Während viele Unternehmen derzeit an der Umsetzung der materiellen Anforderungen des Cyber Resilience Act (CRA) arbeiten, wird nun auch die institutionelle Durchsetzungsstruktur klarer. Der am 18.03.2026 veröffentlichte Referentenentwurf zur Durchführung des CRA konkretisiert insbesondere die Zuständigkeiten der Marktüberwachung sowie die Struktur der Konformitätsbewertung für Produkte mit digitalen Elementen.
BSI als zentrale Marktüberwachungsbehörde
Der Entwurf sieht vor, dass die Marktüberwachung für Produkte mit digitalen Elementen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) gebündelt wird. Inhaltlich kommt dies wenig überraschend. Bereits im Vorfeld wurde vielfach erwartet, dass das BSI aufgrund seiner technischen Expertise eine zentrale Rolle bei der Aufsicht über CRA-Produkte übernehmen wird.
Der Referentenentwurf schafft insoweit vor allem formale Klarheit über die künftige Aufsichtsstruktur. Für Hersteller wird damit deutlicher, welche Behörde künftig maßgeblich für die Durchsetzung der CRA-Vorgaben zuständig sein wird.
Akkreditierung und Rolle der benannten Stellen
Die Rolle der Deutschen Akkreditierungsstelle (DAkkS) orientiert sich am etablierten europäischen System der Konformitätsbewertung: Grundsätzlich übernimmt die DAkkS die Akkreditierung der Konformitätsbewertungsstellen, die anschließend als benannte Stellen für CRA‑Konformitätsbewertungen tätig werden können. In Ausnahmefällen kann das BSI Konformitätsbewertungsstellen selbst bewerten und ist als notifizierende Behörde für Benennung, Notifizierung und Überwachung der Stellen verantwortlich.
Mit der Festlegung dieser Struktur wird institutionell klarer, über welche Stellen CRA-Konformitätsbewertungen künftig organisiert werden sollen. Für potenzielle Prüfstellen stellt sich nun insbesondere die Frage, ab wann entsprechende Akkreditierungsverfahren bei der DAkkS eingeleitet werden können, damit benannte Stellen rechtzeitig vor Anwendbarkeit der CRA-Pflichten zur Verfügung stehen.
Gerade für wichtige und kritische Produkte im Sinne des CRA wird das Konformitätsbewertungsverfahren mit Beteiligung einer benannten Stelle eine zentrale Rolle spielen. Die praktische Verfügbarkeit entsprechender Prüfstellen könnte daher für Hersteller zu einem relevanten Faktor werden, insbesondere im Hinblick auf die CRA-Übergangsfristen.
Verzahnung mit bestehenden Cyberregimen
Der Referentenentwurf deutet zudem eine stärkere Abstimmung zwischen der CRA-Marktüberwachung und bestehenden Strukturen aus dem BSIG- und NIS2-Kontext an. Diese Entwicklung entspricht der allgemeinen Tendenz der europäischen Cyberregulierung, bei der Produktsicherheit, IT-Sicherheitsaufsicht und Vulnerability-Management zunehmend miteinander verzahnt werden.
Für Unternehmen bedeutet dies perspektivisch, dass sicherheitsrelevante Erkenntnisse aus unterschiedlichen regulatorischen Kontexten künftig stärker miteinander verknüpft werden könnten.
Einordnung
Der Referentenentwurf bringt insgesamt weniger Überraschungen als vielmehr institutionelle Klarheit für die künftige Durchsetzung des CRA. Für Unternehmen, die derzeit an der Umsetzung des CRA arbeiten, wird damit greifbarer, über welche Behörden- und Prüfstrukturen die CRA-Vorgaben künftig umgesetzt und überwacht werden sollen.
Besonders relevant dürfte dabei sein, ob rechtzeitig ausreichend benannte Stellen für CRA-Konformitätsbewertungen zur Verfügung stehen werden, insbesondere für wichtige und kritische Produkte im Sinne des CRA.
'/%3e%3c/svg%3e){kind=small}
'/%3e%3c/svg%3e){kind=small}
