ihrer Rolle als öffentliche Beschafferinnen werden. Ab Ende 2027 dürfen nur noch Produkte auf dem EU-Binnenmarkt in Verkehr gebracht werden, die eine CE-Kennzeichnung nach dem CRA erhalten haben, sonst müssen diese Produkte vom Markt genommen werden. „Kommunen sollten ihre Vergabeprozesse rechtzeitig anpassen“, rät Robert Grützner „Bereits heute lohnt es sich, bei Ausschreibungen auf CRA-konforme Produkte zu achten, um spätere Umstellungen zu vermeiden.“
Mehr Sicherheit – und etwas mehr Aufwand
Die neuen Vorgaben bedeuten zwar zusätzlichen Aufwand für Hersteller und Beschaffer, doch sie können die digitale Verwaltung langfristig sicherer machen. „Im Lichte der aktuellen Sicherheitslage ist der CRA nicht nur eine regulatorische Verpflichtung, sondern eine Chance, kommunale IT-Infrastrukturen robuster und widerstandsfähiger zu gestalten“, betont Robert Grützner.
Kommunen sollten sich daher frühzeitig mit den neuen Anforderungen vertraut machen, ihre IT-Sicherheitsstrategien überprüfen und sicherstellen, dass ihre Systeme und Beschaffungen bis 2027 den neuen EU-Standards entsprechen. Hilfestellungen zur Umsetzung von anerkannten Standards der IT-Sicherheit für Kommunen bietet insbesondere das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit dem „Weg in die Basis-Absicherung“ (WiBA) sowie dem „IT-Grundschutz“.
